Множественные уязвимости в Zend Framework

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Zend Framework 2.x

Уязвимые версии:
Zend Framework версии до 2.0.8
Zend Framework версии до 2.1.4

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за ошибки в компоненте Zend\Mvc при обработке запросов параметров. Удаленный пользователь может раскрыть параметры маршрутизации.

2. Уязвимость существует из-за ошибки в компоненте Zend\Validate\Csrf в функции "weak mt_rand()". Удаленный пользователь может раскрыть важные данные.

3. Уязвимость существует из-за недостаточной обработки входных данных в методах "quoteValue()" и "quoteValueList()" в интерфейсе платформы в компоненте Zend\Db. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы приложение использовало уязвимые методы.

URL производителя: http://framework.zend.com/

Решение: Установите последнюю версию 2.0.8 или 2.1.4 с сайта производителя.

Ссылки:
http://framework.zend.com/security/advisory/ZF2013-01
http://framework.zend.com/security/advisory/ZF2013-02
http://framework.zend.com/security/advisory/ZF2013-03


Просмотров: 1579

Множественные уязвимости в Microsoft Internet Explorer

Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 2
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID: CVE-2013-1303
CVE-2013-1304
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 9.x
Microsoft Internet Explorer 10.x

Уязвимые версии:
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
Microsoft Internet Explorer 10

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки использования после освобождения. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки использования после освобождения. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

URL производителя: https://www.microsoft.com

Решение: Для устранения уязвимостей установите исправление с сайта производителя.

Ссылки:
MS13-028: Cumulative Security Update for Internet Explorer (2817183)


Просмотров: 1360

SQL-инъекция в TYPO3 Multishop

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Multishop Extension for TYPO3 2.x

Уязвимые версии: TYPO3 Multishop версии до 2.0.39

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: https://www.typo3multishop.com/

Решение: Установите последнюю версию 2.0.39 с сайта производителя.

Ссылки:
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2013-009-1/


Просмотров: 1447

Повышение привилегий в NVIDIA Graphics Drivers для Linux

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1
CVE ID: CVE-2013-0131
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: NVIDIA Graphics Drivers for Linux 1.x

Уязвимые версии: NVIDIA Graphics Drivers для Linux 195.22, возможно более ранние версии.

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за ошибки при обработке курсора ARGB. Локальный пользователь может вызвать переполнение буфера и повысить свои привилегии на целевой системе.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы драйвер NVIDIA работал в режиме "NoScanout".

URL производителя: http://www.nvidia.com/object/unix.html

Решение: Установите последнюю версию 304.88, 310.44 или 313.30 с сайта производителя.

Ссылки:
http://nvidia.custhelp.com/app/answers/detail/a_id/3290


Просмотров: 1413

Межсайтовый скриптинг в Telemeta

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Telemeta 1.x

Уязвимые версии: Telemeta 1.4.4, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Подробное описание уязвимости:
http://www.securitylab.ru/vulnerability/440237.php

URL производителя: http://telemeta.org/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://archives.neohapsis.com/archives/fulldisclosure/2013-05/0034.html


Просмотров: 1460

Множественные уязвимости в IBM Tivoli Netcool Performance Manager

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 2
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: CVE-2012-2159
CVE-2012-2161
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Tivoli Netcool Performance Manager 1.x

Уязвимые версии: IBM Tivoli Netcool Performance Manager 1.3.2, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/425568.php

URL производителя: http://www-947.ibm.com/support/entry/portal/overview//software/tivoli/tivoli_netcool_performance_manager

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
http://www.ibm.com/support/docview.wss?uid=swg21632748
http://www.ibm.com/support/docview.wss?uid=swg21613802


Просмотров: 1502

Отказ в обслуживании в Cisco ASA Software

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:A/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:3.3/Temporal:2.4
CVE ID: CVE-2013-1193
Вектор эксплуатации: Локальная сеть
Воздействие: Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Cisco Adaptive Security Appliance (ASA) 8.x

Уязвимые версии: Cisco ASA Software8.4(4.1), и более ранние версии

Описание:
Уязвимость позволяет злоумышленнику произвести DoS атаку.

Уязвимость существует из-за ошибки в реализации функции Secure Shell (SSH), в результате которой не правильно отменяются SSH сессии. Удаленный пользователь может заблокировать все имеющиеся системные ресурсы и доступ к службе SSH.

URL производителя: http://www.cisco.com/en/US/products/ps6120/

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1193


Просмотров: 1372

CSRF нападение в Drupal Services

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:2.6/Temporal:2.2
CVE ID: CVE-2013-2158
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Drupal Services Module 6.x

Уязвимые версии: Drupal Services 6.x-3.x, возможно другие версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/441061.php

URL производителя: https://drupal.org/project/services

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://drupal.org/node/2012982


Просмотров: 1664

Обход ограничений безопасности в International Components for Unicode (ICU)

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID: CVE-2013-0900
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: International Components for Unicode (ICU) 50.x

Уязвимые версии: International Components for Unicode (ICU) 50.1, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки состояния операции в функции "Locale::GetDefault()" в файле source/common/locid.cpp. Подробности не разглашаются.

URL производителя: http://site.icu-project.org/

Решение: Установите обновление с сайта производителя.

Ссылки:
http://bugs.icu-project.org/trac/ticket/9737


Просмотров: 1593

Множественные уязвимости в Polycom HDX

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:8.3/Temporal:6.1
(AV:A/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:4.8/Temporal:3.5
(AV:A/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Polycom HDX 3.x

Уязвимые версии: Polycom HDX версии до 3.1.1.2.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки форматной строки при обработке H.323 SETUP-пакетов. Удаленный пользователь может с помощью специально сформированного пакета вызвать повреждение памяти и скомпрометировать целевую систему.

2. Уязвимость существует из-за недостаточной обработки входных данных, связанных с именем удаленной системы в H.323 SETUP-пакетах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

3. Уязвимость существует из-за того, что устройство не правильно проводит проверку авторизации при установке определенных переменных окружения с помощью Shell Command Polycom. Удаленный пользователь может, к примеру, включить "development mode", а затем получить административные привилегии.

URL производителя: http://www.polycom.com/

Решение: Установите последнюю версию 3.1.1.2 с сайта производителя.

Ссылки:
http://www.polycom.com/content/dam/polycom/www/documents/brochures/hdx-3112-security-fixes-enus.pdf
http://seclists.org/fulldisclosure/2013/Mar/148
http://seclists.org/fulldisclosure/2013/Mar/150
http://seclists.org/fulldisclosure/2013/Mar/151


Просмотров: 1565

Еще статьи...

  1. SQL-инъекция в Vanilla Forums
  2. Множественные уязвимости в Google Chrome
  3. Отказ в обслуживании в IP.Board IP.Calendar
  4. Межсайтовый скриптинг в VideoJS
  5. Отказ в обслуживании в Linux Kernel
  6. Обход ограничений безопасности в Cerb
  7. CSRF нападение в Plone
  8. Множественные уязвимости в ClamAV
  9. Межсайтовый скриптинг в Matrix42 Service Store
  10. Повышение привилегий в IBM InfoSphere Guardium
  11. Межсайтовый скриптинг в IBM iNotes

Кто Онлайн

Сейчас 57 гостей и ни одного зарегистрированного пользователя на сайте