L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Secure Computing Webwasher

annonce de vulnérabilité 8552

Secure Web SmartFilter : obtention d'informations

Synthèse de la vulnérabilité

Les mots de passe sont stockés en clair dans certains fichiers de Secure Computing Secure Web SmartFilter.
Produits concernés : Webwasher.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 23/03/2009.
Références : VIGILANCE-VUL-8552.

Description de la vulnérabilité

La console d'administration du produit Secure Computing Secure Web SmartFilter stocke sa configuration dans le répertoire C:\Program Files\Secure Computing\Smartfilter Administration\server\config\.

Cependant, les droits d'accès des fichiers config.txt et admin_backup.xml permettent à un attaquant local de les lire. Ces fichiers peuvent contenir un mot de passe d'accès au proxy.

Un attaquant local peut donc obtenir le mot de passe pour se connecter sur le proxy.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2008-1797

Webwasher : déni de service

Synthèse de la vulnérabilité

Un attaquant peut employer une url illicite afin de mener un déni de service sur Webwasher lorsqu'il est installé sous Linux.
Produits concernés : Webwasher.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Date création : 04/04/2008.
Références : BID-28600, CVE-2008-1797, VIGILANCE-VUL-7732.

Description de la vulnérabilité

Le produit Webwasher est disponible sous la forme :
 - d'une appliance basée sur un système Linux
 - d'un logiciel s'installant sous Linux
 - d'un logiciel s'installant sous Windows
Une vulnérabilité affecte les versions installées sous Linux.

En effet, l'analyse des urls emploie incorrectement une fonctionnalité Linux, ce qui bloque le programme.

Un attaquant situé sur le réseau interne peut donc utiliser une url illicite pour provoquer le déni de service. Un attaquant externe peut aussi inviter un utilisateur interne à visiter une url illicite.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.