Информационная безопасность
[RU] switch to English


DoS против Microsoft Internet Explorer
Опубликовано:9 ноября 2009 г.
Источник:
SecurityVulns ID:10384
Тип:клиент
Уровень опасности:
4/10
Описание:Незакрываемый диалог через зацикленный setHomePage
Затронутые продукты:MICROSOFT : Windows 2000 Server
 MICROSOFT : Windows 2000 Professional
 MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Windows Vista
 MICROSOFT : Windows 2008 Server
Оригинальный текстdocumentMustLive, DoS vulnerability in Internet Explorer (09.11.2009)
 documentMustLive, DoS vulnerability in Internet Explorer 7 (09.11.2009)
 documentMustLive, DoS vulnerability in Internet Explorer (09.11.2009)

Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
дополнено с 9 ноября 2009 г.
Опубликовано:9 ноября 2009 г.
Источник:
SecurityVulns ID:10385
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:PIGALLE : Pigalle 0.76
 TOUTVIRTUAL : VirtualIQ Professional 3.2
Оригинальный текстdocumentClaudio Criscione, ToutVirtual VirtualIQ Multiple Vulnerabilities (09.11.2009)
 documentMustLive, Vulnerabilities in Pigalle (09.11.2009)

DoS против Pidgin
дополнено с 9 ноября 2009 г.
Опубликовано:9 ноября 2009 г.
Источник:
SecurityVulns ID:10386
Тип:удаленная
Уровень опасности:
5/10
Описание:Отказ при разборе контакт-листа протокола OSCAR (ICQ и AIM).
CVE:CVE-2009-3615 (The OSCAR protocol plugin in libpurple in Pidgin before 2.6.3 and Adium before 1.3.7 allows remote attackers to cause a denial of service (application crash) via crafted contact-list data for (1) ICQ and possibly (2) AIM, as demonstrated by the SIM IM client.)
Оригинальный текстdocumentDEBIAN, [SECURITY] [DSA 1932-1] New pidgin packages fix arbitrary code execution (09.11.2009)

Переполнение буфера в Apple Safari
Опубликовано:9 ноября 2009 г.
Источник:
SecurityVulns ID:10387
Тип:удаленная
Уровень опасности:
7/10
Описание:Переполнение буфера на длинном background в CSS.
Затронутые продукты:APPLE : Safari 4.0
Оригинальный текстdocumentJeremy Brown, Safari 4.0.3 (Win32) CSS Remote Denial of Service Exploit (09.11.2009)
Файлы:Safari 4.0.3 (Win32) CSS Remote Denial of Service Exploit

Закладка в Apache Tomcat для Windows
Опубликовано:9 ноября 2009 г.
Источник:
SecurityVulns ID:10389
Тип:удаленная
Уровень опасности:
6/10
Описание:При установке создается учетная запись admin с пустым паролем.
Затронутые продукты:APACHE : Tomcat 5.5
 APACHE : Tomcat 6.0
CVE:CVE-2009-3548 (The Windows installer for Apache Tomcat 6.0.0 through 6.0.20, 5.5.0 through 5.5.28, and possibly earlier versions uses a blank default password for the administrative user, which allows remote attackers to gain privileges.)
Оригинальный текстdocumentAPACHE, [SECURITY] CVE-2009-3548 Apache Tomcat Windows Installer insecure default administrative password (09.11.2009)

Внедрение данных в SSL
дополнено с 9 ноября 2009 г.
Опубликовано:10 февраля 2010 г.
Источник:
SecurityVulns ID:10388
Тип:m-i-t-m
Уровень опасности:
8/10
Описание:Возможность подмены данных связанная с пересогласованием протокола без переустановки соединения.
Затронутые продукты:OPENSSL : OpenSSL 0.9
 PROFTPD : ProFTPD 1.3
 APACHE : Apache 2.2
 ARUBANETWORKS : ArubaOS 2.4
 ARUBANETWORKS : ArubaOS 2.5
 ARUBANETWORKS : ArubaOS 3.1
 ARUBANETWORKS : ArubaOS 3.3
 GNU : GnuTLS 2.8
 ARUBANETWORKS : ArubaOS 3.4
 MOZILLA : Mozilla Network Security Services 3.12
CVE:CVE-2009-3555 (The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as used in Microsoft Internet Information Services (IIS) 7.0, mod_ssl in the Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l, GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS) 3.12.4 and earlier, multiple Cisco products, and other products, does not properly associate renegotiation handshakes with an existing connection, which allows man-in-the-middle attackers to insert data into HTTPS sessions, and possibly other types of sessions protected by TLS or SSL, by sending an unauthenticated request that is processed retroactively by a server in a post-renegotiation context, related to a "plaintext injection" attack, aka the "Project Mogul" issue.)
Оригинальный текстdocumentARUBANETWORKS, Aruba Advisory ID: AID-020810 TLS Protocol Session Renegotiation Security Vulnerability (10.02.2010)
 documentRedTeam Pentesting, TLS Renegotiation Vulnerability: Proof of Concept Code (Python) (22.12.2009)
 documentRedTeam Pentesting, msgid:[email protected][email protected]&from=RedTeam%20Pentesting%20GmbH&folder=\\3APA3A\Bugtraq&subject=TLS%20Renegotiation%20Vulnerability:%20Proof (22.12.2009)
 documentMANDRIVA, [ MDVSA-2009:337 ] proftpd (22.12.2009)
 documentThierry Zoller, TLS / SSLv3 vulnerability explained (New ways to leverage the vulnerability) (30.11.2009)
 documentThierry Zoller, TLS / SSLv3 vulnerability explained (DRAFT) (18.11.2009)
 documentCISCO, Cisco Security Advisory: Transport Layer Security Renegotiation Vulnerability (11.11.2009)
 documentMANDRIVA, [ MDVSA-2009:295 ] apache (09.11.2009)
Файлы:PoC exploit for the TLS renegotiation vulnerability (CVE-2009-3555)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород