Avis de sécurité

Deux vulnérabilités de type débordement d'entier ont été corrigées dans Libtiff.

Une vulnérabilité a été corrigée dans IBM Lotus Notes. Elle concerne une injection de commandes à distance pouvant mener à une exécution de code arbitraire.

Deux vulnérabilités ont été corrigées dans PHP. La première (CVE-2012-2143) permet à un attaquant de contourner la politique de sécurité (se référer à l'avis CERTA-2012-AVI-310). La seconde (CVE-2012-2386) permet à un attaquant d'exécuter du code arbitraire à distance via un débordement de tampon...

Une vulnérabilité dans la fonction nsHTMLSelectElement permet à un attaquant d'exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans Symantec LiveUpdate. Un défaut de configuration des permissions sur des fichiers permet à un attaquant, s'il est authentifié, d'élever ses droits sur le serveur.

Cinq vulnérabilités ont été corrigées dans Opera. Deux peuvent mener à une falsification de l'URL, une permet d'accéder à des données JSON sensibles. Les deux dernières requièrent une interaction avec l'utilisateur et peuvent mener à une injection de code indirecte à distance (XSS) ou à une...

Une vulnérabilité a été corrigée dans Asterisk Open Source. Elle intervient après l'envoi d'un message « Off Hook » spécialement conçu depuis un équipement enregistré. Ceci provoque la réécriture d'un pointeur à zéro et cause un déni de service.

Deux vulnérabilités ont été corrigées dans SPIP. Elles permettent à un attaquant d'effectuer une injection de code indirecte à distance (XSS).

Une vulnérabilité a été corrigée dans HP OpenVMS BIND 9 Resolver. Elle concerne les services TCP/IP et peut être exploitée à distance pour causer un déni de service sur la machine.

Une vulnérabilité a été corrigée dans FreeBSD. Son exploitation permet à un utilisateur local d'élever ses privilèges, de corrompre des données du noyau ou d'effectuer un déni de service.