Информационная безопасность
[RU] switch to English


Ежедневная сводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:26 марта 2008 г.
Источник:
SecurityVulns ID:8835
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:PHPADDRESSBOOK : php-addressbook 2.0
 INVISION : Invision Power Board 2.3
Оригинальный текстdocumentshaheemirza_(at)_gmail.com, Invision Power Board <=2.3.x iFrame Vuln (26.03.2008)
 documentKnight Commander, php-addressbook v2.0 SQL Injection Vulnerbility (26.03.2008)
 documentKnight Commander, Blackboard Academic Suite Multiple XSS Vulnerabilities (26.03.2008)
 document0in.email_(at)_gmail.com, phpBB PJIRC mod LFI (26.03.2008)

Переполнение буфера в сервере и клиенте SILC
Опубликовано:26 марта 2008 г.
Источник:
SecurityVulns ID:8836
Тип:удаленная
Уровень опасности:
6/10
Описание:Переполнение буфера при разборе сертификатов PKCS #1
Затронутые продукты:SILC : SILC server 1.1
 SILC : SILC client 1.1
Оригинальный текстdocumentCORE SECURITY TECHNOLOGIES ADVISORIES, CORE-2007-1212: SILC pkcs_decode buffer overflow (26.03.2008)

Выполнение команд в маршрутизаторах AzTech
Опубликовано:26 марта 2008 г.
Источник:
SecurityVulns ID:8840
Тип:удаленная
Уровень опасности:
5/10
Описание:Возможно выполнение команд через web-интерфейс без аутентификации.
Оригинальный текстdocumentDerek striemer, Aztech ADSL2/2+ 4 Port remote root (26.03.2008)

Многочисленные уязвимости безопасности в IOS маршрутизаторов CISCO
дополнено с 26 марта 2008 г.
Опубликовано:28 марта 2008 г.
Источник:
SecurityVulns ID:8837
Тип:удаленная
Уровень опасности:
8/10
Описание:Утечка информации через MVPN, Многочисленные DoS-условия в VPDN и DLSw, многочисленные уязвимости в OSPF, MPLS, DoS при обработке UDP.
Затронутые продукты:CISCO : IOS 12.0
 CISCO : IOS 12.1
 CISCO : IOS 12.2
 CISCO : IOS 12.3
 CISCO : IOS 12.4
CVE:CVE-2008-1156
 CVE-2008-1153
 CVE-2008-1152
 CVE-2008-1151
 CVE-2008-0057 (Multiple integer overflows in a "legacy serialization format" parser in AppKit in Apple Mac OS X 10.4.11 allows remote attackers to execute arbitrary code via a crafted serialized property list.)
Оригинальный текстdocumentCERT, US-CERT Technical Cyber Security Alert TA08-087B -- Cisco Updates for Multiple Vulnerabilities (28.03.2008)
 documentCISCO, Cisco Security Advisory: Cisco IOS Multicast Virtual Private Network (MVPN) Data Leak (26.03.2008)
 documentCISCO, Cisco Security Advisory: Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers (26.03.2008)
 documentCISCO, Cisco Security Advisory: Cisco IOS Virtual Private Dial-up Network Denial of Service Vulnerability (26.03.2008)
 documentCISCO, Cisco Security Advisory: Vulnerability in Cisco IOS with OSPF, MPLS VPN, and Supervisor 32, Supervisor 720, or Route Switch Processor 720 (26.03.2008)
 documentCISCO, Cisco Security Advisory: Multiple DLSw Denial of Service Vulnerabilities in Cisco IOS (26.03.2008)

Многочисленные уязвимости безопасности в Mozilla Firefox / Seamonkey
дополнено с 26 марта 2008 г.
Опубликовано:28 марта 2008 г.
Источник:
SecurityVulns ID:8838
Тип:клиент
Уровень опасности:
8/10
Описание:Выполнение кода через Javascript, межсайтовый скриптинг, многочисленные DoS-условия, подмена URI и диалогов, доступ к локальным портам через Java, проблема с приватностью при использовании SSL-аутентификации.
Затронутые продукты:MOZILLA : Firefox 2.0
 MOZILLA : Thunderbird 2.0
 MOZILLA : SeaMonkey 2.0
CVE:CVE-2008-1241
 CVE-2008-1240
 CVE-2008-1238
 CVE-2008-1237
 CVE-2008-1236
 CVE-2008-1235 (Unspecified vulnerability in Mozilla Firefox before 2.0.0.13, Thunderbird before 2.0.0.13, and SeaMonkey before 1.1.9 allows remote attackers to execute arbitrary code via unknown vectors that cause JavaScript to execute with the wrong principal, aka "Privilege escalation via incorrect principals.")
 CVE-2008-1234
 CVE-2008-1233
 CVE-2008-1195 (Unspecified vulnerability in Sun JDK and Java Runtime Environment (JRE) 6 Update 4 and earlier and 5.0 Update 14 and earlier; and SDK and JRE 1.4.2_16 and earlier; allows remote attackers to access arbitrary network services on the local host via unspecified vectors related to JavaScript and Java APIs.)
 CVE-2008-0416 (Multiple cross-site scripting (XSS) vulnerabilities in Mozilla Firefox before 2.0.0.12, Thunderbird before 2.0.0.12, and SeaMonkey before 1.1.8 allow remote attackers to inject arbitrary web script or HTML via certain character encodings, including (1) a backspace character that is treated as whitespace, (2) 0x80 with Shift_JIS encoding, and (3) "zero-length non-ASCII sequences" in certain Asian character sets.)
 CVE-2007-4879 (Mozilla Firefox 2.0.x can automatically install TLS client certificates withminimal user interaction, and automatically sends these certificates when requested, which makes it easier for remote web sites to track user activities across domains by requesting the TLS client certificates from other domains.)
Оригинальный текстdocumentCERT, US-CERT Technical Cyber Security Alert TA08-087A -- Mozilla Updates for Multiple Vulnerabilities (28.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-19 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-18 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-17 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-16 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-15 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-14 (26.03.2008)
 documentMOZILLA, Mozilla Foundation Security Advisory 2008-13 (26.03.2008)

Переполнение буфера в Novell eDirectory
дополнено с 26 марта 2008 г.
Опубликовано:28 марта 2008 г.
Источник:
SecurityVulns ID:8839
Тип:удаленная
Уровень опасности:
6/10
Описание:Переполнение буфера на длинном LDAP-запросе delRequest.
CVE:CVE-2008-0924 (Stack-based buffer overflow in the DoLBURPRequest function in libnldap in ndsd in Novell eDirectory 8.7.3.9 and earlier, and 8.8.1 and earlier in the 8.8.x series, allows remote attackers to cause a denial of service (daemon crash or CPU consumption) or execute arbitrary code via a long delRequest LDAP Extended Request message, probably involving a long Distinguished Name (DN) field.)
Оригинальный текстdocumentZDI, ZDI-08-013: Novell eDirectory for Linux Stack Overflow (26.03.2008)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород