Avis de sécurité

Une vulnérabilité a été corrigée dans Juniper Secure Access IVE. La vulnérabilité est une injection de code indirecte à distance (XSS) sur l'interface de gestion.

Une vulnérabilité a été corrigée dans le produit F5 FirePass. Cette vulnérabilité est de type « injection SQL » et est accessible à distance sans authentification. Il est à noter que la base MySQL est exécutée avec les droits root et que les accès FILE sont activés.

Une vulnérabilité a été découverte dans HP Business Availability Center. Cette vulnérabilité est de type « injection de code indirecte à distance » (Cross-site scripting).

Trois vulnérabilités de type buffer overflow ont été corrigées dans le lecteur Cisco WebEx Recording Format (WRF). Dans certains cas, l'exploitation de ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance.

Une vulnérabilité a été corrigée dans la bibliothèque TIFF. La vulnérabilité est un « débordement d'entier » dans l'entrée « TileSize ». L'exploitation de cette faille via une image corrompue peut mener à une exécution de code arbitraire.

Une vulnérabilité a été corrigée dans FreeRADIUS. La vulnérabilité concerne la fonction « ocsp_check » de « rlm_eap_tls.c ». L'exploitation de cette faille permet de contourner l'authentification en utilisant le protocole EAP-TLS avec un certificat client X.509 révoqué.

Deux vulnérabilités ont été corrigées dans curl. La première concerne une vulnérabilité liée à OpenSSL et l'utilisation de SSL_OP_ALL. La seconde affecte le traitement des URL.

Une vulnérabilité a été corrigée dans HP-UX. La vulnérabilité est de type «déni de service à distance» et affecte le module DCE.

Une vulnérabilité a été corrigée dans Joomla!. Cette vulnérabilité est de type «injection de code indirecte à distance» aussi appelée XSS, elle est située dans le système de gestion des mises à jour.

Une vulnérabilité a été corrigée dans IBM Cognos. Cette vulnérabilité est de type débordement de tampon et peut être exploitée à distance.