Информационная безопасность
[RU] switch to English


Многочисленные уязвимости безопасности в цифровых рекордерах AVTech
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13345
Тип:удаленная
Уровень опасности:
5/10
Описание:Переполнение буфера при разборе RTSP, переполнение буфера в веб-интерфейсе, обход защиты.
Затронутые продукты:AVTECH : AVTECH AVN801
CVE:CVE-2013-4982
 CVE-2013-4981 (Buffer overflow in cgi-bin/user/Config.cgi in AVTECH AVN801 DVR with firmware 1017-1003-1009-1003 and earlier, and possibly other devices, allows remote attackers to cause a denial of service (device crash) and possibly execute arbitrary code via a long string in the Network.SMTP.Receivers parameter.)
 CVE-2013-4980 (Buffer overflow in the RTSP Packet Handler in AVTECH AVN801 DVR with firmware 1017-1003-1009-1003 and earlier, and possibly other devices, allows remote attackers to cause a denial of service (device crash) and possibly execute arbitrary code via a long string in the URI in an RTSP SETUP request.)
Оригинальный текстdocumentCORE SECURITY TECHNOLOGIES ADVISORIES, CORE-2013-0726 - AVTECH DVR multiple vulnerabilities (09.10.2013)

Переполнение буфера в EPS Viewer
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13346
Тип:локальная
Уровень опасности:
4/10
Описание:Переполнение буфера при разборе файлов .EPS
Затронутые продукты:EPSVIEWER : EPS viewer 3.2
CVE:CVE-2013-4979 (Buffer overflow in the gldll32.dll module in EPS Viewer 3.2 and earlier allows remote attackers to execute arbitrary code via a crafted EPS file.)
Оригинальный текстdocumentCORE SECURITY TECHNOLOGIES ADVISORIES, CORE-2013-0808 - EPS Viewer Buffer Overflow Vulnerability (09.10.2013)

Переполнение буфера в Aloaha PDF Suite
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13347
Тип:локальная
Уровень опасности:
4/10
Описание:Переполнение буфера при разборе файлов PDF
Затронутые продукты:ALOAHA : AloahaPDFViewer 5.0
CVE:CVE-2013-4978 (Stack-based buffer overflow in AloahaPDFViewer 5.0.0.7 and earlier in Aloaha PDF Suite FREE allows remote attackers to execute arbitrary code via a crafted PDF file.)
Оригинальный текстdocumentCORE SECURITY TECHNOLOGIES ADVISORIES, [CORE-2013-0805] Aloaha PDF Suite Buffer Overflow Vulnerability (09.10.2013)

Обход аутентификации в Cisco Secure Access Control Server
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13348
Тип:удаленная
Уровень опасности:
5/10
Описание:Обход аутентификации при использовании протокола EAP-FAST.
Затронутые продукты:CISCO : Secure Access Control Server 4.2
CVE:CVE-2013-3466 (The EAP-FAST authentication module in Cisco Secure Access Control Server (ACS) 4.x before 4.2.1.15.11, when a RADIUS server configuration is enabled, does not properly parse user identities, which allows remote attackers to execute arbitrary commands via crafted EAP-FAST packets, aka Bug ID CSCui57636.)
Файлы:Cisco Secure Access Control Server Remote Command Execution Vulnerability

Межсайтовый скриптинг в IBM Lotus iNotes
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13350
Тип:удаленная
Уровень опасности:
5/10
Описание:Несколько уязвимостей межсайтового сркипинга.
Затронутые продукты:IBM : Lotus Domino 8.5
CVE:CVE-2013-0595 (Multiple cross-site scripting (XSS) vulnerabilities in iNotes 8.5.x in IBM Lotus Domino 8.5 before 8.5.3 FP5 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors, aka SPR PTHN95XNR3.)
 CVE-2013-0591 (Cross-site scripting (XSS) vulnerability in iNotes 8.5.x in IBM Lotus Domino 8.5 before 8.5.3 FP5 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors, aka SPR PTHN95XNR3, a different vulnerability than CVE-2013-0590.)
 CVE-2013-0590 (Cross-site scripting (XSS) vulnerability in iNotes 8.5.x in IBM Lotus Domino 8.5 before 8.5.3 FP5 allows remote authenticated users to inject arbitrary web script or HTML via unspecified vectors, aka SPR PTHN95XNR3, a different vulnerability than CVE-2013-0591.)
Файлы:Security Bulletin: IBM iNotes vulnerabilities (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595)

Уязвимости безопасности в Asterisk
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13351
Тип:удаленная
Уровень опасности:
5/10
Описание:Несколько DoS условий при обработке SIP.
Затронутые продукты:ASTERISK : Asterisk 11.5
Оригинальный текстdocumentASTERISK, AST-2013-005: Remote Crash when Invalid SDP is sent in SIP Request (09.10.2013)
 documentASTERISK, AST-2013-004: Remote Crash From Late Arriving SIP ACK With SDP (09.10.2013)

DoS против HP StoreOnce
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13352
Тип:удаленная
Уровень опасности:
5/10
CVE:CVE-2013-2353 (Unspecified vulnerability in HP StoreOnce D2D Backup System 1.x before 1.2.19 and 2.x before 2.3.0 allows remote attackers to cause a denial of service via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBST02897 rev.1 - HP StoreOnce D2D Backup System, Remote Denial of Service (DoS) (09.10.2013)

Инъекция ESC-символов в xpdf / poppler
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13353
Тип:библиотека
Уровень опасности:
4/10
Описание:Инъекция контрольных ESC-последовательностей для терминала.
Затронутые продукты:POPPLER : poppler 0.20
 XPDF : xpdf 3.03
CVE:CVE-2012-2142
Оригинальный текстdocumentSLACKWARE, [slackware-security] poppler (SSA:2013-233-03) (09.10.2013)
 documentSLACKWARE, [slackware-security] xpdf (SSA:2013-233-02) (09.10.2013)

Несанкционированный доступ к HP Service Manager
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13354
Тип:удаленная
Уровень опасности:
6/10
Затронутые продукты:HP : HP Service Manager 9.31
CVE:CVE-2013-4808 (Unspecified vulnerability in HP Service Manager 7.11, 9.21, 9.30, and 9.31 and Service Center 6.2.8 allows remote attackers to obtain privileged access via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMU02915 rev.1 - HP Service Manager, Remote Unauthenticated Access and Elevation of Privilege (09.10.2013)

Проблема символьных линков в libmobiledevices
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13355
Тип:библиотека
Уровень опасности:
5/10
Описание:Проблема символьных линков при создании временных файлов.
Затронутые продукты:LIBMOBILEDEVICE : libimobiledevice 1.1
CVE:CVE-2013-2142 (userpref.c in libimobiledevice 1.1.4, when $HOME and $XDG_CONFIG_HOME are not set, allows local users to overwrite arbitrary files via a symlink attack on (1) HostCertificate.pem, (2) HostPrivateKey.pem, (3) libimobiledevicerc, (4) RootCertificate.pem, or (5) RootPrivateKey.pem in /tmp/root/.config/libimobiledevice/.)
Оригинальный текстdocumentUBUNTU, [USN-1927-1] libimobiledevice vulnerability (09.10.2013)

Уязвимости безопасности в коммутаторах Netgear ProSafe
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13356
Тип:удаленная
Уровень опасности:
5/10
Описание:Утечка информации, DoS.
Затронутые продукты:NETGEAR : Netgear GS724T
 NETGEAR : Netgear GS716T
 NETGEAR : Netgear GS748T
 NETGEAR : Netgear GS510TP
 NETGEAR : GS752TPS
 NETGEAR : GS728TPS
 NETGEAR : GS728TS
 NETGEAR : GS725TS
 NETGEAR : GS752TXS
 NETGEAR : GS728TXS
CVE:CVE-2013-4776 (NETGEAR ProSafe GS724Tv3 and GS716Tv2 with firmware 5.4.1.13 and earlier, GS748Tv4 5.4.1.14, and GS510TP 5.0.4.4 allows remote attackers to cause a denial of service (reboot or crash) via a crafted HTTP request to filesystem/.)
 CVE-2013-4775 (NETGEAR ProSafe GS724Tv3 and GS716Tv2 with firmware 5.4.1.13 and earlier; GS748Tv4 with firmware 5.4.1.14; GS510TP with firmware 5.4.0.6; GS752TPS, GS728TPS, GS728TS, and GS725TS with firmware 5.3.0.17; and GS752TXS and GS728TXS with firmware 6.1.0.12 allows remote attackers to read encrypted administrator credentials and other startup configurations via a direct request to filesystem/startup-config.)
Оригинальный текстdocumentpost_(at)_encripto.no, Netgear ProSafe switches: Unauthenticated startup-config disclosure and Denial of Service (09.10.2013)

