Информационная безопасность
[RU] switch to English


Уязвимости безопасности в EMC Documentum eRoom
дополнено с 18 марта 2012 г.
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12259
Тип:удаленная
Уровень опасности:
5/10
Описание:replay-атаки и межсайтовый скриптинг.
Затронутые продукты:EMC : Documentum eRoom 7.4
CVE:CVE-2012-0404 (Cross-site scripting (XSS) vulnerability in EMC Documentum eRoom before 7.4.4 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.)
 CVE-2012-0398 (EMC Documentum eRoom before 7.4.4 does not properly validate session cookies, which allows remote attackers to hijack or replay sessions via unspecified vectors.)
Оригинальный текстdocumentSEC Consult Vulnerability Lab, SEC Consult SA-20120315-0 :: Multiple permanent XSS vulnerabilities in EMC Documentum eRoom (20.03.2012)
 documentEMC, ESA-2012-012: EMC Documentum eRoom Multiple Vulnerabilities (18.03.2012)

Исчерпание ресурсов в модуле Apache FCGID
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12277
Тип:библиотека
Уровень опасности:
2/10
Описание:Не работает ограничение FcgidMaxProcessesPerClass
Затронутые продукты:APACHE : mod_fcgid 2.3
CVE:CVE-2012-1181 (fcgid_spawn_ctl.c in the mod_fcgid module 2.3.6 for the Apache HTTP Server does not recognize the FcgidMaxProcessesPerClass directive for a virtual host, which makes it easier for remote attackers to cause a denial of service (memory consumption) via a series of HTTP requests that triggers a process count higher than the intended limit.)
Оригинальный текстdocumentDEBIAN, [SECURITY] [DSA 2436-1] libapache2-mod-fcgid security update (20.03.2012)

Уязвимости безопасности в Aruba Remote Access Point
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12278
Тип:удаленная
Уровень опасности:
6/10
Описание:Внедрение команд через Web-интерфейс, обход аутентификации.
Затронутые продукты:ARUBANETWORKS : ArubaOS 5.0
 ARUBANETWORKS : ArubaOS 6.0
 ARUBANETWORKS : ArubaOS 6.1
Оригинальный текстdocumentARUBANETWORK, Aruba Networks multiple advisories: OS command injection in RAP web interface and 802.1X EAP-TLS user authentication bypass (20.03.2012)

Многочисленные уязвимости безопасности в продуктах VMWare
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12279
Тип:удаленная
Уровень опасности:
6/10
Описание:Повышение привилегий, скриптинг между приложениям, утечка информации, межсайтовый скриптинг.
Затронутые продукты:VMWARE : ESXi 4.1
 VMWARE : ESXi 4.0
 VMWARE : ESX 4.0
 VMWARE : ESX 4.1
 VMWARE : Center Server 5.0
 VMWARE : vCenter Server 5.0
 VMWARE : vSphere Client 5.0
 VMWARE : vCenter Orchestrator 4.2
 VMWARE : vCenter Orchestrator 4.1
 VMWARE : vCenter Orchestrator 4.0
 VMWARE : vShield Manager 4.1
 VMWARE : VMware Update Manager 5.0
 VMWARE : ESXi 5.0
CVE:CVE-2012-1514 (Cross-site request forgery (CSRF) vulnerability in VMware vShield Manager (vSM) 1.0.1 before Update 2 and 4.1.0 before Update 2 allows remote attackers to hijack the authentication of arbitrary users.)
 CVE-2012-1513 (The Web Configuration tool in VMware vCenter Orchestrator (vCO) 4.0 before Update 4, 4.1 before Update 2, and 4.2 before Update 1 places the vCenter Server password in an HTML document, which allows remote authenticated administrators to obtain sensitive information by reading this document.)
 CVE-2012-1512 (Cross-site scripting (XSS) vulnerability in the internal browser in vSphere Client in VMware vSphere 4.1 before Update 2 and 5.0 before Update 1 allows remote attackers to inject arbitrary web script or HTML via a crafted log-file entry.)
 CVE-2012-1510 (Buffer overflow in the WDDM display driver in VMware ESXi 4.0, 4.1, and 5.0; VMware ESX 4.0 and 4.1; and VMware View before 4.6.1 allows guest OS users to gain guest OS privileges via unspecified vectors.)
 CVE-2012-1509 (Buffer overflow in the XPDM display driver in VMware View before 4.6.1 allows guest OS users to gain guest OS privileges via unspecified vectors.)
 CVE-2012-1508 (The XPDM display driver in VMware ESXi 4.0, 4.1, and 5.0; VMware ESX 4.0 and 4.1; and VMware View before 4.6.1 allows guest OS users to gain guest OS privileges or cause a denial of service (NULL pointer dereference) via unspecified vectors.)
 CVE-2012-0022 (Apache Tomcat 5.5.x before 5.5.35, 6.x before 6.0.34, and 7.x before 7.0.23 uses an inefficient approach for handling parameters, which allows remote attackers to cause a denial of service (CPU consumption) via a request that contains many parameters and parameter values, a different vulnerability than CVE-2011-4858.)
 CVE-2011-3375 (Apache Tomcat 6.0.30 through 6.0.33 and 7.x before 7.0.22 does not properly perform certain caching and recycling operations involving request objects, which allows remote attackers to obtain unintended read access to IP address and HTTP header information in opportunistic circumstances by reading TCP data.)
 CVE-2011-3190 (Certain AJP protocol connector implementations in Apache Tomcat 7.0.0 through 7.0.20, 6.0.0 through 6.0.33, 5.5.0 through 5.5.33, and possibly other versions allow remote attackers to spoof AJP requests, bypass authentication, and obtain sensitive information by causing the connector to interpret a request body as a new request.)
 CVE-2010-0405 (Integer overflow in the BZ2_decompress function in decompress.c in bzip2 and libbzip2 before 1.0.6 allows context-dependent attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a crafted compressed file.)
Оригинальный текстdocumentVMWARE, VMSA-20120005 VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues (20.03.2012)

Утечка информации в Tor Browser Bundle
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12280
Тип:локальная
Уровень опасности:
5/10
Описание:Всегда включен режим отладки.
Затронутые продукты:TOR : Tor Browser Bundle 2.2
Оригинальный текстdocumentCXySuYg5DuKktzX_(at)_Safe-mail.net, Tor Browser Bundle for Linux (2.2.35-8) "EVIL bug" (20.03.2012)

Обратный путь в каталогах ManageEngine DeviceExpert
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12281
Тип:удаленная
Уровень опасности:
5/10
Описание:Обратный путь в каталогах сервлета ScheduleResultViewer.
Затронутые продукты:MANAGEENGINE : DeviceExpert 5.6
Оригинальный текстdocumentrgod, ManageEngine DeviceExpert 5.6 Java Server ScheduleResultViewer servlet Unauthenticated Remote Directory Traversal Vulnerability (20.03.2012)

Многочисленные уязвимости безопасности в EMC RSA enVision
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12282
Тип:удаленная
Уровень опасности:
6/10
Описание:Межсайтовый скриптинг, инъекция SQL, обратный путь в каталогах, неизменяемые учетные записи, обход ограничений.
Затронутые продукты:EMC : RSA enVision 4.1
CVE:CVE-2012-0403 (Directory traversal vulnerability in EMC RSA enVision 4.x before 4.1 Patch 4 allows remote authenticated users to have an unspecified impact via unknown vectors.)
 CVE-2012-0402 (EMC RSA enVision 4.x before 4.1 Patch 4 uses unspecified hardcoded credentials, which makes it easier for remote attackers to obtain access via unknown vectors.)
 CVE-2012-0401 (Multiple SQL injection vulnerabilities in EMC RSA enVision 4.x before 4.1 Patch 4 allow remote authenticated users to execute arbitrary SQL commands via unspecified vectors.)
 CVE-2012-0400 (EMC RSA enVision 4.x before 4.1 Patch 4 does not properly restrict the number of failed authentication attempts, which makes it easier for remote attackers to obtain access via a brute-force attack.)
 CVE-2012-0399 (Multiple cross-site scripting (XSS) vulnerabilities in EMC RSA enVision 4.x before 4.1 Patch 4 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors.)
Оригинальный текстdocumentEMC, ESA-2012-014: RSA enVision Multiple Vulnerabilities (20.03.2012)

Переполнение буфера в at32 reverse proxy
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12283
Тип:удаленная
Уровень опасности:
5/10
Описание:Переполнение буфера при разборе заголовков.
Затронутые продукты:AT32 : At32 Reverse Proxy 1.060
Оригинальный текстdocumentdemonalex_(at)_163.com, at32 ReverseProxy - Multiple HTTP Header Field Denial Of Service Vulnerability (20.03.2012)

Переполнение буфера в ActiveX Dell Webcam
Опубликовано:20 марта 2012 г.
Источник:
SecurityVulns ID:12284
Тип:удаленная
Уровень опасности:
5/10
Описание:Многочисленные переполнения буфера в ActiveX crazytalk4
Оригинальный текстdocumentrgod, Dell Webcam Software Bundled ActiveX Control CrazyTalk4Native.dll sprintf Remote Buffer Overflow Vulnerability (20.03.2012)

Уязвимости безопасности в Adobe Flash Player
дополнено с 20 марта 2012 г.
Опубликовано:19 апреля 2012 г.
Источник:
SecurityVulns ID:12276
Тип:клиент
Уровень опасности:
7/10
Описание:Несколько повреждений памяти.
Затронутые продукты:ADOBE : Flash Player 11.1
CVE:CVE-2012-0769 (Adobe Flash Player before 10.3.183.16 and 11.x before 11.1.102.63 on Windows, Mac OS X, Linux, and Solaris; before 11.1.111.7 on Android 2.x and 3.x; and before 11.1.115.7 on Android 4.x does not properly handle integers, which allows attackers to obtain sensitive information via unspecified vectors.)
 CVE-2012-0768 (The Matrix3D component in Adobe Flash Player before 10.3.183.16 and 11.x before 11.1.102.63 on Windows, Mac OS X, Linux, and Solaris; before 11.1.111.7 on Android 2.x and 3.x; and before 11.1.115.7 on Android 4.x allows attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors.)
Оригинальный текстdocumentFermin J. Serna, CVE-2012-0769, the case of the perfect info leak (19.04.2012)
 documentADOBE, Security update available for Adobe Flash Player (20.03.2012)
 documentVUPEN Security Research, VUPEN Security Research - Adobe Flash Player "Matrix3D" Remote Memory Corruption (CVE-2012-0768) (20.03.2012)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород