Avis de sécurité

Deux vulnérabilités ont été corrigées dans Joomla!. La première permet une élévation de privilèges. La seconde permet de dévoiler des informations au moyen d'erreurs SQL.

Deux vulnérabilités de type débordement d'entier ont été corrigées dans Libtiff.

Une vulnérabilité a été corrigée dans IBM Lotus Notes. Elle concerne une injection de commandes à distance pouvant mener à une exécution de code arbitraire.

Deux vulnérabilités ont été corrigées dans PHP. La première (CVE-2012-2143) permet à un attaquant de contourner la politique de sécurité (se référer à l'avis CERTA-2012-AVI-310). La seconde (CVE-2012-2386) permet à un attaquant d'exécuter du code arbitraire à distance via un débordement de tampon...

Une vulnérabilité dans la fonction nsHTMLSelectElement permet à un attaquant d'exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans Symantec LiveUpdate. Un défaut de configuration des permissions sur des fichiers permet à un attaquant, s'il est authentifié, d'élever ses droits sur le serveur.

Cinq vulnérabilités ont été corrigées dans Opera. Deux peuvent mener à une falsification de l'URL, une permet d'accéder à des données JSON sensibles. Les deux dernières requièrent une interaction avec l'utilisateur et peuvent mener à une injection de code indirecte à distance (XSS) ou à une...

Une vulnérabilité a été corrigée dans Asterisk Open Source. Elle intervient après l'envoi d'un message « Off Hook » spécialement conçu depuis un équipement enregistré. Ceci provoque la réécriture d'un pointeur à zéro et cause un déni de service.

Deux vulnérabilités ont été corrigées dans SPIP. Elles permettent à un attaquant d'effectuer une injection de code indirecte à distance (XSS).

Une vulnérabilité a été corrigée dans HP OpenVMS BIND 9 Resolver. Elle concerne les services TCP/IP et peut être exploitée à distance pour causer un déni de service sur la machine.