Mise à jour BLOG:CMS 4.2.1c

Attaques du type cross-site scripting (XSS) et injection SQL par le biais de BLOG:CMS 4.x.

Digital Security Research Group a rapporté des vulnérabilités, classifiées comme "moyennement critiques", pour BLOG:CMS, qui pourraient être exploitées par un internaute malveillant pour effectuer des attaques du type injection SQL et des attaques du type cross-site scripting (XSS).

Les entrées envoyées au paramètre "blogid" du script "index.php" et au paramètre "user" du script "action.php" ne sont pas correctement traitées avant d’être utilisées dans des requêtes SQL. Ces erreurs pourraient être exploitées pour injecter du code SQL arbitraire.

Les entrées envoyées par le biais de l’URL aux scripts "photo/admin.php" et "photo/index.php" ne sont pas traitées correctement avant d’être retournées à l’utilisateur. Ces erreurs peuvent être exploitées pour injecter du code HTML et javascript arbitraire qui sera exécuter dans le contexte de navigation de l’internaute cible.

Les entrées envoyées au paramètre "title" du script "admin/plugins/table/index.php" ne sont pas traitées correctement avant d’être utilisées dans des requêtes SQL. Cette erreur pourrait être exploitée pour injecter du code SQL arbitraire.

L’exploitation de cette vulnérabilité requiert les identifiants administrateur.

Les vulnérabilités ont été rapportées pour la version 4.2.1b. D’autres versions peuvent être affectées.

Le fournisseur propose la mise à jour 4.2.1c pour combler ces vulnérabilités. 

php-residence injection SQL

Attaque du type injection SQL par le biais de php-residence 0.x et 1.x.

IRCRASH a rapporté une vulnérabilité, classifiée comme "moyennement critique", pour php-residence 0.x et 1.x, qui pourrait être exploitée par un internaute malveillant pour effectuer des attaques du type injection SQL.

Les entrées envoyées au paramètre "cognome_cerca" du script "visualizza_tabelle.php" ne sont pas traitées correctement avant d’être utilisées dans des requêtes SQL. Cette erreur pourrait être exploitée pour injection du code SQL arbitraire.

La vulnérabilité a été rapportée pour la version 0.7.2 et confirmée dans la version 1.0. D’autres versions peuvent être affectées.

GeoVisu

Image : site officiel.

GeoVisu

    GeoVisu permet d’afficher des données géographiques sur des fichiers contenant ces informations et de traiter les données enregistrées par des GPS, sur une carte. Il reconnaît les GPS compatibles NMEA 0183 et les GPS Garmin USB.

En entrée, il acceptera les fichiers KMZ issus de GoogleEarth ainsi que de nombreux autres formats (SHP , MIF, KML, GeoTiff, ECW et ECWP, MrSID, GPX, log NMEA, GPS TrackMaker GTM211 et GTM212, Lowrance USR, OziExplorer, Mapsend, log Magellan, Garmin PCX5, Garmin XML (History, Logbook), Mapshow (AlanMap, Holux), même les images JPEG contenant des cordonnées GPS sont reconnues, si votre appareil photo propose cette fonction. Voir la liste complète des fonctions.

Image : site officiel.

D’autres programmes le complètent, à découvrir sur le site officiel (lien ci-dessous).

OS : Windows 2000, XP, 2003, Vista
Taille : 1,5 Mo
Langue : multilingue, français inclus.
Licence : freeware

Site officiel (français/anglais)

Vulnérabilité Mini File Host

Révélation d’informations sensibles par l’inclusion de fichiers locaux arbitraires par le biais de Mini File Host 1.x.

Scary-Boys et S.W.A.T. ont rapportés une vulnérabilité, classifiée comme "moyennement critique", pour Mini File Host 1.x, qui pourrait être exploitée par un internaute malveillant pour révéler des informations sensibles.

Les entrées envoyées au paramètre "language" du script "pages/upload.php" ne sont pas traitées correctement avant d’être utilisées pour inclure des fichiers. Cette erreur pourrait être exploitée pour inclure des fichiers locaux arbitraires.

L’exploitation requiert que la directive PHP "register_globals" soit activée, et que la directive PHP "magic_quotes_gpc" soit désactivée.

La vulnérabilité a été rapportée pour la version 1.2.1 et 1.2. D’autres versions peuvent être affectées.

Le pirate de Paris Hilton se casse les dents sur une gamine de 18 ans !

Une adolescente américaine réussi à piéger un pirate informatique venue la menacer sur son site Internet. L’idiot avait déjà fait le coup avec Paris Hilton.
Jeffrey Robert Weinberg, 22 ans, est un internaute qui avait fait parler de lui en 2005. Cet américain avait  participé au piratage du compte téléphonique de Paris Hilton. Ce jeune homme, originaire de la Californie du Sud, se retrouve une fois de plus, depuis vendredi, entre quatre murs. Il a été arrêté pour avoir menacé une adolescente de 18 ans originaire de Los Angeles.

Après avoir piraté son compte MySpace et son blog hébergé Stikam, Weinberg a fait des avances à la demoiselle. Cette dernière ne s’est pas démontée et a aidé les forces de l’ordre à arrêter V.I.P., le pseudonyme du pirate. La demoiselle ? Une "célébrité" du web américain, Amor Nicholai Hilton, une jeune fille qui s’annonce être "la soeur héritière de Paris Hilton". Elle explique sur son MySpace comment elle a pu piéger son pirate.
Weinberg avait été condamné à 11 mois de maison de redressement (sept 2005) et à 10 mois de prison, en décembre de 2006 pour avoir participé au vol de données de la société LexisNexis. Libéré en novembre dernier, il venait de débuter ses trois ans de libération sous conditions. Dans les contraintes judiciaires que Weinberg devait suivre, ne plus pirater, A n’importe quel moment soumettre son ordinateur à une inspection de la police; Ne pas utiliser de logiciel de cryptage; … Raté ! (Wired)

Le warez, pas cool avec James Deano

Le fils du commissaire, James Deano, se fait braquer son album sur Internet avant sa sortie commerciale.
Pas de doute, il y a un sérieux grain de sable dans la chaîne de diffusion des disques orchestrée par les majors. Après la sortie en "avant-premiére" de l’album de Bernard Lavilliers par le groupe Just, c’est au tour de James Deano, jeune rappeur belge, de faire les frais de cette course à la diffusion d’album piraté.

Le groupe OBC a diffusé, il y a quelques heures, avant la sortie en magasin, (lundi prochain) d’un album très attendu, Le fils du commissaire. James Deano s’est fait connaitre par un single "Les blancs ne savent pas danser". Dans son premier album, 17 titres, James Deano s’offre Diams dans un single intitulé "Sans exception" ou encore Akro dans un bonus tracj "James Deano battle et fontaine".

Bref, le warez souhaite-t-il tuer ce jeune talent, et son album ?

Les titres de cet album, en vente des lundi, chez les disquaires et les plateformes de téléchargement légal :  

1   El playboy                                             
2   Les blancs ne savent pas danser        
3   Arrête de fuir                                        
4   11 du 9                                                
5   Sans exception ft Diam’s                      
6   Chercheur d’énergie                             
7   Le fils du commissaire                           
8   Ma vie de célibataire                             
9   Drogue dur à la drogue douce              
10  Riz sauce rien                                       
11  Koh Lanta                                            
12  Les femmes                                          
13  Les gens sont stressés                        
14  Tu t’es vu quand t’abises                     
15  Loin de la vérité                                   
16  Le son du cosmos                                
17  Battle et Fontaine (bonus track) ft Akro

Version pirate d’Asterix et Obelix aux Jeux Olympiques sur le web ?

Version pirate d’Asterix et Obelix aux Jeux Olympiques ? Versions en téléchargement, version en streaming, le buzz warez et internet autour du prochain Asterix et Obélix vient de débuter.

Version pirate d’Asterix et Obelix aux Jeux Olympiques ? Depuis quelques jours, plusieurs versions dites "warez" du prochain blockbuster "Made in France", Asterix et Obelix aux Jeux Olympiques, auraient envahi  Internet. D’abord sur le P2P, de pseudos versions de ce film sont apparues. Les diffuseurs y vont de leurs intitulés : Asterix aux jeux olympiques.FRENCH.EXELENTEQUALITE.rar; Asterix.Aux.Jeux.Olympiques.FRENCH.TS.DiVX-CiNEFOX; Asterix.Aux.Jeux.Olympiques.FRENCH.R5.DiVX; … Bien évidement, tout ceci n’est que mauvaise blague et un bon gros piége à gogo. Et à la vue du nombre de personnes qui tentent de télécharger ce type de fichier sur via Mininova, PirateBay et compagnie, le piége semble porteur. Le contenu des fichiers ? Pour les deux que nous avons analysé, rien d’autre que la bande annonce diffusée par le site AlloCiné.

A qui profite la fausse fuite ?

Si la rumeur fait état d’une possibilité mise en place par l’ALPA (Association de Lutte contre le Piratage Audiovisuel); Par Pathé (Le distributeur); … Il semble aussi possible que de "petits" comiques se soient trouvés là un plaisir de diffusion à la sauce "Chaîne mel". Dernier point, qui semble tout aussi possible, un moyen de casser le futur business warez autour de cette production. Mais tout ce petit monde se retrouve sous la même bannière. Plus il y aura de faux Asterix et Obelix aux Jeux Olympiques, de fakes, moins les internautes souhaiteront perdre du temps à télécharger ce film.

 

http://www.dailymotion.com/swf/x41a7c