Avis de sécurité

Les produits CSM (Content Switching Modules) et CSM-S (Content Switching Modules SSL) sont affectés par deux vulnérabilités permettant un déni de service à distance.

Une vulnérabilité du composant Edge Component de WebSphere, non précisée par l'éditeur, permet de contourner la politique de sécurité. Le correctif Fix Pack 11 (6.1.0.11) corrige le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Une vulnérabilité dans le moteur d'antivirus de Sophos permet à un utilisateur malintentionné de contourner la politique de sécurité.

Une vulnérabilité dans le serveur CAS permet de réaliser des attaques de type cross-site scripting.

De multiples vulnérabilités dans IBM AIX permettent à une personne malintentionnée d'effectuer un déni de service, d'élever ses privilèges et de porter atteinte à l'intégrité des données.

Une vulnérabilité a été identifiée dans GNU tar. L'exploitation d'un débordement de mémoire dans la fonction safer_name_suffix() peut compromettre la pile. L'impact est inconnu. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Deux vulnérabilités découvertes dans Kerberos 5 permettent l'exécution de code arbitraire à distance.

Une vulnérabilité a été identifiée dans le point d'accès Wi-Fi Apple AirPort Extreme Base Station. Elle concerne le routage à la source, fonctionnalité proposée par le standard IPv6.

De multiples vulnérabilités sont présentes dans PHP et permettent à un utilisateur distant d'exécuter du code arbitraire ou de contourner la politique de sécurité du site mis en œuvre avec PHP.

Une vulnérabilité a été identifiée dans le module anti-pourriel pour postfix, postfix-policyd, ou Policy Daemon. Il ne vérifierait pas correctement les commandes SMTP entrantes, ce qui permettrait à une personne malveillante d'exploiter par ce biais du code arbitraire sur le système.