Компрометация системы в IBM Cognos 8 Business Intelligence

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 22
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:P/RL:O/RC:C) = Base:5/Temporal:3.9
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:P/RL:O/RC:C) = Base:5/Temporal:3.9
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:H/RL:O/RC:C) = Base:7.5/Temporal:6.5
(AV:N/AC:L/Au:N/C:N/I:P/A:P/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:P/I:N/A:P/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
(AV:N/AC:L/Au:N/C:P/I:N/A:P/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:C/I:N/A:N/E:U/RL:O/RC:C) = Base:7.1/Temporal:5.3
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
CVE ID: CVE-2011-3026
CVE-2011-4858
CVE-2012-0498
CVE-2012-2177
CVE-2012-2193
CVE-2012-4835
CVE-2012-4836
CVE-2012-4837
CVE-2012-4840
CVE-2012-4858
CVE-2012-5081
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Cognos 8 Business Intelligence
IBM Cognos Business Intelligence 10.x

Уязвимые версии:
IBM Cognos 8 Business Intelligence
IBM Cognos Business Intelligence 8.4.1
IBM Cognos Business Intelligence 10.1
IBM Cognos Business Intelligence 10.1.1
IBM Cognos Business Intelligence 10.2

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Продукт содержит уязвимую версию libpng. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/420255.php

2. Продукт содержит уязвимую версию Tomcat. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/413153.php

3. Продукт содержит уязвимую версию Java. С подробным описанием уязвимостей можно ознакомиться здесь:
http://www.securitylab.ru/vulnerability/420115.php
http://www.securitylab.ru/vulnerability/431464.php

4. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

6. Уязвимость существует из-за недостаточной обработки входных данных при отправке XPath запроса. Удаленный пользователь может раскрыть содержимое определенного XML-документа.

7. Уязвимость существует из-за недостаточной обработки входных данных при отправке XPath запроса. Удаленный пользователь может с помощью специально сформированного XPath-расширения раскрыть определенные данные.

8. Уязвимость существует из-за ошибки проверки входных данных при обработке социализированных Java данных. Удаленный пользователь может осуществить инъекцию и выполнение произвольных команд.

URL производителя: https://www.ibm.com

Решение: Для устранения уязвимости установите исправление с сайта производителя.

Ссылки:
http://www.ibm.com/connections/blogs/PSIRT/entry/security_bulletin_multiple_vulnerabilities_in_ibm_cognos_bi_8_4_1_10_1_10_1_1_and_10_2_cve_2011_3026_cve_2011_4858_cve_2012_0498_cve_2012_2177_cve_2012_2193_cve_2012_4835_cve_2012_4836_cve_2012_4837_cve_2012_4840_cve_2012_4858_cve_2012_508118
http://www.ibm.com/support/docview.wss
http://www.ibm.com/support/docview.wss


Просмотров: 1618

Отказ в обслуживании в syslog-ng Premium Edition

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 2
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:W/RC:C) = Base:7.8/Temporal:6.3
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID: CVE-2006-7250
CVE-2012-2333
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: syslog-ng Premium Edition 4.x

Уязвимые версии:
syslog-ng Premium Edition версии до 4 LTS (4.0.5b)
syslog-ng Premium Edition версии до 4 F2 (4.2.3b)

Описание:
Уязвимость позволяет злоумышленнику произвести DoS атаку.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/420752.phpИ здесь:
http://www.securitylab.ru/vulnerability/424314.php

URL производителя: http://www.balabit.com/network-security/syslog-ng/central-syslog-server

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
https://lists.balabit.hu/pipermail/syslog-ng-announce/2013-March/000155.html
https://lists.balabit.hu/pipermail/syslog-ng-announce/2013-March/000156.html


Просмотров: 1502

Раскрытие важных данных в IP.Board IP.Gallery

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IP.Gallery (module for IP.Board) 5.x

Уязвимые версии: IP.Board IP.Gallery 5.0.3, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за того, что приложение неправильно ограничивает доступ к изображениям из закрытой категории при использовании вкладки Gallery Profile. Удаленный пользователь может просмотреть скрытые изображения.

URL производителя: http://www.invisionpower.com/apps/gallery/

Решение: Установите последнюю версию 5.0.4 с сайта производителя.

Ссылки:
http://community.invisionpower.com/topic/380382-ipboard-343-and-application-maintenance-updates-released/
http://community.invisionpower.com/resources/bugs.html/_/ip-gallery/no-permiision-checked-on-gallery-profile-tab-r40216


Просмотров: 1544

Обход ограничений безопасности в Sleipnir Mobile для Android

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID: CVE-2013-2304
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Sleipnir Mobile for Android 2.x

Уязвимые версии: Sleipnir Mobile для Android 2.8.0, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение не правильно ограничивает доступ к механизму Extension API. Удаленный пользователь может загрузить произвольное Extension API, а также, к примеру, раскрыть содержимое тела HTTP-ответа от web-сайта, на котором прежде авторизовался пользователь.

URL производителя: https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir

Решение: Установите обновление с сайта производителя.

Ссылки:
http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000033.html
http://jvn.jp/en/jp/JVN02895867/index.html
http://jvn.jp/jp/JVN02895867/index.html


Просмотров: 1564

Множественные уязвимости в Google Chrome Flash Player

Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 4
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID: CVE-2013-0646
CVE-2013-0650
CVE-2013-1371
CVE-2013-1375
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Google Chrome 25.x

Уязвимые версии: Google Chrome версии до 25.0.1364.172.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/438662.php

URL производителя: https://www.google.com/intl/ru/chrome/browser/

Решение: Установите последнюю версию 25.0.1364.172 с сайта производителя.

Ссылки:
http://googlechromereleases.blogspot.dk/2013/03/stable-channel-update_12.html


Просмотров: 1502

Обход ограничений безопасности в Linux Kernel

Опасность: Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:W/RC:C) = Base:2.1/Temporal:1.7
CVE ID: CVE-2013-2140
Вектор эксплуатации: Локальная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Linux Kernel 3.9.x

Уязвимые версии: Linux Kernel 3.9.x, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки в функции "dispatch_discard_io()" в drivers/block/xen-blkback/blkback.c, в результате которой неправильно осуществляется проверка диска на предмет прав на запись. Локальный пользователь может осуществить запись на диск, предназначенный только для чтения.

URL производителя: https://www.kernel.org/

Решение: Установите обновление с сайта производителя.

Ссылки:
http://seclists.org/oss-sec/2013/q2/488


Просмотров: 1597

Множественные уязвимости в IBM Scale Out Network Attached Storage

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:L/AC:L/Au:N/C:N/I:P/A:P/E:U/RL:O/RC:C) = Base:3.6/Temporal:2.7
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
CVE ID: CVE-2011-3190
CVE-2012-4859
CVE-2012-5954
Вектор эксплуатации: Локальная сеть
Воздействие: Отказ в обслуживании
Неавторизованное изменение данных
Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Scale Out Network Attached Storage (SONAS) 1.x

Уязвимые версии: IBM Scale Out Network Attached Storage 1.3.2.2, возможно более ранние версии.

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/431464.phpИ здесь:
http://www.securitylab.ru/vulnerability/435555.php

URL производителя: http://www-03.ibm.com/systems/storage/network/sonas/

Решение: Установите последнюю версию 1.3.2.3 с сайта производителя.

Ссылки:
http://www.ibm.com/support/docview.wss?uid=ssg1S1004300


Просмотров: 1673

Межсайтовый скриптинг в Drupal Premium Responsive

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: CVE-2013-1785
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Drupal Premium Responsive Theme 7.x

Уязвимые версии: Drupal Premium Responsive 7.x-1.6, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за неопределенной ошибки при обработке входных данных, связанных с галереей. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Для успешной эксплуатации уязвимости необходимо иметь права доступа "administer themes".

URL производителя: http://drupal.org/project/responsive

Решение: Установите последнюю версию 7.x-1.6 с сайта производителя.

Ссылки:
http://drupal.org/node/1929508


Просмотров: 1493

Повышение привилегий в Xen

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1
CVE ID: CVE-2013-2072
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Xen 4.x

Уязвимые версии: Xen 4.0, возможно более ранние версии.

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за ошибки в функции "pyxc_vcpu_setaffinity()" в файле /tools/python/xen/lowlevel/xc/xc.c при обработке python binding calls. Локальный пользователь может вызвать переполнение буфера.

Примечание: Для успешной эксплуатации уязвимости необходимо иметь возможность настройки VCPU через toolstack.

URL производителя: http://www.xen.org/products/xenhyp.html

Решение: Установите обновление xsa56.patch с сайта производителя.

Ссылки:
http://www.openwall.com/lists/oss-security/2013/05/17/2


Просмотров: 1734

Компрометация системы в X.Org libXt

Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 2
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
CVE ID: CVE-2013-2002
CVE-2013-2005
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: X.Org libXt 1.x

Уязвимые версии: X.Org libXt 1.1.3, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в функции "_XtResourceConfigurationEH()" в файле src/ResConfig.c. Удаленный пользователь может вызвать переполнение буфера.

2. Уязвимость существует из-за ошибки в функциях "ReqCleanup()", "HandleSelectionEvents()", "ReqTimedOut()", "HandleNormal()" и "HandleSelectionReplies()". Удаленный пользователь может вызвать повреждение памяти.

Примечание: Успешная эксплуатация уязвимостей позволяет выполнить произвольный код, однако требует, чтобы пользователь подключился к вредоносном серверу X.

URL производителя: http://cgit.freedesktop.org/xorg/lib/libXt/

Решение: Установите последнюю версию 1.1.4 с сайта производителя.

Ссылки:
http://www.x.org/wiki/Development/Security/Advisory-2013-05-23


Просмотров: 1492

Еще статьи...

  1. Раскрытие важных данных в SAP NetWeaver
  2. Спуфинг атака в Microsoft Windows Modern Mail
  3. Отказ в обслуживании в продуктах Samsung
  4. SQL-инъекция в Joomla! RSFiles!
  5. Множественные уязвимости в Microsoft Internet Explorer
  6. Отказ в обслуживании в ядре Linux
  7. Отказ в обслуживании в Cisco Adaptive Security Appliance
  8. Обход ограничений безопасности в SPIP
  9. Множественные уязвимости в IBM Maximo Asset Management 6.x
  10. Обход ограничений безопасности в NetGear WNR1000
  11. Межсайтовый скриптинг в Jaow CMS

Кто Онлайн

Сейчас 13 гостей и ни одного зарегистрированного пользователя на сайте