Avis de sécurité

Deux vulnérabilités ont été identifiées dans le méchanisme RBAC (Role Based Access Control) de Sun Solaris 8. L'exploitation de ces dernières permettrait à une personne malveillante distante de contourner la politique d'accès mise en place.

Une vulnérabilité portant atteinte à la confidentialité des données a été identifiée dans Symantec Enterprise Firewall.

Une vulnérabilité a été identifiée dans ESRI ArcSDE. L'exploitation de cette dernière permettrait à une personne malveillante de perturber le service, donc d'empêcher les utilisateurs d'accéder au serveur, voire d'exécuter du code arbitraire à distance.

Une vulnérabilité a été identifiée dans l'environnement Java JRE (Java Runtime Environment). L'exploitation de cette dernière permettrait à une personne malveillante, par le biais d'une applet, d'exécuter du code arbitraire sur la machine vulnérable, avec les droits de l'utilisateur.

Plusieurs vulnérabilités ont été identifiées dans le système de base de données IBM DB2. L'exploitation de ces dernières permettrait à une personne malveillante connectée d'élever ses privilèges, et à contourner la politique de sécurité.

Deux vulnérabilités de CISCO VPN Client permettent d'élever ses privilèges.

Deux vulnérabilités dans Opera permettent à une personne malintentionnée d'exécuter du code arbitraire à distance ou d'usurper le contenu de la barre de navigation de l'application.

Plusieurs vulnérabilités du moteur de servlets Tomcat permettent à un utilisateur malveillant de réaliser des injections de code indirectes ou de voler des identifiants de session.

Une vulnérabilité dans l'implémentation du Vector Markup Language (VML) dans Windows permettrait à un utilisateur malveillant d'exécuter un code à distance.

Une vulnérabilité a été identifiée dans Microsoft Virtual PC et Microsoft Virtual Server. Cette dernière peut être exploitée par un utilisateur ayant accès à une machine virtuelle particulière pour exécuter du code sur le système d'accueil (hôte) ou sur d'autres machines virtuelles.