Отказ в обслуживании в OpenStack Keystone

Опасность: Средняя
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:W/RC:C) = Base:5/Temporal:4
CVE ID: CVE-2013-2014
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenStack Keystone 2012.x

Уязвимые версии: OpenStack Keystone Folsom (2012.2), возможно более ранние версии

Описание:
Уязвимость позволяет злоумышленнику произвести DoS атаку.

Уязвимость существует из-за ошибки при обработке HTTP-запросов. Удаленный пользователь может с помощью чрезмерно длинного HTTP-запроса вызвать крах системы.

URL производителя: https://launchpad.net/keystone/

Решение: Для устранения уязвимости следуйте инструкциям производителя.

Ссылки:
https://bugs.launchpad.net/keystone/+bug/1099025
https://bugs.launchpad.net/keystone/+bug/1098177


Просмотров: 1638

Множественные уязвимости в FFmpeg

Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 10
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: CVE-2013-0872
CVE-2013-0873
CVE-2013-0874
CVE-2013-0875
CVE-2013-0876
CVE-2013-0877
CVE-2013-0878
CVE-2013-2276
CVE-2013-2277
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FFmpeg 1.x

Уязвимые версии: FFmpeg версии до 1.1.3

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в функции ff_h264_decode_seq_parameter_set() в файлеlibavcodec/h264_ps.c при декодировании определенного набора параметров. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

2. Уязвимость существует из-за ошибки в функции attribute_align_arg avcodec_decode_audio4() в файле libavcodec/utils.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

3. Уязвимость существует из-за ошибки в функции swr_init() в файле libswresample/swresample.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

4. Уязвимость существует из-за ошибки в функции read_header() в файле libavcodec/shorten.c. Удаленный пользователь может заставить приложение освободить несуществующий адрес в памяти и вызвать отказ в обслуживании.

5. Уязвимость существует из-за ошибки в функциях doubles2str() и shorts2str() в файле libavcodec/tiff.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

6. Уязвимость существует из-за ошибки в функции ff_add_png_paeth_prediction() в файле libavcodec/pngdec.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

7. Целочисленное переполнение обнаружено в функции old_codec37() в файле libavcodec/sanm. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки в функции old_codec37() в файле libavcodec/sanm.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

9. Уязвимость существует из-за ошибки в функции advance_line() в файле libavcodec/targa.c. Удаленный пользователь может заставить приложение прочитать данные за пределами массива и вызвать отказ в обслуживании.

URL производителя: ffmpeg.org

Решение: Установите последнюю версию 1.1.3 с сайта производителя.

Ссылки:
http://ffmpeg.org/security.html


Просмотров: 1596

Межсайтовый скриптинг в Open-Xchange Server и OX App Suite

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:ND/RL:O/RC:C) = Base:4.3/Temporal:0
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:ND/RL:O/RC:C) = Base:4.3/Temporal:0
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:ND/RL:O/RC:C) = Base:4.3/Temporal:0
CVE ID: CVE-2013-3106
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита:
Уязвимые продукты: Open-Xchange Server 6.x
Open-Xchange Server 7.x

Уязвимые версии:
Open-Xchange Server версии до 6.20.7-rev18
Open-Xchange Server версии до 6.22.0-rev16
Open-Xchange Server версии до 6.22.1-rev19
OX App Suite версии до 7.0.1-rev7
OX App Suite версии до 7.0.2-rev11
OX App Suite версии до 7.2.0-rev8

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в вызове "delivery=view". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за неопределенной ошибки при обработке входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы запустила браузер, использующий VBS (к примеру, Internet Explorer).

3. Уязвимость существует из-за недостаточной обработки входных данных, связанных с "object/data" в HTML-коде в параметре "content-type" в таблице кодировки UTF-16. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.open-xchange.com/home.html

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
http://archives.neohapsis.com/archives/bugtraq/2013-06/0012.html
http://software.open-xchange.com/OX6/doc/Release_Notes_for_Public_Patch_Release_1419_6.20.7-rev18_2013-05-09.pdf
http://software.open-xchange.com/OX6/6.22/doc/Release_Notes_for_Public_Patch_Release_1420_6.22.0-rev16_2013-05-09.pdf
http://software.open-xchange.com/OX6/6.22/doc/Release_Notes_for_Public_Patch_Release_1421_6.22.1-rev19_2013-05-09.pdf
http://software.open-xchange.com/products/appsuite/doc/Release_Notes_for_Public_Patch_Release_1422_7.0.1-rev7_2013-05-09.pdf
http://software.open-xchange.com/products/appsuite/doc/Release_Notes_for_Public_Patch_Release_1423_7.0.2-rev11_2013-05-09.pdf
http://software.open-xchange.com/products/appsuite/doc/Release_Notes_for_Public_Patch_Release_1424_7.2.0-rev8_2013-05-09.pdf


Просмотров: 1654

Множественные уязвимости в IBM TRIRIGA Application Platform

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:P/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: CVE-2012-5948
CVE-2012-5949
CVE-2012-5950
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM TRIRIGA Application Platform 3.x

Уязвимые версии: IBM TRIRIGA Application Platform версии до 3.3.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в нескольких параметрах в нескольких сценариях. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в нескольких параметрах в нескольких сценариях при отображении ссылок и контента. Удаленный пользователь может отобразить на системе другого пользователя произвольный контент или ссылку.

3. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить, создать или удалить системные записи.

URL производителя: http://www-947.ibm.com/support/entry/portal/overview//software/tivoli/ibm_tririga_application_platform

Решение: Установите последнюю версию 3.3 с сайта производителя.

Ссылки:
http://www.ibm.com/support/docview.wss?uid=swg21628847
http://www.ibm.com/support/docview.wss?uid=swg21628849
http://www.ibm.com/support/docview.wss?uid=swg21628851
http://www.ibm.com/support/docview.wss?uid=swg21628852


Просмотров: 1632

Обход ограничений безопасности в telepathy-gabble

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID: CVE-2013-1431
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Telepathy Gabble 0.x

Уязвимые версии: telepathy-gabble версии до 0.16.6

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение неправильно завершает соединение, когда требуется TLS, однако он отсутствует на стороне сервера. Удаленный пользователь может заставить другого пользователя установить не зашифрованное соединение и провести атаку человек по середине.

URL производителя: http://telepathy.freedesktop.org/wiki/Components

Решение: Установите обновление 0.16.6 с сайта производителя.

Ссылки:
http://www.openwall.com/lists/oss-security/2013/05/30/2


Просмотров: 1574

Межсайтовый скриптинг в Cisco Prime Central для HCS Assurance

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 4
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID: CVE-2013-1156
CVE-2013-1157
CVE-2013-1158
CVE-2013-1159
CVE-2013-1160
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита:
Уязвимые продукты: Cisco Prime Central for HCS Assurance 9.x

Уязвимые версии: Cisco Prime Central для HCS Assurance 9.0.1

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в IBM Tivoli Monitoring (ITM) Java servlet. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных во вспомогательном меню IBM Tivoli Monitoring (ITM). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в web-меню Netcool Impact (NCI). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в web-меню OpenView. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.cisco.com/en/US/products/ps12491/index.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1157
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1158
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1159
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1160
http://tools.cisco.com/security/center/viewAlert.x?alertId=29144
http://tools.cisco.com/security/center/viewAlert.x?alertId=29145
http://tools.cisco.com/security/center/viewAlert.x?alertId=29146
http://tools.cisco.com/security/center/viewAlert.x?alertId=29147


Просмотров: 1625

Компрометация системы в ERDAS ER Viewer

Опасность: Высокая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) = Base:9.3/Temporal:7.9
CVE ID: CVE-2013-3482
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: ERDAS ER Viewer 13.x

Уязвимые версии: ERDAS ER Viewer 13.0.1.1298, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки проверки границ данных в функции "rf_report_error()" в ermapper_u.dll при обработке ERS-файлов. Удаленный пользователь может вызвать переполнение буфера в стеке.

Успешная эксплуатация уязвимости позволяет выполнение произвольного кода, однако требует, чтобы жертва открыла специально сформированный ERS-файл.

URL производителя: http://geospatial.intergraph.com/products/other/erdasermapper/ERDASERViewer/Details.aspx

Решение: Способов устранения уязвимости не существует в настоящее время.


Просмотров: 1626

Межсайтовый скриптинг в Askiaweb

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID: CVE-2013-0124
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Askiaweb

Уязвимые версии: Askiaweb

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "Number" и "UpdatePage" в сценарии WebProd/cgi-bin/AskiaExt.dll. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.askia.com/askiaweb

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://www.kb.cert.org/vuls/id/406596


Просмотров: 2143

Обход ограничений безопасности в OTRS Help Desk

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
CVE ID: CVE-2013-2625
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OTRS 3.x

Уязвимые версии:
OTRS Help Desk версий до 3.2.4
OTRS Help Desk версий до 3.1.14
OTRS Help Desk версий до 3.0.19

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности.

Уязвимость существует из-за ошибки в механизме ссылки на объект, который некорректно проверяет ограничения доступа. Удаленный пользователь может получить доступ к заголовкам тикетов и объектов.

URL производителя: http://otrs.org/

Решение: Для устранения уязвимости установите продукт версии 3.2.4, 3.1.14 или 3.0.19 с сайта производителя.

Ссылки:
http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2013-01/


Просмотров: 2195

Межсайтовый скриптинг в продуктах EMC Smarts

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID: CVE-2013-0936
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: EMC Smarts IP Availability Manager 9.x
EMC Smarts MPLS Manager 9.x
EMC Smarts Network Protocol Manager 9.x
EMC Smarts Server Manager 9.x
EMC Smarts Service Assurance Manager 9.x
EMC Smarts VoIP Manager 9.x

Уязвимые версии:
EMC Smarts IP Availability Manager версии до 9.2
EMC Smarts Service Assurance Manager версии до 9.2
EMC Smarts Server Manager версии до 9.2
EMC Smarts VoIP Manager версии до 9.2
EMC Smarts Network Protocol Manager версии до 9.2
EMC Smarts MPLS Manager версии до 9.2

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.emc.com/it-management/smarts/ip-availability-manager.htm

Решение: Установите последнюю версию 9.2 с сайта производителя.

Ссылки:
http://archives.neohapsis.com/archives/bugtraq/2013-03/att-0152/ESA-2013-018.txt


Просмотров: 1724

Еще статьи...

  1. Межсайтовый скриптинг в Joomla! aiContactSafe
  2. Множественные уязвимости в IBM Sterling Order Management
  3. Межсайтовый скриптинг в WordPress BP Code Snippets
  4. Отказ в обслуживании в IBM Tivoli Integrated Portal
  5. Компрометация системы в AdminStudio/InstallShield
  6. Межсайтовый скриптинг в WordPress Background Music
  7. Компрометация системы в BitZipper 2013
  8. Множественные уязвимости в RSLinx
  9. Раскрытие важных данных в Drupal Autocomplete Widgets for Text and Number Fields
  10. Обход ограничений безопасности в продуктах CA SiteMinder
  11. Множественные уязвимости в Adobe Flash Player

Кто Онлайн

Сейчас 24 гостей и ни одного зарегистрированного пользователя на сайте