Информационная безопасность
[RU] switch to English


Подмена сертификатов в Firefox / Konqueror / Safari
дополнено с 19 ноября 2007 г.
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8359
Тип:удаленная
Уровень опасности:
5/10
Описание:При ручном подтверждении сертификата от неизвестного удостоверяющего центра, не происходит привязки сертификата к имени сайту, что позволяет исопльзовать его для другого имени.
Затронутые продукты:APPLE : Safari 2.0
 MOZILLA : Firefox 2.0
 KDE : Konqueror 3.5
 APPLE : Safari 3.0
 KDE : Konqueror 3.95
Оригинальный текстdocumentGraeme Fowler, Re: Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (20.11.2007)
 documentNils Toedtmann, ertificate spoofing with subjectAltName and domain name wildcards (19.11.2007)
 documentNils Toedtmann, [Full-disclosure] Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (19.11.2007)

Ежедневная сводка ошибок в Web-приложениях (PHP, ASP, JSP, CGI, Perl )
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8361
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, утечка информации и т.д.
Затронутые продукты:WORDPRESS : WordPress 2.3
Оригинальный текстdocumentSteven J. Murdoch, Wordpress Cookie Authentication Vulnerability (20.11.2007)
 documentno-reply_(at)_aria-security.net, [Aria-Secutiy Net] Click&BaneX SQL Injection (20.11.2007)
 documentMustLive, MoBiC-19: HBH-Fusion CAPTCHA bypass (20.11.2007)

Многочисленные DoS-условия в PHP
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8362
Тип:библиотека
Уровень опасности:
6/10
Описание:Многочисленные условия отказа в обслуживании.
Затронутые продукты:PHP : PHP 5.2
CVE:CVE-2007-5900
 CVE-2007-5899
 CVE-2007-5898
 CVE-2007-4887 (The dl function in PHP 5.2.4 and earlier allows context-dependent attackers to cause a denial of service (application crash) via a long string in the library parameter. NOTE: there are limited usage scenarios under which this would be a vulnerability.)
 CVE-2007-4840 (PHP 5.2.4 and earlier allows context-dependent attackers to cause a denial of service (application crash) via (1) a long string in the out_charset parameter to the iconv function; or a long string in the charset parameter to the (2) iconv_mime_decode_headers, (3) iconv_mime_decode, or (4) iconv_strlen function. NOTE: this might not be a vulnerability in most web server environments that support multiple threads, unless these issues can be demonstrated for code execution.)
 CVE-2007-4783 (The iconv_substr function in PHP 5.2.4 and earlier allows context-dependent attackers to cause (1) a denial of service (application crash) via a long string in the charset parameter, probably also requiring a long string in the str parameter; or (2) a denial of service (temporary application hang) via a long string in the str parameter. NOTE: this might not be a vulnerability in most web server environments that support multiple threads, unless these issues can be demonstrated for code execution.)
Оригинальный текстdocumentRPATH, rPSA-2007-0242-1 php5 php5-cgi php5-mysql php5-pear php5-pgsql php5-soap php5-xsl (20.11.2007)

DoS против беспроводных маршрутизаторов Belkin
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8363
Тип:удаленная
Уровень опасности:
5/10
Описание:Устройство уязвимо к атаке SYN-flood.
Затронутые продукты:BELKIN : Belkin Wireless G F5D7230-4
Оригинальный текстdocumentr00t_(at)_bl4ckh0l3.com, Belkin Wireless G Router DoS (20.11.2007)

Перехват аудио-потока в Alcatel OmniPCX (data hijack)
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8364
Тип:удаленная
Уровень опасности:
6/10
Описание:Можно перехватить голосовой поток от сервера, послав TFTP-запрос с именем файла, содержащим MAC-адрес жертвы.
Затронутые продукты:ALCATEL : OmniPCX 7.1
Оригинальный текстdocumentdaniel.stirnimann_(at)_csnc.ch, Alcatel OmniPCX Enterprise VoIP Vulnerability (20.11.2007)

Межсайтовый скриптинг в Citrix NetScaler
Опубликовано:20 ноября 2007 г.
Источник:
SecurityVulns ID:8365
Тип:удаленная
Уровень опасности:
5/10
Описание:Межсайтовый скриптинг в /ws/generic_api_call.pl.
Затронутые продукты:CITRIX : NetScaler 8.0
Оригинальный текстdocumentnnposter_(at)_disclosed.not, Citrix NetScaler Web Management XSS (20.11.2007)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород