Ispravljene su tri ranjivosti u video igri Maniadrive, dostupnoj na operacijskim sustavima Fedora 13 i 14. Riječ je o arkadnoj igri koja korisniku omogućuje vožnju auto utrka. Ranjivosti su posljedica nepravilnosti u radu Zip, Exif i Phar dodataka za programski jezik PHP. Vezane su uz nepravilno upravljanje Zip datotekama, "exif.c" datoteku i višestruko pogrešno formatiranje znakovnih polja. Udaljeni napadači mogu ih iskoristiti za pokretanje napada uskraćivanja usluga, dohvaćanje osjetljivih informacija iz memorije te eventualno izvršavanje proizvoljnog koda. Kako bi ispravili opisane probleme savjetuje se nadogradnja na novu inačicu igre.

Uočena su tri sigurnosna nedostatka inačice programskog paketa PHP, namijenjenog za operacijske sustave Fedora 13 i 14. Radi se o skriptnom programskom jeziku s podrškom za objektnu paradigmu. Propusti se odnose na propuste u radu dodataka opisanog jezika. Dodaci, a i sami propusti, su vezani uz upravljanje ZIP datotekama, metapodacima JPEG i TIFF slika te PHP arhivskim datotekama (phar). Napadači propuste većinom mogu iskoristiti za pokretanje napada uskraćivanja usluga, izvršavanje proizvoljnog koda te dohvaćanje osjetljivih informacija. Kao rješenje svih problema, savjetuje se nadogradnja na novu inačicu programskog jezika.

Više sigurnosnih propusta je uočeno u radu programskog paketa eAccelerator, distribuiranog s operacijskom sustavima Fedora 13 i Fedora 14. Program eAccelerator omogućuje optimizaciju i ubrzanje izvođenja PHP skripti. Sigurnosni propusti vezani su uz cjelobrojno prepisivanje u "ext/shmop/shmop.c" skripti, nepravilnu obradu podataka u "phar_object.c", pogrešnu pretvorbu podataka u "exif.c" te neispravno rukovanje argumentima u datoteci "zip_name_locate.c". Udaljenom napadaču omogućuju DoS (eng. Denial of Service) napad te neovlašten pristup memoriji. Svim korisnicima savjetuje se nadogradnja sustava na novije inačice.

Izdana je nova inačica programskog paketa DHCP (eng. Dynamic Host Configuration Protocol). Riječ je o mrežnom protokolu za automatsku, dinamičku dodjelu IP (eng. Internet Protocol) adresa na principu klijent-poslužitelj arhitekture. Nova inačica ispravlja propust vezan uz klijentsku stranu. Preciznije, nastaje zbog neodgovarajuće obrade ulaznih podataka poslanih od DHCP poslužitelja prije predavanja "dhclient-script" skripti. Da nije ispravljen uočeni nedostatak, udaljeni napadač bi ga mogao iskoristiti za izvođenje zlonamjernog programskog koda i pokretanje proizvoljnih naredbi. Korisnicima se savjetuje instalacija nove inačice.

Kod programskog paketa spice-xpi uočen je novi sigurnosni propust. Riječ je o paketu koji osigurava dodatak (eng. plug-in) koji omogućuje pokretanje SPICE (eng. Simple Protocol for Independent Computing Environments) klijenta u okviru preglednika Mozilla Firefox. Pogreška se javlja zbog nepravilne upotrebe pokazivača koji nije prethodno inicijaliziran. Korisnik prevarom naveden na posjetu zlonamjerno oblikovanim web stranicama u Firefox pregledniku, s omogućenim SPICE dodatkom, može srušiti ranjivi preglednik ili pokrenuti proizvoljan programski kod. Korisnicima se preporuča nadogradnja na poboljšane inačice.

Idi na vrh