Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Top Layer Network Security Analyzer : Vulnérabilité de Dépassement de Tampon

28/07/2006 07H01
Référence Secunia : SA21218
Date de publication : 2006-07-27

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Accès au système
Lieu : Depuis le réseau local


Solutions :
Non corrigée


Produit :
Top Layer Network Security Analyzer 4.x

Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3838

Description :
Une vulnérabilité a été rapportée dans Top Layer Network Security Analyzer, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de limites dans NetworkSecurityAnalyzer.exe dans le gestionnaire de licence (port 10616/TCP) et pourrait être exploitée pour causer un débordement de la pile (stack overflow) en passant un argument très long à "LICMGR_ADDLICENSE".

L'exploitation de ce problème permet l'exécution de commandes arbitraires.

La vulnérabilité a été rapportée en version 4.5.3.


Solutions :
L'éditeur expects to release une version corrigée dans a couple of days.

Vulnérabilité découverte par :

Découverte initiale dans eIQnetworks Entreprise Security Analyzer par Titon, JxT, KF et le reste de Bastard Labs et rapportée via ZDI.

Référence :
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-06-024.html

Autres références :

SA21211:
http://secunia.com/advisories/21211/

Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081103 Net snmp GETBULK Dépassement d'Entier Déni de Service 2
20080710 Network Appliance Data ONTAP Vulnérabilités Non spécifiées
20080610 Net SNMP HMAC Authentication Spoofing Vulnérabilité
20080225 Net Activity Viewer Elévation de Privilèges Faille de Sécurité
20071108 Net snmp GETBULK Vulnérabilité de Déni de Service
20070319 Network Audio System Vulnérabilités Diverses
20070226 Network Security Services SSLv2 Processing Buffer Overflows
20061208 Net SNMP rocommunity et rouser Contournement de la Sécurité
20061110 Network Administration Visualized Elévation de Privilèges
20060915 Network Security Services NSS Signature Forgery Vulnérabilité
20060728 Top Layer Network Security Analyzer Vulnérabilité de Dépassement de Tampon
20060721 Top XL add php Vulnérabilité Cross Site Scripting
20060711 Network Appliance Data ONTAP Contournement de la Sécurité
20060428 Network Administration Visualized Vulnérabilité d'Injection SQL
20060420 Net Clubs Pro Vulnérabilités Cross Site Scripting
20051025 Network Appliance Data ONTAP Contournement de l'Authentification iSCSI
20051017 Network Security Services NSS Vulnérabilité de la Librairie Zlib
20050706 Net snmp Stream based Protocol Déni de Service
20050524 Net snmp fixproc Création Non Sécurisée de Fichiers Temporaires
20050413 Network Appliance Data ONTAP ICMP Message Handling Déni de Service
20040907 Net Acct Création Non Sécurisée de Fichiers Temporaires Vulnérabilité
20040827 Network Everywhere Cable DSL 4 Port Router NR041 DHCP Insertion de Script
20040826 Top Layer Attack Mitigator IPS 5500 Multiple HTTP Requests Déni de Service
20040430 Network Appliances Data ONTAP et NetCache Vulnérabilité de Déni de Service
20040426 Network Query Tool Cross Site Scripting Vulnérabilité
20030909 Net SNMP Unauthenticated MIB Object Access Vulnérabilité
20021003 Net snmp Déni de Service
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe