Информационная безопасность
[RU] switch to English


Определение учетной записи пользвоателя в Asterisk
Опубликовано:9 января 2009 г.
Источник:
SecurityVulns ID:9565
Тип:удаленная
Уровень опасности:
5/10
Описание:Разные ответы сервера в аутентификации IAX2 при неправильном имени пользвоателя и пароля.
Затронутые продукты:ASTERISK : Asterisk 1.2
 DIGIUM : Asterisk 1.4
 ASTERISK : Asterisk s800i
 ASTERISK : Asterisk 1.6
CVE:CVE-2009-0041 (IAX2 in Asterisk Open Source 1.2.x before 1.2.31, 1.4.x before 1.4.23-rc4, and 1.6.x before 1.6.0.3-rc2; Business Edition A.x.x, B.x.x before B.2.5.7, C.1.x.x before C.1.10.4, and C.2.x.x before C.2.1.2.1; and s800i 1.2.x before 1.3.0 responds differently to a failed login attempt depending on whether the user account exists, which allows remote attackers to enumerate valid usernames.)
Оригинальный текстdocumentASTERISK, AST-2009-001: Information leak in IAX2 authentication (09.01.2009)

DoS против ActiveX Virgilio toolbar
Опубликовано:9 января 2009 г.
Источник:
SecurityVulns ID:9561
Тип:клиент
Уровень опасности:
5/10
Оригинальный текстdocumentXubucrus Djug, Virgilio Toolbar Toolbar ActiveX Control Remote Denial of Service Exploit (09.01.2009)
Файлы:Virgilio Toolbar Toolbar ActiveX Control Remote Denial of Service Exploit

Переполнение буфера в ActiveX VMWare
Опубликовано:9 января 2009 г.
Источник:
SecurityVulns ID:9562
Тип:клиент
Уровень опасности:
6/10
Описание:Переполнение буфера в методе Initialize VMDBCOMLib.VMList
Оригинальный текстdocumentXubucrus Djug, VMware COM DB ActiveX Remote Buffer Overflow Exploit (09.01.2009)
Файлы:VMware COM DB ActiveX Remote Buffer Overflow Exploit

DoS против Microsoft Internet Explorer
Опубликовано:9 января 2009 г.
Источник:
SecurityVulns ID:9563
Тип:клиент
Уровень опасности:
4/10
Описание:Отказ при рекурсивном создании скрипта через createElement().
Затронутые продукты:MICROSOFT : Windows 2000 Server
 MICROSOFT : Windows 2000 Professional
 MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Windows Vista
 MICROSOFT : Windows 2008 Server
Оригинальный текстdocumentXubucrus Djug, IE Denial of Service Exploit ( mshtml.dll ) (09.01.2009)
Файлы:IE Denial of Service Exploit ( mshtml.dll )

Криптографические проблемы при проверке сертификатов в OpenSSL / ntp / bind / boinc
дополнено с 9 января 2009 г.
Опубликовано:10 февраля 2009 г.
Источник:
SecurityVulns ID:9564
Тип:библиотека
Уровень опасности:
7/10
Описание:Многочисленные проблемы с проверкой сертификатов DSA/ECDSA в SSL/TLS.
Затронутые продукты:OPENSSL : OpenSSL 0.9
 BIND : bind 9.3
 BIND : bind 9.4
 NTP : ntp 4.2
 LASSO : lasso 2.2
 BOINC : boinc 5.4
CVE:CVE-2009-0126 (The decrypt_public function in lib/crypt.cpp in the client in Berkeley Open Infrastructure for Network Computing (BOINC) 6.2.14 and 6.4.5 does not check the return value from the OpenSSL RSA_public_decrypt function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature, a similar vulnerability to CVE-2008-5077.)
 CVE-2009-0050 (Lasso 2.2.1 and earlier does not properly check the return value from the OpenSSL DSA_verify function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature, a similar vulnerability to CVE-2008-5077.)
 CVE-2009-0025 (BIND 9.6.0, 9.5.1, 9.5.0, 9.4.3, and earlier does not properly check the return value from the OpenSSL DSA_verify function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature, a similar vulnerability to CVE-2008-5077.)
 CVE-2009-0021 (NTP 4.2.4 before 4.2.4p5 and 4.2.5 before 4.2.5p150 does not properly check the return value from the OpenSSL EVP_VerifyFinal function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature for DSA and ECDSA keys, a similar vulnerability to CVE-2008-5077.)
 CVE-2008-5077 (OpenSSL 0.9.8i and earlier does not properly check the return value from the EVP_VerifyFinal function, which allows remote attackers to bypass validation of the certificate chain via a malformed SSL/TLS signature for DSA and ECDSA keys.)
Оригинальный текстdocumentDEBIAN, [SECURITY] [DSA 1718-1] New boinc packages fix validation bypass (10.02.2009)
 documentDEBIAN, [SECURITY] [DSA 1700-1] New lasso packages fix validation bypass (14.01.2009)
 documentFREEBSD, FreeBSD Security Advisory FreeBSD-SA-09:02.openssl (09.01.2009)
 documentWill Drewry, [oCERT-2008-016] Multiple OpenSSL signature verification API misuses (09.01.2009)

Межсайтовый скриптинг в OpenFire
дополнено с 9 января 2009 г.
Опубликовано:7 января 2011 г.
Источник:
SecurityVulns ID:9566
Тип:удаленная
Уровень опасности:
5/10
Описание:Многочисленные возможности межсайтового скриптинга.
Затронутые продукты:JIVE : Openfire 3.6
Оригинальный текстdocumentWalikarRiyazAD_(at)_microland.com, Multiple XSS Vulnerabilities in Openfire 3.6.4 Administrative Section (07.01.2011)
 documentWalikarRiyazAD_(at)_microland.com, Multiple CSRF Vulnerabilities in Openfire 3.6.4 Administrative Section (07.01.2011)
 documentCORE SECURITY TECHNOLOGIES ADVISORIES, CORE-2008-1128: Openfire multiple vulnerabilities (09.01.2009)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород