Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Avril 2001<br />
LIGHTWAVE<br />
Attaque de type 'brute-force' sur 'ConsoleServer 3200'<br />
L'existence d'une interface de ligne de commande sur 'ConsoleServer 3200') permet une attaque de type 'bruteforce'.<br />
Forte 11/04 Lightwave Communications ConsoleServer 3200<br />
Aucun correctif 'CLI' (Command Line Interface) Attaque de type 'brute-force'<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/175502<br />
MICROSOFT<br />
Vulnérabilité 'CLSID' via 'Explorer' et 'IE'<br />
Il est possible de masquer l'extension réelle d'un fichier via 'Explorer' 'IE' si celle-ci correspond à un identifiant<br />
'CLSID'.<br />
Critique 16/04 Explorer et Internet Explorer sous Windows 98 et 2000<br />
Aucun correctif 'CLSID' (CLasS IDentifier) Non affichage des extensions de type 'CLSID'<br />
Guninski #42 http://www.guninski.com/clsidext.html<br />
Accessibilité du fichier 'user.dmp'<br />
Le fichier image généré en cas de dyfonctionnement d'une application est accessible à tous par défaut<br />
Forte 26/03 Windows NT et 2000<br />
Palliatif proposé Docteur Watson Fichier image accessible par tous en lecture<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/170952<br />
Vulnérabilité dans 'IE5' avec 'IIS' ou 'Exchange'<br />
Il existe une vulnérabilité exploitable à distance dans Microsoft Internet Explorer 5.x en interaction avec 'IIS 5.0' et<br />
'Exchange 2000'.<br />
Forte 28/03 Internet Explorer 5.x en interaction avec IIS 5.0 et Exchange 2000<br />
Aucun correctif Fichier 'MSDAIPP.DSO' Accès non sécurisé aux objets permettant l'accès à un serveur IIS 5.0<br />
Guninski #40 http://www.guninski.com/iemsdaipp.html<br />
Vulnérabilité dans 'Internet Explorer' MSScriptControl<br />
Une vulnérabilité dans Internet Explorer, exploitable à distance, permet de lire sous <strong>cert</strong>aines conditions les fichiers<br />
auxquels un tiers a accès.<br />
Forte 31/03 Microsoft Internet Explorer 5.5 (testé sous Windows 2000)<br />
Aucun correctif MSScriptControl.ScriptControl Accès non sécurisée aux fichiers<br />
Guninski #41 http://www.guninski.com/scractx.html<br />
NETOPIA<br />
Accès aux préférences systèmes par Timbuktu<br />
Il est possible d'accéder sans authentification aux préférences système d'un poste MacOS X sur lequel Timbuktu a<br />
été installé.<br />
Forte 20/04 Timbuktu sur MacOS X<br />
Correctif existant Timbuktu Preview Accessibilité aux préférences systèmes sans authentification<br />
SecureMac<br />
http://www.securemac.com/timubktuosxpreviewhole.cfm<br />
NETSCAPE<br />
Exposition d'information via Netscape<br />
Un utilisateur distant peut obtenir l'historique des pages visitées d'un tiers via Netscape.<br />
Forte 09/04 Netscape Navigator/Communicator 4.76<br />
Correctif existant Fichier 'gif' et protocole 'about' Passage de code javascript<br />
Bugtraq<br />
http://www.securityfocus.com/archive/1/175060<br />
ORACLE<br />
Débordement de buffer dans 'Oracle Application Server'<br />
Il existe un débordement de buffer exploitable à distance dans la bibliothèque fournie avec OAS 4.0.8.2 (Oracle<br />
Application Server) et utilisée par 'iWS' (iPlanet Web Server).<br />
Forte 10/04 Oracle Application Server 4.0.8.2 avec Serveur web iPlanet Web Server 4.0/4.1 sous Sparc/Solaris 2.7<br />
Aucun correctif Bibliothèque 'ndwfn4.so' Débordement de buffer<br />
SAFER 0016 http://www.safermag.com/advisories/0016.html<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 30/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE