Информационная безопасность
[RU] switch to English


Обход аутентификации в Cisco Secure Access Control System
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12707
Тип:удаленная
Уровень опасности:
7/10
Описание:Недостаточная проверка пароля при использовании TACACS+ в сочетании с LDAP.
Затронутые продукты:CISCO : Secure ACS 5.3
 CISCO : Secure ACS 5.2
CVE:CVE-2012-5424 (Cisco Secure Access Control System (ACS) 5.x before 5.2 Patch 11 and 5.3 before 5.3 Patch 7, when a certain configuration involving TACACS+ and LDAP is used, does not properly validate passwords, which allows remote attackers to bypass authentication by sending a valid username and a crafted password string, aka Bug ID CSCuc65634.)
Файлы:Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability
 Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability

Обход защиты в Cisco Nexus 1000V
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12708
Тип:удаленная
Уровень опасности:
4/10
Описание:При некоторых условиях устройство с недействительной лицензией и неработающей защитой не выводит информацию об этом.
Затронутые продукты:CISCO : Cisco Nexus 1000V
Файлы:Cisco Nexus 1000V Series Switch Software Release 4.2(1)SV1(5.2) Virtual Security Gateway Bypass Issue

Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12709
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:AWCM : AWCM 2.2
 WORDPRESS : AJAX Post Search 1.1
 CMSMADESIMPLE : CMS Made Simple 1.11
CVE:CVE-2012-5450 (Cross-site request forgery (CSRF) vulnerability in lib/filemanager/imagemanager/images.php in CMS Made Simple (CMSMS) 1.11.2 and earlier allows remote attackers to hijack the authentication of administrators for requests that delete arbitrary files via the deld parameter.)
 CVE-2012-2438 (ar web content manager (AWCM) 2.2 does not restrict the number of comment records that can be submitted through HTTP requests, which allows remote attackers to cause a denial of service (disk consumption) via the coment parameter to (1) show_video.php or (2) topic.php.)
 CVE-2012-2437 (cookie_gen.php in ar web content manager (AWCM) 2.2 does not require authentication, which allows remote attackers to generate arbitrary cookies via the name parameter in conjunction with the content parameter.)
Оригинальный текстdocumentsonpostman_(at)_gmail.com, Vulnerability Report on AWCM 2.2 (09.11.2012)
 documentHigh-Tech Bridge Security Research, Cross-Site Request Forgery (CSRF) in CMS Made Simple (09.11.2012)
 documentmarcelavbx_(at)_gmail.com, Sql injection in AJAX post Search wordpress plugin (09.11.2012)

Многочисленные уязвимости безопасности в Apple QuickTime
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12704
Тип:клиент
Уровень опасности:
7/10
Описание:Многочисленные повреждения памяти при разборе различных типов файлов и ответах сервера и в ActiveX компонентах.
Затронутые продукты:APPLE : QuickTime 7.7
CVE:CVE-2012-3758 (Buffer overflow in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted transform attribute in a text3GTrack element in a QuickTime TeXML file.)
 CVE-2012-3757 (Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption and application crash) via a crafted PICT file.)
 CVE-2012-3756 (Buffer overflow in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted rnet box in an MP4 movie file.)
 CVE-2012-3755 (Buffer overflow in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted Targa image.)
 CVE-2012-3754 (Use-after-free vulnerability in the Clear method in the ActiveX control in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via unspecified vectors.)
 CVE-2012-3753 (Buffer overflow in the plugin in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted MIME type.)
 CVE-2012-3752 (Multiple buffer overflows in Apple QuickTime before 7.7.3 allow remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted style element in a QuickTime TeXML file.)
 CVE-2012-3751 (Use-after-free vulnerability in the plugin in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via an HTML document with a crafted _qtactivex_ parameter in an OBJECT element.)
 CVE-2011-1374 (Buffer overflow in Apple QuickTime before 7.7.3 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted REGION record in a PICT file.)
Оригинальный текстdocumentAPPLE, APPLE-SA-2012-11-07-1 QuickTime 7.7.3 (09.11.2012)

Повреждение памяти в IcedTea-Web
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12705
Тип:клиент
Уровень опасности:
5/10
Затронутые продукты:ICEDTEA : icedtea-web 1.3
CVE:CVE-2012-4540 (Off-by-one error in the invoke function in IcedTeaScriptablePluginObject.cc in IcedTea-Web 1.1.x before 1.1.7, 1.2.x before 1.2.2, and 1.3.x before 1.3.1 allows remote attackers to obtain sensitive information, cause a denial of service (crash), or possibly execute arbitrary code via a crafted webpage that triggers a heap-based buffer overflow, related to an error message and a "triggering event attached to applet.")
Оригинальный текстdocumentUBUNTU, [USN-1625-1] Icedtea-Web vulnerability (09.11.2012)

Несанкционированное удаление образов в Glance
Опубликовано:9 ноября 2012 г.
Источник:
SecurityVulns ID:12706
Тип:библиотека
Уровень опасности:
5/10
Описание:Недостаточная проверка контроля доступа.
Затронутые продукты:OPENSTACK : glance 2012.2
CVE:CVE-2012-4573 (The v1 API in OpenStack Glance Grizzly, Folsom (2012.2), and Essex (2012.1) allows remote authenticated users to delete arbitrary non-protected images via an image deletion request, a different vulnerability than CVE-2012-5482.)
Оригинальный текстdocumentUBUNTU, [USN-1626-1] Glance vulnerability (09.11.2012)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород