Информационная безопасность
[RU] switch to English


Ежедневная сводка ошибок в Web-приложениях (PHP, ASP, JSP, CGI, Perl )
Опубликовано:26 ноября 2007 г.
Источник:
SecurityVulns ID:8376
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, утечка информации и т.д.
Затронутые продукты:BYTEHOARD : bytehoard 2.1
 PROVERBS : Calendar Proverbs 1.1
 MESSAGINGARCHITE : GWExtranet 3.0
Оригинальный текстdocumentHackers Center Security Group, GWExtranet Script Injections & Privilege Escalation Vulnerability (26.11.2007)
 documentJose Luis Góngora Fernández, Calendar Proverbs <=1.1 (caladmin.php) Remote SQL Injection (26.11.2007)
 documentErnesto Alvarez, two bytehoard 2.1 bugs (26.11.2007)
 documentJose Luis Góngora Fernández, PHPSlideShow (toonchapter8.php) Cross-Site Scripting Vulnerability (26.11.2007)
 documentnoreply_(at)_aria-security.net, Aria-Security.Net: Gouae DWD Realty SQL Injection (26.11.2007)
 documentMustLive, MoBiC-23 Bonus: XSS in Math Comment Spam Protection (26.11.2007)

Слабая криптография в Citrix NetScaler (weak encryption_
Опубликовано:26 ноября 2007 г.
Источник:
SecurityVulns ID:8379
Тип:удаленная
Уровень опасности:
5/10
Описание:Имя/пароль пользвоателя хранится как часть сеансового куки со слабым шифрованием (XOR с фиксированным ключем), что позволяет восстановлениe части пароля по известному тексту.
Затронутые продукты:CITRIX : NetScaler 8.0
CVE:CVE-2007-6037 (Cross-site scripting (XSS) vulnerability in ws/generic_api_call.pl in Citrix NetScaler 8.0 build 47.8 allows remote attackers to inject arbitrary web script or HTML via the standalone parameter and other unspecified parameters.)
Оригинальный текстdocumentnnposter_(at)_disclosed.not, Citrix NetScaler Web Management Cookie Weakness (26.11.2007)

Утечка информации в nss_ldap
Опубликовано:26 ноября 2007 г.
Источник:
SecurityVulns ID:8377
Тип:библиотека
Уровень опасности:
5/10
Описание:Кратковременные условия в многопоточных приложениях.
Затронутые продукты:NSSLDAP : nss_ldap 257
CVE:CVE-2007-5794 (Race condition in nss_ldap, when used in applications that are linked against the pthread library and fork after a call to nss_ldap, might send user data to the wrong process because of improper handling of the LDAP connection. NOTE: this issue was originally reported for Dovecot with the wrong mailboxes being returned, but other applications might also be affected.)
Оригинальный текстdocumentGENTOO, [ GLSA 200711-33 ] nss_ldap: Information disclosure (26.11.2007)

DoS через Skype
Опубликовано:26 ноября 2007 г.
Источник:
SecurityVulns ID:8378
Тип:клиент
Уровень опасности:
5/10
Описание:Через URL skype: возможно запустить неограниченное количество экземпляров приложения.
Затронутые продукты:SKYPE : Skype 3.6
Оригинальный текстdocumentmail_(at)_me.not, Skype DoS (26.11.2007)

Обход защиты безопасного режима через htaccess в PHP (protection bypassP
дополнено с 27 июня 2007 г.
Опубликовано:26 ноября 2007 г.
Источник:
SecurityVulns ID:7859
Тип:локальная
Уровень опасности:
5/10
Описание:Возможна манипуляция работой различных функций, таких как session_save_path() и ini_set() через переменные htaccess.
Затронутые продукты:PHP : PHP 4.4
 PHP : PHP 5.2
CVE:CVE-2007-3378 (The (1) session_save_path, (2) ini_set, and (3) error_log functions in PHP 4.4.7 and earlier, and PHP 5 5.2.3 and earlier, when invoked from a .htaccess file, allow remote attackers to bypass safe_mode and open_basedir restrictions and possibly execute arbitrary commands via php_value directives in .htaccess.)
Оригинальный текстdocumentMaksymilian Arciemowicz, PHP 5.2.4 mail.force_extra_parameters unsecure (26.11.2007)
 documentMaksymilian Arciemowicz, [Full-disclosure] PHP 5.2.3 PHP 4.4.7, htaccess safemode and open_basedir Bypass Vulnerability (27.06.2007)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород