Une vunérabilité de type dépassement de tampon dans le tas a été corrigée dans VLC. Cette mise à jour corrige aussi une vulnérabilité dans la bilbliothèque taglib (CVE-2012-3296) et inclus des versions plus récentes de plusieurs bibliothèques de codecs dont libavcodec.
Avis de sécurité
CERTA-2012-AVI-372
Publié le 10 juillet 2012
Une vulnérabilité a été corrigée dans eZ Publish eZOE. Elle concerne une injection de requêtes illégitime par rebond (CSRF) dans un élément flash.
CERTA-2012-AVI-371
Publié le 09 juillet 2012
Deux vulnérabilités ont été corrigées dans les produits Asterisk. La première concerne la libération de sessions RTP et de dialogues SIP lors de l'envoi d'un message « re-invite » à un équipement distant. Cette vulnérabilité peut causer un déni de service à distance. La seconde concerne la...
CERTA-2012-AVI-370
Publié le 09 juillet 2012
Une vulnérabilité a été corrigée dans Pidgin. Il s'agit d'une erreur dans la gestion des images reçues lors d'une conversation. Ce problème conduit à un dépassement de tampon et potentiellement à une exécution de code arbitraire à distance.
CERTA-2012-AVI-369
Publié le 06 juillet 2012
Une vulnérabilité a été corrigée dans HP ProtectTools Enterprise. Elle concerne une compromission du tas en mémoire au moyen d'un argument « SidString » trop long.
CERTA-2012-AVI-368
Publié le 05 juillet 2012
Une vulnérabilité a été corrigée dans RSA Access Manager. Elle permet de rejouer une session depuis une session compromise. Ceci est dû à une désactivation incomplète de la session après la déconnexion d'un utilisateur.
CERTA-2012-AVI-367
Publié le 05 juillet 2012
Une vulnérabilité a été corrigée dans TYPO3. Elle permet une injection de code indirecte à distance (XSS) par l'intermédiaire du paramètre movieName du fichier swfupload.swf.
CERTA-2012-AVI-366
Publié le 04 juillet 2012
Une faille a été corrigée dans SPIP. La vulnérabilité n'est pas décrite par l'éditeur, mais elle est jugée critique.
CERTA-2012-AVI-365
Publié le 04 juillet 2012
Une vulnérabilitié a été corrigée dans Avaya IP Office Customer Call Reporter. Elle permet à un utilisateur non authentifié de pouvoir envoyer des fichiers arbitraires sur le serveur au moyen de « ImageUpload.ashx ». Ainsi un attaquant peut exécuter du code arbitraire à distance.
CERTA-2012-AVI-364
Publié le 04 juillet 2012
Une vulnérabiltié a été corrigée dans HP-UX. Elle concerne le produit BIND et peut provoquer un déni de service à distance de l'application.