Premier épisode d’une série sans fin, le Sunday Security Summary (3S) est le rendez-vous de la semaine pour faire un petit point sur la sécurité. Bien sûr, ce n’est qu’une liste non exhaustive. Dans ce rapport, aujourd’hui : noyau Linux, PHP, Zend Fx, Drupal et APC.
Failles système
- CVE-2009-4406 : Injection XSS dans le formulaire de login sur l’APC Switched Rack PDU AP7932 B2 avec rpdu 3.3.3 ou 3.7.0 sur AOS 3.3.4.
- CVE-2009-4410 : Deni de service (Kernel panic) via le module FUSE sur les noyaux Linux 2.6.29-rc1 à 2.6.30.9.
Failles Web
- CVE-2009-4369 : Injection XSS dans le module Contact pour Drupal 5.x avant 5.21 et 6.x avant 6.15.
- CVE-2009-4370 : Injection XSS dans le module Menu pour Drupal 6.x avant 6.15.
- CVE-2009-4371 : Injection XSS dans le module Locale pour Drupal 6.14.
- CVE-2009-4142 : Faille de sécurité via les Sessions sur toutes les versions de PHP inférieures à 5.2.12.
- CVE-2009-4418 : Deni de service via une sérialisation de variable dans PHP 5.
- CVE-2009-4417 : Faille de sécurité permettant d’envoyer des emails via le module Zend_Log_Writer_Mail dans Zend Framework 1.9 et versions précédentes.
Vous pouvez retrouver, tous les jours ou presque, ces annonces sur la NVD ou via le hash-tag Twitter #NVD.
A l’année prochaine ! 