[cllfst] Fwd: Vulnérabilités critiques découvertes dans Yahoo! Messenger

[cllfst] Fwd: Vulnérabilités critiques découvertes dans Yahoo! Messenger, BitDefender, MailEnable et Linux Kernel

[ Thread Index | Date Index | More lists.tuxfamily.org/cllfst Archives ]

To: cllfst@xxxxxxxxxxxxxxxxxxx
Subject: [cllfst] Fwd: Vulnérabilités critiques découvertes dans Yahoo! Messenger, BitDefender, MailEnable et Linux Kernel
From: "Zied Abid" <ziedabid@xxxxxxxxx>
Date: Mon, 25 Dec 2006 12:21:24 +0100
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com; h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; b=A0Km4PyhkwusFyVe1W8B6Ws3VTIBPm8uwZuVVaAM5gpJoIQri9PCOvt/2gYqPMiyEMuyGon8EFkV+UxhC1HHtGPASGL55DX+6DevjO14DnGDeLHnKjK20Mv54718Eu/pDisqc9nkk2xqo4mOOzUqxb4HXojLZYRWMYQ9DMQizC4=

---------- Forwarded message ----------
From: ANSI.cert-TCC.Faille <Cert-TCC@xxxxxxx>
Date: Dec 19, 2006 2:26 PM
Subject: Vulnérabilités critiques découvertes dans Yahoo! Messenger, BitDefender, MailEnable et Linux Kernel
To:

Objet:

- Yahoo! Messenger versions 8.x et inférieures : vulnérabilité très critique qui pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires.

- BitDefender Antivirus/ Antivirus Plus/ Internet Security/Mail Protection for Enterprises/Online Scanner, BitDefender pour ISA Server/ MS Exchange 2000/ MS Exchange 2003/ MS Exchange 5.5: Vulnérabilité très critique, qui pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires ou afin de causer un déni de service..

- MailEnable Standard Edition version 1.98 et inférieures, Enterprise Edition version 2.35 et inférieures, Professional Edition version 2.35 et inférieures: Vulnérabilité
très critique,qui pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires.

- Linux Kernel versions 2.6.x et 2.4.x : Vulnérabilité critique qui pourrait être exploitée par des attaquants distants afin d'exécuter des commandes arbitraires ou de causer un déni
de service.

Yahoo! Messenger :

Versions affectées :
Yahoo! Messenger versions 8.x et inférieures .

Brève Description :

La faille est due à une erreur de gestion de certaines méthodes malformées,au niveau contrôleur ActiveX "YMMAPI.YMailAttach" (ymmapi.dll) .L'exploitation de cette
faille permettrait d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web spécialement conçue.

Pour plus de détails :

http://messenger.yahoo.com/security_update.php?id=120806

Solution

Utiliser la dernière version :

http://messenger.yahoo.com/download.php

BitDefender :

Versions affectées :

BitDefender Antivirus
BitDefender Antivirus Plus
BitDefender pour ISA Server
BitDefender pour MS Exchange 2000
BitDefender pour MS Exchange 2003
BitDefender pour MS Exchange 5.5
BitDefender Internet Security
BitDefender Mail Protection for Enterprises
BitDefender Online Scanner

Brève Description :

La faille est due à une erreur au niveau du traitement d'un fichier PE malformé, L'exploitation de cette faille pourrait permettre à des attaquants d'exécuter des commandes arbitraires
via un fichier spécialement conçu.

Pour plus de détails :

http://www.bitdefender.com/KB323-en--cevakrnl.xmd-vulnerability.html

Solution

Les correctifs peuvent être installés automatiquement via le module de mise à jour :

http://www.bitdefender.com/site/Downloads/

MailEnable:

Versions affectées :

MailEnable Standard Edition version 1.98 et inférieures
MailEnable Enterprise Edition version 2.35 et inférieures
MailEnable Professional Edition version 2.35 et inférieures

Brève Description :
La faille est due à une erreur de gestion d'une commande "PASS" excessivement longue,au niveau du service POP .L'exploitation de cette faille permettrait d'exécuter
des commandes arbitraires .

Pour plus de détails :
http://secunia.com/secunia_research/2006-75/

Solution

Appliquer le correctif :

http://www.mailenable.com/hotfix/ME-10026.EXE

Linux Kernel :

Versions affectées :
Linux Kernel version 2.6.x
Linux Kernel version 2.4.x

Brève Description :
La faille est due à des erreurs de gestion des paquets CAPI malformés,, au niveau au niveau de la fonction "cmtp_recv_interopmsg()" [net/bluetooth/cmtp/capi.c] .L'exploitation de
cette faille permettrait de causer un déni de service ou d'exécuter des commandes arbitraires avec des privilèges élevés.

Pour plus de détails :
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.33.5
http://www.kernel.org/pub/linux/kernel/v2.4/testing/patch-2.4.34.log

Solution

Utiliser Linux Kernel 2.4.33.5 ou 2.4.34-rc2 :
http://www.kernel.org/

Cert-TCC
Computer Emergency Response Team - Tunisian Coordination Center
Agence Nationale de la Sécurité Informatique
Ministère des Technologies de la Communication
Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis
Tel : 71 843 200
Numéro Vert : 80 100 267
Fax : 71 846 363
Identifiant Message : 2006-221

Pour vous désinscrire de cette Mailing List envoyer "D" à l'adresse suivante desabonnement@xxxxxxx
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@xxxxxxx
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@xxxxxxx

Messages sorted by: [ date | thread ]
Prev by Date: Re: [cllfst] Re: Applications Scientifiques sous Linux
Next by Date: [cllfst] Re: [cllfstmembres] URGENT quota site
Previous by thread: [cllfst] Re: [CULLT:287] Re: A propos de QT
Next by thread: [cllfst] Re: [cllfstmembres] URGENT quota site

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/