Sunday Security Summary #2

Posted on by Kevin Decherf

Tout d’abord, je vous souhaite une bonne année 2010 et tout ce qui va avec :)
Me revoilà pour le 2ème 3S avec, cette semaine, un patch week massivement orienté Drupal. Kaspersky, IISJoomla et MySQL l’accompagnent.

 

3S

 

Failles logicielles

  • CVE-2009-4484 : Buffer overflow dans MySQL 5.0.51a pour Linux.
  • CVE-2009-4452 : Gain de privilège via une injection de librairie sur Kaspersky Anti-Virus 5.0 (5.0.712), Antivirus Personal 5.0.x, Anti-Virus 6.0 (6.0.3.837), 7 (7.0.1.325), 2009 (8.0.0.x), 2010 (9.0.0.463), Internet Security 7 (7.0.1.325), 2009 (8.0.0.x) et 2010 (9.0.0.463).
  • CVE-2009-4444 et CVE-2009-4445 : Création de fichiers sans accès et détournement de vérification sur IIS 5 et 6 (et versions précédentes pour la création) combinés avec des applications tierces.
  • CVE-2009-4457 : Vulnérabilités diverses (impacts inconnus) sur le module Vsftpd (avant 1.3b) pour Webmin.

 

Failles web

  • CVE-2009-4475 : Injection SQL dans le module Joomlub (com_joomlub) pour Joomla!
  • CVE-2009-4459 : Injection XSS via des données UTF-7 pouvant amener à l’exécution de scripts tiers (sous Internet Explorer 7 et 8) sur Redmine 0.8.7.
  • CVE-2009-4429 : Injection XSS dans le module Sections 5.x avant 5.13 et 6.x avant 6.13 pour Drupal.
  • CVE-2009-4513 : Injection XSS dans le module Workflow 5.x avant 5.x-2.4 et 6.x avant 6.x-1.2 pour Drupal.
  • CVE-2009-4514 : Injection XSS dans le module OpenSocial Shindig-Integrator 5.x and 6.x avant 6.x-2.1 pour Drupal.
  • CVE-2009-4515 : Faille inconnue donnant accès à des données sensibles dans le module Storm 6.x avant 6.x-1.25 pour Drupal.
  • CVE-2009-4517 et CVE-2009-4534 : Faille CSRF et redirection ouverte dans le module FAQ Ask 5.x et 6.x avant 6.x-2.0 pour Drupal.
  • CVE-2009-4518 : Injection XSS dans le module Insert Node 5.x avant 5.x-1.2 pour Drupal.
  • CVE-2009-4520 : Accès à des données sensibles via le module CCK Comment Reference 5.x avant 5.x-1.2 et 6.x avant 6.x-1.3 pour Drupal.
  • CVE-2009-4524 : Injection XSS dans le module RealName 6.x-1.x avant 6.x-1.3 pour Drupal.
  • CVE-2009-4527 : Gain de privilège par attaque de proximité dans le module Shibboleth 5.x avant 5.x-3.4 et 6.x avant 6.x-3.2 pour Drupal.
  • CVE-2009-4528 : Accès non autorisé au vocabulaire via le module Organic Groups (OG) Vocabulary 6.x avant 6.x-1.0 pour Drupal.
  • CVE-2009-4525 et CVE-2009-4526 : Accès à des données sensibles via le module Print 5.x avant 5.x-4.9 et 6.x avant 6.x-1.9 pour Drupal.
  • CVE-2009-4532 et CVE-2009-4533 : Injection XSS et accès à des données sensibles via le module Webform 5.x avant 5.x-2.8 et 6.x avant 6.x-2.8 pour Drupal.

 

Bon patching et à la semaine prochaine !

Related Posts:

  • No Related Posts