Отказ в обслуживании в libvirt

Опасность: Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:W/RC:C) = Base:5/Temporal:4
CVE ID: CVE-2013-1962
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: libvirt 1.x

Уязвимые версии: libvirt 1.0.5 и более ранние версии

Описание:
Уязвимость позволяет злоумышленнику произвести DoS атаку.

Уязвимость существует из-за того, что в функции "remoteDispatchStoragePoolListAllVolumes()" в файле daemon/remote.c существует утечка файловых дескрипторов. Удаленный пользователь может исчерпать системные ресурсы.

URL производителя: http://libvirt.org/

Решение: Установите обновление из GIT репозитория.

Ссылки:
https://www.redhat.com/archives/libvir-list/2013-May/msg01222.html
https://bugzilla.redhat.com/show_bug.cgi?id=953107



Множественные уязвимости в PHP-Fusion

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:U/RC:C) = Base:5.8/Temporal:4.9
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:U/RC:C) = Base:5.8/Temporal:4.9
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID: CVE-2013-1803
CVE-2013-1804
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: PHP-Fusion 7.x

Уязвимые версии: PHP-Fusion 7.02.06, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "news_id", "news_image", "news_image_t1" и "news_image_t2" в сценарии administration/news.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примечание: Для успешной эксплуатации уязвимости необходимо иметь права доступа "administer news".

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "article_id" в сценарии administration/articles.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примечание: Для успешной эксплуатации уязвимости необходимо иметь права доступа "administer articles".

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "highlight" в сценарии forum/viewthread.php (когда параметр "thread_id" равен легитимному идентификатору заметки форума). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.php-fusion.co.uk/news.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://www.waraxe.us/advisory-97.html



Множественные уязвимости в IBM Rational Requirements Composer

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 4
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID: CVE-2012-5081
CVE-2013-0169
CVE-2013-0440
CVE-2013-0443
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита:
Уязвимые продукты: IBM Rational Requirements Composer 4.x

Уязвимые версии: IBM Rational Requirements Composer версии до 4.0.3

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Подробное описание уязвимости смотрите здесь (#26):
http://www.securitylab.ru/vulnerability/431464.php

Здесь (#36, #38):
http://www.securitylab.ru/vulnerability/437098.php

А также здесь (#5):
http://www.securitylab.ru/vulnerability/438320.php

URL производителя: http://www-03.ibm.com/software/products/us/en/rrc

Решение: Установите последнюю версию 4.0.3 с сайта производителя.

Ссылки:
http://www.ibm.com/support/docview.wss?uid=swg21639736



SQL-инъекция в rebus:list

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: rebus:list

Уязвимые версии: rebus:list

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности на системе.

Уязвимость существует из-за недостаточной обработки входных данных в GET параметре list_id. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www.ptfs-europe.com/

Решение: Для устранения уязвимости установите исправление с сайта производителя.

Ссылки:
http://packetstormsecurity.com/files/120851/Rebus-list-SQL-Injection.html



Множественные уязвимости в Plone

Опасность: Высокая
Наличие исправления: Нет
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) = Base:9.3/Temporal:7.9
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) = Base:9.3/Temporal:7.9
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C) = Base:6.8/Temporal:5.8
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита:
Уязвимые продукты: Plone 4.x

Уязвимые версии: Plone все версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может обойти ограничения безопасности и повысить свои привилегии на целевой системе. Подробности не разглашаются.

2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может выполнить произвольный код. Подробности не разглашаются.

3. Уязвимость существует из-за неизвестной ошибки. Подробности не разглашаются.

URL производителя: http://plone.org/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://plone.org/products/plone/security/advisories/20130611-announcement



Обход ограничений безопасности в Quest Defender

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Quest Defender 5.x

Уязвимые версии: Quest Defender версии до 5.7.0.4278.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за неизвестной ошибки в компоненте "Desktop Login". Подробности не разглашаются.

URL производителя: http://www.quest.com/defender/

Решение: Установите обновление с сайта производителя.

Ссылки:
https://support.quest.com/SolutionDetail.aspx?id=SOL104608



Множественные уязвимости в IBM Storwize V7000 Unified

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 73
CVSSv2 рейтинг: (AV:L/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.
Подробнее: Множественные уязвимости в IBM Storwize V7000 Unified

Компрометация системы в X.Org libXv

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
CVE ID: CVE-2013-1989
CVE-2013-2066
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: X.Org libXv 1.x

Уязвимые версии: X.Org libXv 1.0.7, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки целочисленного переполнения памяти в функциях "XvQueryPortAttributes()", "XvListImageFormats()" и "XvCreateImage()". Удаленный пользователь может вызвать переполнение буфера.

Примечание: Успешная эксплуатация уязвимости позволяет выполнить произвольный код, однако требует, чтобы пользователь подключился к вредоносном серверу X.

URL производителя: http://cgit.freedesktop.org/xorg/lib/libXv/

Решение: Установите последнюю версию 1.0.8 с сайта производителя.

Ссылки:
http://www.x.org/wiki/Development/Security/Advisory-2013-05-23



Компрометация системы в Rational Team Concert for System z

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Rational Team Concert 4.x

Уязвимые версии: Rational Team Concert for System z 401 для System z, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за неизвестной ошибки в Build System Toolkit. Удаленный пользователь может вызвать переполнение буфера и скомпрометировать целевую систему.

URL производителя: https://www-947.ibm.com/account/userservices/jsp/login.jsp?persistPage=true&page=/support/entry/myportal/Overview/Software/Rational/Rational_Team_Concert&PD-REFERER=http://secunia.com/advisories/product/40575/&error=

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
http://www.ibm.com/support/docview.wss?uid=swg1PM84068



Обход ограничений безопасности в Drupal Commons Wikis

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Drupal Commons Wikis Module 7.x

Уязвимые версии: Drupal Commons Wikis версии до 7.x-3.1.

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение не правильно ограничивает доступ к группам. Удаленный пользователь может публиковать контент в закрытых группах.

URL производителя: http://drupal.org/project/commons_wikis

Решение: Установите обновление с сайта производителя.

Ссылки:
http://drupal.org/node/1954766




Кто Онлайн

Сейчас 64 гостей и ни одного зарегистрированного пользователя на сайте