Уязвимости безопасности в видеорекордерах Samsung
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13357
Тип:удаленная
Уровень опасности:
6/10
Описание:Обход аутентификации, утечка информации.
Оригинальный текстdocumentAndrea Fabrizi, Samsung DVR authentication bypass (09.10.2013)

Обход защиты в RSA Authentication Agent for PAM
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13358
Тип:библиотека
Уровень опасности:
5/10
Описание:Не ограничивается число неудачных попыток ввода пароля.
Затронутые продукты:EMC : RSA Authentication Agent for PAM 7.0
CVE:CVE-2013-3271 (EMC RSA Authentication Agent for PAM 7.0 before 7.0.2.1 enforces the maximum number of login attempts within the PAM-enabled application codebase, instead of within the Agent codebase, which makes it easier for remote attackers to discover correct login credentials via a brute-force attack.)
Оригинальный текстdocumentEMC, ESA-2013-047: RSA® Authentication Agent for PAM Unlimited Login Attempts Vulnerability (09.10.2013)

Проблемы с шифрованием сообщений в Evolution / libcamel
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13359
Тип:библиотека
Уровень опасности:
5/10
Описание:При определенных условиях сообщения шифруются неправильным ключом.
Затронутые продукты:LIBCAMEL : libcamel 1.2
CVE:CVE-2013-4166
Оригинальный текстdocumentUBUNTU, [USN-1922-1] Evolution Data Server vulnerability (09.10.2013)

Многочисленные уязвимости безопасности в Microsoft Windows
дополнено с 9 октября 2013 г.
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13334
Тип:библиотека
Уровень опасности:
8/10
Описание:Выполнение кода через .Net, целочисленное переполнение в comctl32.dll.
Затронутые продукты:MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Windows Vista
 MICROSOFT : Windows 2008 Server
 MICROSOFT : Windows 7
 MICROSOFT : Windows 8
 MICROSOFT : Windows 2012 Server
CVE:CVE-2013-3868 (Microsoft Active Directory Lightweight Directory Service (AD LDS) on Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, and Windows 8 and Active Directory Services on Windows Server 2008 SP2 and R2 SP1 and Server 2012 allow remote attackers to cause a denial of service (LDAP directory-service outage) via a crafted LDAP query, aka "Remote Anonymous DoS Vulnerability.")
 CVE-2013-3861 (Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, and 4.5 allows remote attackers to cause a denial of service (application crash or hang) via crafted character sequences in JSON data, aka "JSON Parsing Vulnerability.")
 CVE-2013-3860 (Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, and 4.5 does not properly parse a DTD during XML digital-signature validation, which allows remote attackers to cause a denial of service (application crash or hang) via a crafted signed XML document, aka "Entity Expansion Vulnerability.")
 CVE-2013-3195 (The DSA_InsertItem function in Comctl32.dll in the Windows common control library in Microsoft Windows XP SP2, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows Server 2012, and Windows RT does not properly allocate memory, which allows remote attackers to execute arbitrary code via a crafted value in an argument to an ASP.NET web application, aka "Comctl32 Integer Overflow Vulnerability.")
 CVE-2013-3128 (The kernel-mode drivers in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows Server 2012, and Windows RT, and .NET Framework 3.0 SP2, 3.5, 3.5.1, 4, and 4.5, allow remote attackers to execute arbitrary code via a crafted OpenType font (OTF) file, aka "OpenType Font Parsing Vulnerability.")
Файлы:Microsoft Security Bulletin MS13-079 - Important Vulnerability in Active Directory Could Allow Denial of Service (2853587)
 Microsoft Security Bulletin MS13-082 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2878890)
 Microsoft Security Bulletin MS13-083 - Critical Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2864058)

Многочисленные уязвимости безопасности в Microsoft Internet Explorer
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13333
Тип:клиент
Уровень опасности:
8/10
Описание:Многочисленные повреждения памяти.
Затронутые продукты:MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Windows Vista
 MICROSOFT : Windows 2008 Server
 MICROSOFT : Windows 7
 MICROSOFT : Windows 8
 MICROSOFT : Windows 2012 Server
CVE:CVE-2013-3897 (Use-after-free vulnerability in the CDisplayPointer class in mshtml.dll in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted JavaScript code that uses the onpropertychange event handler, as exploited in the wild in September and October 2013, aka "Internet Explorer Memory Corruption Vulnerability.")
 CVE-2013-3893 (Use-after-free vulnerability in the SetMouseCapture implementation in mshtml.dll in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code via crafted JavaScript strings, as demonstrated by use of an ms-help: URL that triggers loading of hxds.dll.)
 CVE-2013-3886 (Microsoft Internet Explorer 9 and 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability.")
 CVE-2013-3885 (Microsoft Internet Explorer 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability," a different vulnerability than CVE-2013-3872, CVE-2013-3873, and CVE-2013-3882.)
 CVE-2013-3882 (Microsoft Internet Explorer 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability," a different vulnerability than CVE-2013-3872, CVE-2013-3873, and CVE-2013-3885.)
 CVE-2013-3875 (Microsoft Internet Explorer 8 and 9 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability.")
 CVE-2013-3874 (Microsoft Internet Explorer 9 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability.")
 CVE-2013-3873 (Microsoft Internet Explorer 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability," a different vulnerability than CVE-2013-3872, CVE-2013-3882, and CVE-2013-3885.)
 CVE-2013-3872 (Microsoft Internet Explorer 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability," a different vulnerability than CVE-2013-3873, CVE-2013-3882, and CVE-2013-3885.)
 CVE-2013-3871 (Microsoft Internet Explorer 6 through 10 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability.")
Файлы:Microsoft Security Bulletin MS13-080 - Critical Cumulative Security Update for Internet Explorer (2879017)

Уязвимости безопасности в Microsoft Sharepoint
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13335
Тип:удаленная
Уровень опасности:
7/10
Описание:Повреждение памяти при разборе файлов Microsoft Excel, межсайтовый скриптинг.
Затронутые продукты:MICROSOFT : SharePoint Server 2007
 MICROSOFT : SharePoint Server 2010
 MICROSOFT : Office Web Apps 2010
CVE:CVE-2013-3895 (Microsoft SharePoint Server 2007 SP3 and 2010 SP1 and SP2 allows remote attackers to conduct clickjacking attacks via a crafted web page, aka "Parameter Injection Vulnerability.")
 CVE-2013-3889 (Microsoft Excel 2007 SP3, 2010 SP1 and SP2, 2013, and 2013 RT; Office 2007 SP3, 2010 SP1 and SP2, 2013, and 2013 RT; Office for Mac 2011; Excel Viewer; Office Compatibility Pack SP3; and Excel Services and Word Automation Services in SharePoint Server 2013 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Excel Memory Corruption Vulnerability.")
Файлы:Microsoft Security Bulletin MS13-084 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2885089)

Уязвимости безопасности в Microsoft Office
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13336
Тип:клиент
Уровень опасности:
7/10
Описание:Повреждения памяти при разборе документов Word и Excel.
Затронутые продукты:MICROSOFT : Office 2003
 MICROSOFT : Office 2007
 MICROSOFT : Office 2010
 MICROSOFT : Office for Mac 2011
 MICROSOFT : Office 2013
CVE:CVE-2013-3892 (Microsoft Word 2007 SP3 and Office Compatibility Pack SP3 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Memory Corruption Vulnerability.")
 CVE-2013-3891 (Microsoft Word 2003 SP3 allows remote attackers to execute arbitrary code via a crafted Office document, aka "Memory Corruption Vulnerability.")
 CVE-2013-3890 (Microsoft Excel 2007 SP3, Excel Viewer, and Office Compatibility Pack SP3 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Excel Memory Corruption Vulnerability.")
 CVE-2013-3889 (Microsoft Excel 2007 SP3, 2010 SP1 and SP2, 2013, and 2013 RT; Office 2007 SP3, 2010 SP1 and SP2, 2013, and 2013 RT; Office for Mac 2011; Excel Viewer; Office Compatibility Pack SP3; and Excel Services and Word Automation Services in SharePoint Server 2013 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Excel Memory Corruption Vulnerability.")
Файлы:Microsoft Security Bulletin MS13-085 - Important Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2885080)
 Microsoft Security Bulletin MS13-086 - Important Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2885084)

Целочисленное переполнение в Apple Motion
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13338
Тип:локальная
Уровень опасности:
3/10
Описание:Целочисленное переполнение при разборе файлов .motn
Затронутые продукты:APPLE : Motion 5.0
Оригинальный текстdocumentpereira_(at)_secbiz.de, Apple Motion Integer Overflow Vulnerability (09.10.2013)

Многочисленные уязвимости безопасности в HP Intelligent Management Center
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13339
Тип:удаленная
Уровень опасности:
6/10
Описание:Выполнение кода, утечка информации, обход аутентификации, инъекция SQL, несанкционированный доступ.
CVE:CVE-2013-4827 (SQL injection vulnerability in HP Intelligent Management Center (iMC) and HP IMC Service Operation Management Software Module allows remote attackers to execute arbitrary SQL commands via unspecified vectors, aka ZDI-CAN-1664.)
 CVE-2013-4826 (Unspecified vulnerability in HP Intelligent Management Center (iMC) and HP IMC Service Operation Management Software Module allows remote attackers to obtain sensitive information via unknown vectors, aka ZDI-CAN-1647.)
 CVE-2013-4825 (Unspecified vulnerability in HP Intelligent Management Center (iMC) and HP IMC Service Operation Management Software Module allows remote attackers to bypass intended access restrictions via unknown vectors, aka ZDI-CAN-1645.)
 CVE-2013-4824 (Unspecified vulnerability in HP Intelligent Management Center (iMC) and HP IMC Service Operation Management Software Module allows remote attackers to bypass authentication via unknown vectors, aka ZDI-CAN-1644.)
 CVE-2013-4823 (Unspecified vulnerability in HP Intelligent Management Center (iMC) and HP IMC Branch Intelligent Management System Software Module (aka BIMS) allows remote attackers to obtain sensitive information via unknown vectors, aka ZDI-CAN-1607.)
 CVE-2013-4822 (Unspecified vulnerability in HP Intelligent Management Center (iMC) and HP IMC Branch Intelligent Management System Software Module (aka BIMS) allows remote attackers to execute arbitrary code via unknown vectors, aka ZDI-CAN-1606.)
Оригинальный текстdocumentHP, [security bulletin] HPSBGN02930 rev.1 - HP Intelligent Management Center(iMC) and HP IMC Service Operation Management Software Module, Remote Authentication Bypass, Disclosure of Information, Unauthorized Access, SQL Injection (09.10.2013)
 documentHP, [security bulletin] HPSBGN02929 rev.1 - HP Intelligent Management Center (iMC), HP IMC Branch Intelligent Management System Software Module (BIMS), and Comware Based Switches and Routers, Remote Code Execution, Disclosure of Informati (09.10.2013)

Выполнение кода в Apache OpenJPA
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13340
Тип:библиотека
Уровень опасности:
5/10
Описание:Данные, контролируемые пользователем, заносятся в исполняемый файл.
Затронутые продукты:APACHE : OpenJPA 1.2
 APACHE : OpenJPA 2.2
CVE:CVE-2013-1768 (The BrokerFactory functionality in Apache OpenJPA 1.x before 1.2.3 and 2.x before 2.2.2 creates local executable JSP files containing logging trace data produced during deserialization of certain crafted OpenJPA objects, which makes it easier for remote attackers to execute arbitrary code by creating a serialized object and leveraging improperly secured server programs.)
Оригинальный текстdocumentMANDRIVA, [ MDVSA-2013:246 ] openjpa (09.10.2013)

Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13341
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:VANILLAFORUMS : Vanilla Forums 2.0
 ZABBIX : Zabbix 2.0
CVE:CVE-2013-5743
 CVE-2013-3528 (Unspecified vulnerability in the update check in Vanilla Forums before 2.0.18.8 has unspecified impact and remote attack vectors, related to "object injection.")
Оригинальный текстdocumentadvisories_(at)_enkomio.com, [SOJOBO-ADV-13-01] - Zenphoto 1.4.5.2 multiple vulnerabilities (09.10.2013)
 documentSEC Consult Vulnerability Lab, SEC Consult SA-20131004-0 :: SQL injection vulnerability in Zabbix (09.10.2013)
 documentEgidio Romano, [KIS-2013-09] Vanilla Forums <= 2.0.18.5 (class.utilitycontroller.php) PHP Object Injection Vulnerability (09.10.2013)

Многочисленные уязвимости в Synology DiskStation Manager
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13342
Тип:удаленная
Уровень опасности:
5/10
Описание:Многочисленные уязвимости Web-интерфейса.
Затронутые продукты:SYNOLOGY : Synology DSM 4.3
Оригинальный текстdocumentAndrea Fabrizi, Synology DSM multiple vulnerabilities (09.10.2013)

DoS против NFC в VMWare ESX / ESXi
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13343
Тип:удаленная
Уровень опасности:
5/10
Описание:Отказ при разборе протокола Network File Copy.
Затронутые продукты:VMWARE : ESX 4.1
 VMWARE : ESXi 5.1
CVE:CVE-2013-1661 (VMware ESXi 4.0 through 5.1, and ESX 4.0 and 4.1, does not properly implement the Network File Copy (NFC) protocol, which allows man-in-the-middle attackers to cause a denial of service (unhandled exception and application crash) by modifying the client-server data stream.)
Оригинальный текстdocumentVMWARE, NEW VMSA-2013-0011 VMware ESXi and ESX address an NFC Protocol Unhandled Exception (09.10.2013)

Проверка существования пользователя в Cyber-Ark Vault
Опубликовано:9 октября 2013 г.
Источник:
SecurityVulns ID:13344
Тип:удаленная
Уровень опасности:
4/10
Описание:Возможно получить различные ответы при неправильном имени пользователя и пароле.
Затронутые продукты:CYBERARK : Cyber-Ark Vault 7.1
CVE:CVE-2012-6345
 CVE-2012-6344
Оригинальный текстdocumentmoshez_(at)_comsecglobal.com, CyberArk User Enumeration - Multiple vulnerabilities (09.10.2013)

Утечка информации в Microsoft Silverlight
дополнено с 9 октября 2013 г.
Опубликовано:5 ноября 2013 г.
Источник:
SecurityVulns ID:13337
Тип:библиотека
Уровень опасности:
5/10
Описание:Утечка содержимого памяти.
Затронутые продукты:MICROSOFT : Silverlight 5
CVE:CVE-2013-3896 (Microsoft Silverlight 5 before 5.1.20913.0 does not properly validate pointers during access to Silverlight elements, which allows remote attackers to obtain sensitive information via a crafted Silverlight application, aka "Silverlight Vulnerability.")
 CVE-2013-0074 (Microsoft Silverlight 5, and 5 Developer Runtime, before 5.1.20125.0 does not properly validate pointers during HTML object rendering, which allows remote attackers to execute arbitrary code via a crafted Silverlight application, aka "Silverlight Double Dereference Vulnerability.")
Оригинальный текстdocumentbugtraq_(at)_packetstormsecurity.org, [PSA-2013-1022-1] Microsoft Silverlight Invalid Typecast / Memory Disclosure (05.11.2013)
Файлы:Microsoft Security Bulletin MS13-087 - Important Vulnerability in Silverlight Could Allow Information Disclosure (2890788)

Уязвимости безопасности в приложении Instagram
дополнено с 9 октября 2013 г.
Опубликовано:26 ноября 2013 г.
Источник:
SecurityVulns ID:13349
Тип:локальная
Уровень опасности:
3/10
Описание:Обход защиты.
Затронутые продукты:INSTAGRAM : Instagram 4.1
Оригинальный текстdocumentpfohl_(at)_rt-solutions.de, Instagram Photo Upload and Flattr Money Redirection Vulnerability (26.11.2013)
 documentGeorg Lukas, Two Instagram Android App Security Vulnerabilities (09.10.2013)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород