Информационная безопасность
[RU] switch to English


Многочисленные уязвимости в Apache Tomcat
дополнено с 21 января 2008 г.
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8591
Тип:удаленная
Уровень опасности:
5/10
Описание:Межсайтовый скриптинг, утечка информации.
Затронутые продукты:APACHE : Tomcat 4.0
 APACHE : Tomcat 4.1
 APACHE : Tomcat 5.0
 APACHE : Tomcat 5.5
 APACHE : Tomcat 6.0
CVE:CVE-2008-0128
 CVE-2008-0002 (Apache Tomcat 6.0.0 through 6.0.15 processes parameters in the context of the wrong request when an exception occurs during parameter processing, which might allow remote attackers to obtain sensitive information, as demonstrated by disconnecting during this processing in order to trigger the exception.)
 CVE-2007-2450 (Multiple cross-site scripting (XSS) vulnerabilities in the (1) Manager and (2) Host Manager web applications in Apache Tomcat 4.0.0 through 4.0.6, 4.1.0 through 4.1.36, 5.0.0 through 5.0.30, 5.5.0 through 5.5.24, and 6.0.0 through 6.0.13 allow remote authenticated users to inject arbitrary web script or HTML via a parameter name to manager/html/upload, and other unspecified vectors.)
Оригинальный текстdocumentAPACHE, CVE-2008-0002: Tomcat information disclosure vulnerability (10.02.2008)

Ежедневная сводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8649
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:JOOMLA : Joomla 1.0
 HUSREV : Husrev Forums 2.0
 POWERSCRIPTS : PowerNews 2.5
 JOOVILI : Joovili 2.1
 PKS : PKs Movie Database 3.0
Оригинальный текстdocumenthoussamix_(at)_hotmail.fr, PKs Movie Database version 3.0.3 (SQL/XSS) (10.02.2008)
 documentcrazy_kinq_(at)_hotmail.co.uk, Joomla <= v1.0.14-RC1(Index.php) Remote File Inclusion Exploit (10.02.2008)
 documentcrazy_kinq_(at)_hotmail.co.uk, Joovili <= v.2.1 (members_help.php) Remote File İnclude Vulnerability (10.02.2008)
 documentcrazy_kinq_(at)_hotmail.co.uk, Blackboard (id) Remote SQL Injection (10.02.2008)
 documentcrazy_kinq_(at)_hotmail.co.uk, Husrev Forums v2.0.1:PoWerBoard (tr) (id) Remote SQL Injection (10.02.2008)
 documentDigital Security Research Group [DSecRG], [DSECRG-08-014] Multiple LFI in PowerNews (Newsscript) 2.5.6 (10.02.2008)
 documentMustLive, Vulnerabilities in CMS SiteEdit (10.02.2008)

Переполнение буфера в библиотеке Tk
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8650
Тип:библиотека
Уровень опасности:
6/10
Описание:Переполнение буфера при разборе GIF в функции ReadImage.
Затронутые продукты:TK : libtk 8.4
CVE:CVE-2008-0553 (Stack-based buffer overflow in the ReadImage function in tkImgGIF.c in Tk (Tcl/Tk) before 8.5.1 allows remote attackers to execute arbitrary code via a crafted GIF image, a similar issue to CVE-2006-4484.)
Оригинальный текстdocumentMANDRIVA, [ MDVSA-2008:041 ] - Updated tk packages fix buffer overflow vulnerability (10.02.2008)

Слабые разрешения в CheckPoint SecuRemote / Secure Client
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8652
Тип:локальная
Уровень опасности:
5/10
Описание:Кэшированная учетная запись хранится в открытой ветви реестра.
Затронутые продукты:CHECKPOINT : SecureClient NGX R60
 CHECKPOINT : SecuRemote R60
Оригинальный текстdocumentMichael Neal Vasquez, Checkpoint SecuRemote/Secure Client NGX Auto Local Logon Vulnerability (10.02.2008)

Многочисленные уязвимости безопасности в Ipswitch Instant Messaging
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8653
Тип:удаленная
Уровень опасности:
5/10
Описание:Ошибка форматной строки, DoS-условия.
Затронутые продукты:IPSWITCH : Ipswitch Instant Messaging 2.0
Оригинальный текстdocumentLuigi Auriemma, Multiple vulnerabilities in Ipswitch Instant Messaging 2.0.8.1 (10.02.2008)
Файлы:Exploits Ipswitch Instant Messaging <= 2.0.8.1 multiple vulnerabilities

Переполнение буфера в Netpbm
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8654
Тип:локальная
Уровень опасности:
3/10
Описание:Переполнение буфера при разборе GIF в giftopnm.
Затронутые продукты:NETPBM : netpbm 9.24
CVE:CVE-2008-0554 (Buffer overflow in the readImageData function in giftopnm.c in netpbm before 10.27 in netpbm before 10.27 allows remote user-assisted attackers to cause a denial of service (crash) and possibly execute arbitrary code via a crafted GIF image, a similar issue to CVE-2006-4484.)
Оригинальный текстdocumentMANDRIVA, [ MDVSA-2008:039 ] - Updated netpbm packages fix buffer overflow vulnerability (10.02.2008)

Переполнение буфера в ActiveX Sony Imagestation
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8655
Тип:клиент
Уровень опасности:
5/10
Описание:Переполнение буфера в методе SetLogging.
Оригинальный текстdocumentdavid130490_(at)_hotmail.com, Buffer Overflow Vulnerability in AxRUploadServer.dll, Activex Method (SetLogging) (10.02.2008)

Переполнение буфера в JetAudio
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8656
Тип:клиент
Уровень опасности:
5/10
Описание:Переполнение буфера на длинном URI файла ASX.
Затронутые продукты:JETAUDIO : JetAudio 7.0
Оригинальный текстdocumentlaurent gaffie, jetAudio <= 7.0.5 (.ASX) Remote Stack Overflow (10.02.2008)

DoS против многих продуктов IEA
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8657
Тип:удаленная
Уровень опасности:
4/10
Описание:Обращение по нулевому указателю во встроенном сервере веб-администрирования.
Затронутые продукты:IEA : Emerald 5.0
 IEA : RadiusNT 5.1
 IEA : RadiusX 5.1
 IEA : Air Marshal 2.0
Оригинальный текстdocumentLuigi Auriemma, NULL byte writing in Emerald, RadiusNT/X and Air Marshal (10.02.2008)

Многочисленные узявимости безопасности в сервере баз данных IBM DB2
Опубликовано:10 февраля 2008 г.
Источник:
SecurityVulns ID:8658
Тип:удаленная
Уровень опасности:
5/10
Описание:Повреждение памяти в службе удаленного администрирования TCP/523. Подгрузка библиотеки по относительному пути.
Затронутые продукты:IBM : DB2 Universal Database 9.1
CVE:CVE-2007-5757
 CVE-2007-3676
Оригинальный текстdocumentIDEFENSE, iDefense Security Advisory 02.07.08: IBM DB2 Universal Database Administration Server Memory Corruption Vulnerability (10.02.2008)
 documentIDEFENSE, iDefense Security Advisory 02.07.08: IBM DB2 Universal Database db2pd Arbitrary Library Loading Vulnerability (10.02.2008)

