CERTA-2012-AVI-285 : Vulnérabilités dans OpenOffice et LibreOffice (18 mai 2012)

Deux vulnérabilités ont été corrigées dans OpenOffice et une dans LibreOffice. La première est un débordement d'entier dans « vclmi.dll » et provoque un débordement de mémoire tampon dans le tas. Une image JPEG spécialement conçue dans un fichier DOC peut être utilisée pour exploiter cette vulnérabilité. La deuxième concerne le format WPD et permet l'exécution de code arbitraire.

CERTA-2012-AVI-284 : Multiples vulnérabilités dans Apple QuickTime (18 mai 2012)

Dix-sept vulnérabilités ont étés corrigées dans QuickTime. La majorité des vulnérabilités concernent des erreurs dans le traitement de formats de fichiers. Chacune de ces erreurs peut mener à une exécution de code arbitraire à distance.

CERTA-2012-AVI-283 : Multiples vulnérabilités dans RealPlayer (18 mai 2012)

Trois vulnérabilités ont été corrigées dans RealPlayer. La première concerne une corruption mémoire lors du traitement des fichiers MP4. La seconde une erreur d'interprétation de RealMedia ASMRuleBook pouvant mener à une exécution de code arbitraire à distance. La dernière affecte l'interpréteur RealJukebox Media et peut causer la réécriture d'un espace mémoire.

CERTA-2012-AVI-282 : Vulnérabilité dans IBM Cognos (18 mai 2012)

Une vulnérabilité a été corrigée dans IBM Cognos Express. Un attaquant distant peut envoyer des données spécialement conçues au serveur IBM Cognos Analytic Server (ICAS) et provoquer un débordement de mémoire tampon. Il peut ainsi exécuter du code arbitraire à distance.

CERTA-2012-ACT-020 : Bulletin d'actualité numéro 020 de l'année 2012 (18 mai 2012)

CERTA-2012-ACT-020

CERTA-2012-AVI-281 : Vulnérabilité dans Socat (16 mai 2012)

Une vulnérabilité a été corrigée dans Socat. Elle est présente lors de l'utilisation de l'option « READLINE » et provoque un débordement de mémoire tampon dans le tas. Une exploitation réussie de cette faille peut mener à une exécution de code arbitraire à distance.

CERTA-2012-AVI-280 : Vulnérabilités dans SPIP (16 mai 2012)

De multiples vulnérabilités ont été corrigées dans SPIP. Elles concernent des erreurs PHP, et un dysfonctionnement javacript.

CERTA-2012-AVI-279 : Multiples vulnérabilités dans Google Chrome (16 mai 2012)

De multiples vulnérabilités ont été corrigées dans Google Chrome. Plusieurs utilisations d'espaces mémoire libérés et accès non cloisonnés en mémoire peuvent être exploités par un attaquant pour exécuter du code arbitraire à distance.

CERTA-2012-AVI-278 : Vulnérabilités dans Sympa (16 mai 2012)

De multiples vulnérabilités ont été corrigées dans Sympa. Elles concernent la gestion des archives. Au moyen de ces failles un attaquant peut afficher la page de gestion des archives, télécharger tout ou partie des archives et supprimer tout ou partie des archives.

CERTA-2012-AVI-286 : Multiples vulnérabilités dans HP-UX (15 mai 2012)

De multiples vulnérabilités ont été corrigées dans HP-UX. Elles affectent l'environnement JAVA JRE et JDK ainsi que OpenSSL. Les failles sont majoritairement des dénis de service mais sont également présents des modifications de données et des accès non autorisés aux données.

CERTA-2012-AVI-277 : Vulnérabilité dans OpenSSL (15 mai 2012)

Une vulnérabilité dans la gestion des ciphersuites en mode CBC a été corrigée dans OpenSSL. Cette vulnérabilité peut-être exploitée pour provoquer un déni de service dans les applications liées à la librairie OpenSSL pour implémenter le protocole DTLS. Seul OpenSSL 1.0.1 et supérieur expose également le protocole TLS.

CERTA-2012-AVI-276 : Vulnérabilité dans IBM Rational ClearQuest (14 mai 2012)

Une vulnérabilité a été corrigée dans IBM Rational ClearQuest. Elle concerne une injection SQL lors de la mise à jour de la base de données utilisateur. Pour exploiter cette vulnérabilité un attaquant devra avoir accès aux outils de maintenance de ClearQuest.

CERTA-2012-AVI-275 : Vulnérabilité dans Opera (14 mai 2012)

Une vulnérabilité a été corrigée dans Opera. Au moyen d'une adresse (URL) spécialement conçue un attaquant peut réécrire une zone mémoire pour y insérer ses données. L'exploitation de cette vulnérabilité peut conduire à une exécution de code arbitraire à distance.

CERTA-2012-AVI-274 : Multiples vulnérabilités dans EMC Documentum Information Rights Management (11 mai 2012)

Deux vulnérabilités ont été corrigées dans EMC Documentum Information Rights Management. La première est un déréférencement de pointeur nul causé par des données spécialement conçues envoyées au serveur. La deuxième intervient lors de l'envoi répétitif de données non autorisées au serveur. Les deux vulnérabilités sont de type « déni de service à distance ».

CERTA-2012-ACT-019 : Bulletin d'actualité numéro 019 de l'année 2012 (11 mai 2012)

CERTA-2012-ACT-019

CERTA-2012-AVI-273 : Vulnérabilité dans IBM AIX (10 mai 2012)

Une vulnérabilité a été corrigée dans IBM AIX. Cette vulnérabilité peut être exploitée par une personne malveillante distante pour activer ou désactiver un service RPC et ainsi provoquer un déni de service ou obtenir des informations sensibles.

CERTA-2012-AVI-272 : Multiples vulnérabilités dans OS X Lion (10 mai 2012)

Trente-six vulnérabilités ont été corrigées dans OS X Lion. Il est possible d'exécuter du code arbitraire à distance, d'exécuter du code en local, d'obtenir des données sensibles et d'élever ses privilèges. De nombreuses applications et fonctions sont touchées, toutes sont décrites dans le bulletin Apple référencé dans la section « Documentation ».

CERTA-2012-AVI-271 : Multiples vulnérabilités dans Safari (10 mai 2012)

Quatre vulnérabilités ont été corrigées dans Safari. Elles concernent deux injections de code indirecte à distance (XSS) et deux exécutions de code arbitraire à distance sur « Webkit ».

CERTA-2012-AVI-270 : Vulnérabilités dans Horde IMP (10 mai 2012)

Plusieurs vulnérabilités de type injection de code indirecte à distance (XSS) ont été corrigées dans la version 5.0.21 de Horde IMB.

CERTA-2012-AVI-269 : Vulnérabilité dans CiscoWorks Prime LAN Management (10 mai 2012)

Une vulnérabilité a été corrigée dans Cisco Prime LAN Management. Elle concerne une vulnérabilité Apache Tomcat permettant à un attaquant de falsifier des requêtes AJP et ainsi d'obtenir des informations sensibles.

CERTA-2012-AVI-268 : Vulnérabilités dans HP Performance Insight (10 mai 2012)

Trois vulnérabilités ont été corrigées dans HP Performance Insight. Ces vulnérabilités peuvent être exploitées par une personne malveillante distante pour injecter du code SQL (CVE-2012-2007), réaliser de l'injection de code indirecte à distance (XSS, CVE-2012-2008) ou élever ses privilèges (CVE-2012- 2009).

CERTA-2012-AVI-267 : Vulnérabilités dans PHP (09 mai 2012)

Deux vulnérabilités permettant d'exécuter du code arbitraire à distance ont été corrigées dans PHP. La première concernant l'implémentation CGI (CVE-2012- 2311) impacte les versions 5.3 et 5.4 de PHP. La seconde, de type corruption mémoire (CVE-2012-2329), se situe dans la fonction apache_request_headers() et n'impacte que la version 5.4.

CERTA-2012-AVI-266 : Multiples vulnérabilités dans Adobe Shockwave Player (09 mai 2012)

Cinq vulnérabilités ont été corrigées dans Adobe Shockwave Player. Elles concernent des corruptions mémoires pouvant mener à une exécution de code arbitraire.

CERTA-2012-AVI-265 : Vulnérabilité dans Adobe Flash Professionnel (09 mai 2012)

Une vulnérabilité a été corrigée dans Adobe Flash Professionnal. Elle concerne un débordement de tampon pouvant mener à une exécution de code arbitraire.

CERTA-2012-AVI-264 : Vulnérabilités dans Adobe Photoshop (09 mai 2012)

Deux vulnérabilités ont été corrigées dans Adobe Photoshop. Pour la première, un attaquant peut exécuter du code arbitraire au moyen d'un fichier .TIF spécialement conçu, la deuxième concerne un débordement de mémoire tampon.