Publié le 26-12-2007 dans le thème Réseau - Sécurité

Pays : International - Auteur : Eric Romang

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Contournement de règles de sécurité, attaques du type cross-site scripting (XSS), révélation d'informations sensibles et compromission de système vulnérable par le biais des versions de Gallery antérieures à la version 2.2.4.

Des vulnérabilités, classifiées comme "hautement critiques", ont été rapportées pour Gallery 2.x, qui pourraient permettre à un internaute malveillant de contourner des règles de sécurité, effectuer des attaques du type cross-site scripting (XSS), révéler des informations sensibles et compromettre un système vulnérable.

Une erreur non spécifiée dans le module "Publish XP" peut être exploitée pour créer et télécharger des fichiers avec de mauvaises autorisations.

Une erreur non spécifiée dans l'administration du module de réécriture d'URL (URL rewrite) peut être exploitée pour inclure des fichiers locaux.

Les entrées envoyées par le biais des noms de fichiers ne sont pas traitées correctement avant d'être retournées à l'utilisateur. Cette erreur peut être exploitée pour dérober la session de navigation d'un internaute cible.

Une vulnérabilité non spécifiée existe dans la vérification des extensions de fichiers téléchargés.

Le module "Gallery Remote" ne vérifie pas correctement les permissions de certaines commandes "GR".

Certaines entrées envoyées par "HTTP PROPPATCH" au module "WebDAV" ne sont pas correctement traitées avant d'être retournées à l'utilisateur. Cette erreur peut être exploitée pour injecter du code HTML ou javascript arbitraire qui sera exécuter dans le contexte de navigation de l'internaute cible.

Des erreurs non spécifiées dans la visualisation "WebDAV" du module "WebDAV", dans la visualisation des commentaires dans le module commentaire, dans les modules d'impressions, dans le module "URL rewrite", et dans le module "Slideshow" peuvent être exploitées pour révéler des informations sensibles.

Des erreurs non spécifiées existent dans le module "WebCam" lors de l'utilisation d'un proxie.

Les vulnérabilités ont été rapportées pour les versions antérieures à la version 2.2.4.

Le fournisseur propose la mise à jour 2.2.4 pour combler ces vulnérabilités. 

# Liens connexes

Alerte de sécurité Secunia (en anglais)

31 réalisateurs en accord avec la loi création et Internet

Costa-Gavras, Rachid Bouchareb ou encore Gérard Jugnot font parti des réalisateurs à voter pour le projet de loi création et Internet.

Le Top 10 des menaces de juin 2008 selon BitDefender

Pas de changement depuis le dernier classement pour les deux premières places, avec Trojan.clicker.CM et Trojan.Downloader.WMA.Wimad.N. Le trojan Trojan.FakeAlert.PP gagne du terrain.

Sécurité dédiée aux terminaux mobiles

Sybase iAnywhere Offre de nouvelles fonctionnalités de sécurité mobile pour répondre aux problèmes accrus liès aux malware, pirates et virus informatiques.

Authentification forte

Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.

Boulette informatique de la mort qui tue !

L'administration en charge du numéro de Sécurité Sociale diffuse les données sensibles de 20.000 américains qu'elle croyait décédés.

Une page du CNRS redirigée par un pirate

Un groupe de pirates a réussi a rediriger une page Internet appartenant au site du Centre National de la Recherche Scientifique.

Un robot policier pour traquer les heures'supps !

Un robot va patrouiller dans les bureaux d'une firme japonaise afin de contrôler les employés couche tard !

Votre ordinateur contrôlé par la pensée !

Une start-up américaine met au point un casque de contrôle mental de jeux vidéo. La police est déjà intéressée par le matos !

Authentification forte

Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.

Stonesoft augmente la performance des protections Intranet de 60 %

Le système de prévention des intrusions (IPS) de Stonesoft est le meilleur moyen pour analyser le trafic des agrégats de lignes entre les commutateurs

Solution de sauvegarde en ligne AdBackup d’Oodrive

MAAF Assurances recommande la solution AdBackup d’Oodrive qui permet aux entreprises de ne pas courir le risque de la perte de données et d’agir en préventif.

News letter ZATAZ.COM

Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.

Les secrets des membres de Youtube révélés

Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.

Ca bouge chez HP: un espion viré

Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.

Soldes: Portes-ouvertes numériques chez Nina Ricci

Exclu - Découverte d'un accès à l'administration du site Internet la marque de luxe Nina Ricci.

Cyberoam vs menaces numériques

Cyberoam lance une nouvelle version de son firmware pour mieux armer les entreprises contre les nouvelles menaces.

Réagissez à ce contenu