Многочисленные уязвимости безопасности в Mozilla Firefox / Thunderbird / Seamonkey
дополнено с 10 февраля 2008 г.
Опубликовано:11 февраля 2008 г.
Источник:
SecurityVulns ID:8648
Тип:клиент
Уровень опасности:
9/10
Описание:Многочисленные повреждения памяти, подмена фокуса ввода, межсайтовый скриптинг, выполнение кода, повреждение хранимой информации, обратный путь в каталогах, утечка информации, подмена текста в диалогах,
Затронутые продукты:MOZILLA : Firefox 2.0
 MOZILLA : Thunderbird 2.0
 MOZILLA : SeaMonkey 1.1
CVE:CVE-2008-0594 (Mozilla Firefox before 2.0.0.12 does not always display a web forgery warning dialog if the entire contents of a web page are in a DIV tag that uses absolute positioning, which makes it easier for remote attackers to conduct phishing attacks.)
 CVE-2008-0593 (Gecko-based browsers, including Mozilla Firefox before 2.0.0.12 and SeaMonkey before 1.1.8, modify the .href property of stylesheet DOM nodes to the final URI of a 302 redirect, which might allow remote attackers to bypass the Same Origin Policy and read sensitive information from the original URL, such as with Single-Signon systems.)
 CVE-2008-0592 (Mozilla Firefox before 2.0.0.12 and SeaMonkey before 1.1.8 allows user-assisted remote attackers to cause a denial of service via a plain .txt file with a "Content-Disposition: attachment" and an invalid "Content-Type: plain/text," which prevents Firefox from rendering future plain text files within the browser.)
 CVE-2008-0591 (Mozilla Firefox before 2.0.0.12 and Thunderbird before 2.0.0.12 allows user-assisted remote attackers to cause users to confirm a timer-enabled security dialog by using a timer to change the window focus.)
 CVE-2008-0419
 CVE-2008-0418 (Directory traversal vulnerability in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8, when using "flat" addons, allows remote attackers to read arbitrary Javascript, image, and stylesheet files via the chrome: URI scheme, as demonstrated by stealing session information from sessionstore.js.)
 CVE-2008-0417
 CVE-2008-0415
 CVE-2008-0414 (Mozilla Firefox before 2.0.0.12 and SeaMonkey before 1.1.8 allows user-assisted remote attackers to trick the user into uploading arbitrary files via label tags that shift focus to a file input field, aka "focus spoofing.")
 CVE-2008-0413
 CVE-2008-0412 (The browser engine in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8 allows remote attackers to cause a denial of service (crash) and possibly trigger memory corruption via vectors related to the (1) nsTableFrame::GetFrameAtOrBefore, (2) nsAccessibilityService::GetAccessible, (3) nsBindingManager::GetNestedInsertionPoint, (4) nsXBLPrototypeBinding::AttributeChanged, (5) nsColumnSetFrame::GetContentInsertionFrame, and (6) nsLineLayout::TrimTrailingWhiteSpaceIn methods, and other vectors.)
Оригинальный текстdocumentcarl hardwick, [Full-disclosure] Firefox 2.0.0.12 information leak vulnerability (11.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-11 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-10 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-09 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-08 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-06 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-05 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-04 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-03 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-02 (10.02.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-01 (10.02.2008)
Файлы:Firefox 2.0.0.12 information leak vulnerability PoC

Многочисленные уязвимости безопасности в Adobe Acrobat / Reader
дополнено с 10 февраля 2008 г.
Опубликовано:12 февраля 2008 г.
Источник:
SecurityVulns ID:8651
Тип:клиент
Уровень опасности:
8/10
Описание:Многочисленные переполнения буфера и целочисленные переполнения, небезопасные методы, небезопасная работа с динамическими библиотеками.
Затронутые продукты:ADOBE : Adobe Reader 8.1
 ADOBE : Adobe Acrobat 8.1
CVE:CVE-2008-0726 (Integer overflow in Adobe Reader and Acrobat 8.1.1 and earlier allows remote attackers to execute arbitrary code via crafted arguments to the printSepsWithParams, which triggers memory corruption.)
 CVE-2008-0667 (The DOC.print function in the Adobe JavaScript API, as used by Adobe Acrobat and Reader before 8.1.2, allows remote attackers to configure silent non-interactive printing, and trigger the printing of an arbitrary number of copies of a document. NOTE: this issue might be subsumed by CVE-2008-0655.)
 CVE-2007-5666
 CVE-2007-5663
 CVE-2007-5659
 CVE-2007-5609
Оригинальный текстdocumentZDI, ZDI-08-004: Adobe AcrobatReader Javascript for PDF Integer Overflow Vulnerability (12.02.2008)
 documentCERT, US-CERT Technical Cyber Security Alert TA08-043A -- Adobe Reader and Acrobat Vulnerabilities (12.02.2008)
 documentcocoruder, Adobe Reader/Acrobat Remote PDF Print Silently Vulnerability (10.02.2008)
 documentIDEFENSE, iDefense Security Advisory 02.08.08: Adobe Reader and Acrobat Multiple Stack-based Buffer Overflow Vulnerabilities (10.02.2008)
 documentIDEFENSE, iDefense Security Advisory 02.08.08: Adobe Reader Security Provider Unsafe Libary Path Vulnerability (10.02.2008)
 documentIDEFENSE, iDefense Security Advisory 02.08.08: Adobe Reader and Acrobat JavaScript Insecure Method Exposure Vulnerability (10.02.2008)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород