Информационная безопасность
[RU] switch to English


Ежедневная сводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
дополнено с 21 марта 2008 г.
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8816
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:CPANEL : cPanel 11.18
 DOTNETNUKE : DotNetNuke 4.8
 CPANEL : cPanel 11.21
Оригинальный текстdocumentZero-X ScriptKiddy, webutil.pl is still vulnerable against Remote Command Execution. (22.03.2008)
 documentlabs_(at)_gdssecurity.com, DotNetNuke Default Machine Key Exposure (22.03.2008)
 documentKVorb, Баг в модуле CMS DataLife Engine (21.03.2008)

Целочисленное переполнение в PHP
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8818
Тип:библиотека
Уровень опасности:
5/10
Описание:Целочисленное переполнение в printf
Затронутые продукты:PHP : PHP 5.2
CVE:CVE-2008-1384 (Integer overflow in PHP 5.2.5 and earlier allows context-dependent attackers to cause a denial of service and possibly have unspecified other impact via a printf format parameter with a large width specifier, related to the php_sprintf_appendstring function in formatted_print.c and probably other functions for formatted strings (aka *printf functions).)
Оригинальный текстdocumentMaksymilian Arciemowicz, {securityreason.com}PHP 5 *printf() - Integer Overflow (22.03.2008)

Переполнение буфера в Asus Remote Console
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8820
Тип:удаленная
Уровень опасности:
5/10
Описание:Переполнение буфера при разборе запроса TCP/623.
Затронутые продукты:ASUS : ASUS Remote Console 2.0
Оригинальный текстdocumentLuigi Auriemma, Buffer-overflow in ASUS Remote Console 2.0.0.24 (22.03.2008)
Файлы:Exploits buffer overflow in ASUS Remote Console 2.0.0.24

Несанкционированный доступ к ZyXel ZyWall
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8821
Тип:удаленная
Уровень опасности:
7/10
Описание:Возможен доступ и управление роутингом по протоколам RIP и OSPF с неизменяемой учетной записью по умолчанию zebra.
Затронутые продукты:ZYXEL : ZyWALL 1050
CVE:CVE-2008-1160
Оригинальный текстdocumentPranav Joshi, ZyXEL ZyWALL Quagga/Zebra Remote Root Vulnerability (22.03.2008)

Подмена запроса в Microsoft Internet Explorer 7
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8817
Тип:клиент
Уровень опасности:
6/10
Описание:Манипуляция заголовками и некорректная обработка кодировки chunked позволяют разбить запрос.
Затронутые продукты:MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Windows Vista
 MICROSOFT : Windows 2008 Server
Оригинальный текстdocumentMinded Security Research Labs, [MSA01240108] IE7 Transfer-Encoding: chunked allows Request Splitting/Smuggling. (22.03.2008)
 documentMinded Security Research Labs, [MSA02240108] IE7 allows overwriting of several headers leading to Http request Splitting and smuggling. (22.03.2008)

Многочисленные уязвимости безопасности в Microsoft Office / Excel / Outlook / Web Components
дополнено с 12 марта 2008 г.
Опубликовано:22 марта 2008 г.
Источник:
SecurityVulns ID:8773
Тип:клиент
Уровень опасности:
8/10
Описание:Многочисленные уязвимости в Microsoft Excel, выполнение кода через mailto: URI в Outlook, повреждения памяти в Microsoft Office, многочисленные уязвимости в Microsoft Office Web components.
CVE:CVE-2008-0118
 CVE-2008-0117
 CVE-2008-0116
 CVE-2008-0115
 CVE-2008-0114
 CVE-2008-0113 (Unspecified vulnerability in Microsoft Office Excel Viewer 2003 up to SP3 allows user-assisted remote attackers to execute arbitrary code via an Excel document with malformed cell comments that trigger memory corruption from an "allocation error," aka "Microsoft Office Cell Parsing Memory Corruption Vulnerability.")
 CVE-2008-0112
 CVE-2008-0111
 CVE-2008-0110
 CVE-2008-0081
 CVE-2007-1201
 CVE-2006-4695 (Unspecified vulnerability in certain COM objects in Microsoft Office Web Components 2000 allows user-assisted remote attackers to execute arbitrary code via a crafted URL, aka "Office Web Components URL Parsing Vulnerability.")
Оригинальный текстdocumentIDEFENSE, [Full-disclosure] iDefense Security Advisory 03.11.08: Microsoft Outlook mailto Command Line Switch Injection (12.03.2008)
 documentIDEFENSE, [Full-disclosure] iDefense Security Advisory 03.11.08: Microsoft Excel 2003 Malformed Formula Memory Corruption Vulnerability (12.03.2008)
 documentIDEFENSE, [Full-disclosure] iDefense Security Advisory 03.11.08: Microsoft Excel DVAL Heap Corruption Vulnerability (12.03.2008)
 documentZDI, ZDI-08-008: Microsoft Excel BIFF File Format Cell Record Parsing Memory Corruption Vulnerability (12.03.2008)
 documentDVLabs, TPTI-08-03: Microsoft Excel Rich Text Memory Corruption Vulnerability (12.03.2008)
 documentMICROSOFT, Microsoft Security Bulletin MS08-017 - Critical Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (933103) (12.03.2008)
 documentMICROSOFT, Microsoft Security Bulletin MS08-016 – Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (949030) (12.03.2008)
 documentMICROSOFT, Microsoft Security Bulletin MS08-015 - Critical Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (949031) (12.03.2008)
 documentMICROSOFT, Microsoft Security Bulletin MS08-014 - Critical Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (949029) (12.03.2008)
Файлы:MS08-014 exploit
  Microsoft Security Bulletin MS08-016 – Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (949030)
 Microsoft Security Bulletin MS08-017 - Critical Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (933103)
 Microsoft Security Bulletin MS08-014 - Critical Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (949029)
 Microsoft Security Bulletin MS08-015 - Critical Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (949031)

Переполнение буфера / подмена содержимого в Apple Safari для Windows
дополнено с 22 марта 2008 г.
Опубликовано:23 марта 2008 г.
Источник:
SecurityVulns ID:8819
Тип:клиент
Уровень опасности:
5/10
Описание:Переполнение буфера на длинном имени загружаемого файла.
Оригинальный текстdocumentjplopezy_(at)_gmail.com, Safari browser 3.1 (525.13) spoofing (23.03.2008)
 documentjplopezy_(at)_gmail.com, Safari 3.1 for windows download bug (22.03.2008)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород