Petit point habituel de la semaine passée en matière de sécurité, nous avons eu le droit à un Patch Day très court chez Microsoft tandis que la glibc s’invite exceptionnellement avec Windows Live Messenger aux côtés de Joomla et nginx. Ceci étant, je vous épargne le Patch day Oracle ainsi que celui de TYPO3.
Système et applicatif
|
CVE |
Application |
Version(s) |
Détail |
| CVE-2009-4536, CVE-2009-4538 | Linux kernel | <= 2.6.32.3 | Détournement de filtre par un paquet surchargé (driver e1000) |
| CVE-2009-4537 | Linux kernel | <= 2.6.32.3 | Faille de sécurité permettant un déni de service (driver r8169) |
| CVE-2009-4355 |
OpenSSL |
<= 0.9.8l, |
Fuite mémoire permettant un déni de service |
| CVE-2009-4489 | Cherokee | < 0.99.32 | Exécution de code à distance via une requête HTTP mal formée |
| CVE-2009-4487 | nginx | 0.7.64 | Exécution de code à distance via une requête HTTP mal formée |
| CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959 | Adobe Reader, Acrobar | < 8.2, < 9.3 | Exécution de code arbitraire et déni de service |
| CVE-2010-0278 | Windows Live Messenger | 14.0.8089.726 | Faille de sécurité permettant un déni de service (crash applicatif) |
| CVE-2010-0015 | GNU C Library (glibc, libc6) | 2.7 | Détournement d’informations des comptes NIS (mots de passe chiffrés) |
| CVE-2010-0310 | Solaris | 10 | Gain de privilège via Trusted Extensions |
| CVE-2010-0314 | Apple Safari | Accès à des données sensibles via la balise <link> dans un contexte d’appel CSS | |
| CVE-2010-0315 | Google Chrome | Accès à des données sensibles via la balise <link> dans un contexte d’appel CSS | |
| CVE-2010-0249 | Microsoft Internet Explorer | 6 – 8 | Exécution de code arbitraire, faille 0-day exploitée courant Janvier |
| CVE-2010-0318 | FreeBSD | 7.1, 7.2 et 8.0 | Possibilité de lire ou modifier des fichiers sans autorisation dans un contexte particulier (ZFS) |
| CVE-2010-0018 | Microsoft Windows | 2000 SP4, XP SP2-SP3, 2003 SP2, Vista, 2008, 2008 R2 et 7 | Patch Day - Exécution de code arbitraire via le moteur de polices de caractères Embedded OpenType (EOT) |
Web
|
CVE |
Application / Module |
Version(s) |
Détail |
| CVE-2009-4598 | Joomla / JPhoto | 1.0 | Injection SQL via le paramètre id |
| CVE-2009-4599 | Joomla / JS Jobs | 1.0.5.6 | Injections SQL multiples via les paramètres md et oi |
| CVE-2009-4604 | Joomla / Fernando Soares Mamboleto | 2.0 RC3 | Injection de fichiers PHP via une faille include |
Voilà pour le 4ème volume du 3S … Have a nice week.
