Информационная безопасность
[RU] switch to English


DoS против ipsec-tools
дополнено с 14 мая 2009 г.
Опубликовано:19 мая 2009 г.
Источник:
SecurityVulns ID:9909
Тип:удаленная
Уровень опасности:
6/10
Описание:Обращение по нулевому указателю при получении фрагментированного пустого пакета, многочисленные утечки памяти.
Затронутые продукты:IPSECTOOLS : ipsec-tools 0.7
CVE:CVE-2009-1632 (Multiple memory leaks in Ipsec-tools before 0.7.2 allow remote attackers to cause a denial of service (memory consumption) via vectors involving (1) signature verification during user authentication with X.509 certificates, related to the eay_check_x509sign function in src/racoon/crypto_openssl.c; and (2) the NAT-Traversal (aka NAT-T) keepalive implementation, related to src/racoon/nattraversal.c.)
 CVE-2009-1574 (racoon/isakmp_frag.c in ipsec-tools before 0.7.2 allows remote attackers to cause a denial of service (crash) via crafted fragmented packets without a payload, which triggers a NULL pointer dereference.)
Оригинальный текстdocumentMANDRIVA, [Full-disclosure] [ MDVSA-2009:114 ] ipsec-tools (19.05.2009)
 documentMANDRIVA, [ MDVSA-2009:112 ] ipsec-tools (14.05.2009)

Многочисленные уязвимости в gnutls
Опубликовано:19 мая 2009 г.
Источник:
SecurityVulns ID:9913
Тип:библиотека
Уровень опасности:
6/10
Описание:DoS, проблемы при проверке сертификата.
Затронутые продукты:GNU : GnuTLS 2.6
 GNU : GnuTLS 2.5
CVE:CVE-2009-1417 (gnutls-cli in GnuTLS before 2.6.6 does not verify the activation and expiration times of X.509 certificates, which allows remote attackers to successfully present a certificate that is (1) not yet valid or (2) no longer valid, related to lack of time checks in the _gnutls_x509_verify_certificate function in lib/x509/verify.c in libgnutls_x509, as used by (a) Exim, (b) OpenLDAP, and (c) libsoup.)
 CVE-2009-1416 (lib/gnutls_pk.c in libgnutls in GnuTLS 2.5.0 through 2.6.5 generates RSA keys stored in DSA structures, instead of the intended DSA keys, which might allow remote attackers to spoof signatures on certificates or have unspecified other impact by leveraging an invalid DSA key.)
 CVE-2009-1415 (lib/pk-libgcrypt.c in libgnutls in GnuTLS before 2.6.6 does not properly handle invalid DSA signatures, which allows remote attackers to cause a denial of service (application crash) and possibly have unspecified other impact via a malformed DSA key that triggers a (1) free of an uninitialized pointer or (2) double free.)
Оригинальный текстdocumentMANDRIVA, [Full-disclosure] [ MDVSA-2009:116 ] gnutls (19.05.2009)

Ежедневная сводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:19 мая 2009 г.
Источник:
SecurityVulns ID:9914
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:DRUPAL : Drupal 6.12
Оригинальный текстdocumentJustin C. Klein Keane, [Full-disclosure] Drupal 6 CCK Module XSS Vulnerability (19.05.2009)

Повышение привилегий в HP Data Protector Express
Опубликовано:19 мая 2009 г.
Источник:
SecurityVulns ID:9915
Тип:локальная
Уровень опасности:
5/10
CVE:CVE-2009-0714 (Unspecified vulnerability in the dpwinsup module (dpwinsup.dll) for dpwingad (dpwingad.exe) in HP Data Protector Express and Express SSE 3.x before build 47065, and Express and Express SSE 4.x before build 46537, allows remote attackers cause a denial of service (application crash) or read portions of memory via one or more crafted packets.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMA02417 SSRT090031 rev.1 - HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (19.05.2009)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород