Avis sé curité du 01/07/2013 - ARESU
Transcription
Avis sé curité du 01/07/2013 - ARESU
Avis sécurité du 01/07/2013 L’actualité CNRS Il y a peu je vous annonçais la sortie de l’édition 2013 du top 10 de l’OWASP. Sa version française vient d’être publiée (félicitations aux traducteurs qui ont été vraiment rapides !). Elle décrit Les dix risques de sécurité applicatifs Web les plus critiques. C’est un document synthétique qui explique bien quels sont les risques des applications Web et donne les bonnes pratiques à utiliser. Nous constatons au CNRS un nombre très important d’incidents impliquant des serveurs Web, les vulnérabilités exploitées sont tout à fait en accord avec celles relevées par l’OWASP. Tout développeur devrait lire ce guide avant de programmer quelques lignes en PHP ou d’utiliser un morceau de code récupéré via Google sur Internet. Tout exploitant de site Web devrait aussi le lire afin qu’il comprenne bien les risques auxquels il est exposé. La revue hebdomadaire de l’actualité est aussi disponible en ligne. CERTA CERTA-2013-ACT-026 Bulletin d'actualité numéro 26 de l'année 2013 (28 juin 2013) CERT Renater 28 juin 2013 STAT26 Bulletin d'actualité numéro 26 de l'année 2013 Les derniers avis CERTA CERTA-2013-AVI-382 CERTA-2013-AVI-381 CERTA-2013-AVI-380 CERTA-2013-AVI-379 CERTA-2013-AVI-378 CERTA-2013-AVI-377 CERTA-2013-AVI-376 CERTA-2013-AVI-375 CERTA-2013-AVI-374 Multiples vulnérabilités dans WordPress (28 juin 2013) Multiples vulnérabilités dans Adobe Photoshop Camera Raw (28 juin 2013) Multiples vulnérabilités dans Citrix XenServer PV (28 juin 2013) Vulnérabilité dans Cisco ASA Next-Generation Firewall (27 juin 2013) Multiples vulnérabilités dans Cisco Web Security Appliance (27 juin 2013) Multiples vulnérabilités dans Cisco Email Security Appliance (27 juin 2013) Multiples vulnérabilités dans Cisco Content Security Management Appliance (27 juin 2013) Multiples vulnérabilités dans le noyau Linux de Mandriva (26 juin 2013) Multiples vulnérabilités dans les produits Mozilla (26 juin 2013) CERTA-2013-AVI-373 CERTA-2013-AVI-372 CERTA-2013-AVI-371 Vulnérabilité dans libcurl (25 juin 2013) Vulnérabilité dans Hewlett-Packard iLO (25 juin 2013) Vulnérabilité dans INDEPNET GLPI (24 juin 2013) CERT Renater 28 Jun 2013 VULN275 28 Jun 2013 VULN274 28 Jun 2013 28 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 27 Jun 2013 26 Jun 2013 26 Jun 2013 (IBM : WebSphere Application Server Java API Documentation Frame Injection Vulnerability (CVE-20131571)) Systems running Red Red Hat : Important vulnerabilities fixed Hat OpenStack in openstack-keystone versions 3. Citrix : Security vulnerability in Citrix Systems running VULN273 XenServer PV guest kernel loading Citrix XenServer could result in privilege escalation versions 5, 6. (Ruby : Hostname check bypassing VULN272.1 vulnerability in SSL client (CVE-20134073)) Systems running VULN272 Opera : Security breach stopped Opera. Fast Permissions DRUPAL : Fast Permissions VULN271 Administration for Administration - Access Bypass DRUPAL (HP : HP-UX Running HP Secure Shell, VULN270 Remote Denial of Service (DoS)) BIG-IP : Client-side component flaw - BIG-IP software VULN269 CVE-2013-0150 Security Advisory products. Cisco : Cisco ASA Next-Generation Cisco ASA NextVULN268 Firewall Fragmented Traffic Denial of Generation Firewall. Service Vulnerability Cisco : Multiple Vulnerabilities in Cisco Cisco IronPort VULN267 Content Security Management AsyncOS Software for Appliance Cisco Content Cisco IronPort Cisco : Multiple Vulnerabilities in Cisco VULN266 AsyncOS Software for Web Security Appliance Cisco Web Cisco : Multiple Vulnerabilities in Cisco Cisco IronPort VULN265 Email Security Appliance AsyncOS Software. Mozilla : Multiple vulnerabilities fixed VULN264 in Firefox and Thunderbird DRUPAL : SA-CONTRIB-2013-053 - Systems running VULN263 Login Security - Multiple Login Security for Vulnerabilities DRUPAL 25 Jun 2013 25 Jun 2013 25 Jun 2013 25 Jun 2013 25 Jun 2013 24 Jun 2013 24 Jun 2013 24 Jun 2013 24 Jun 2013 24 Jun 2013 (IBM : IBM Tivoli Directory Integrator (TDI) Java API Documentation Frame VULN262 Injection Vulnerability (CVE-20131571)) (IBM : IBM Tivoli Access Manager for e-business (TAMeb) Java API VULN261.1 Documentation Frame Injection Vulnerability (CVE-2013-1571)) (IBM : IBM Tivoli Access Manager for e-business (TAMeb) Java API VULN261 Documentation Frame Injection Vulnerability (CVE-2013-1571)) IBM : IBM Tivoli Federated Identity Systems running Manager (TFIM) and IBM Tivoli VULN260 Tivoli Federated Federated Identity Manager Business Identity Manager Gateway Systems running Xen Xen : Important vulnerabilities fixed in VULN259 versions up to and Xen including Apache OpenOffice : Security VULN258 Vulnerabilities fixed in Apache Systems running OpenOffice and OpenOffice SDK Cisco : Cisco WebEx Social Cross-Site Systems running Cisco VULN257 Request Forgery Vulnerability WebEx Social. Systems running WordPress : WordPress 3.5.2 VULN256 WordPress versions Maintenance and Security Release prior to 3.5.2, Systems curl, libcurl Project cURL : libcurl URL decode VULN255 versions prior to buffer boundary flaw 7.31.0. Systems running GLPI GLPI : filtering some user inputs VULN254 versions prior to eliminates possible SQL injections 0.83.9.