U radu programskoga paketa openldap uočena su dva nova sigurnosna propusta. Riječ je o besplatnoj implementaciji LDAP (eng. Lightweight Directory Access Protocol) protokola. Propusti se javljaju u radu datoteka "chain.c" i "modrdn.c". Prvi propust se javlja prilikom korištenja master-slave konfiguracije, a omogućuje zaobilaženje procesa autentikacije slanjem nepravilne korisničke lozinke slave poslužitelju. Drugi propust uzrokuje DoS napade putem DN modifikacijskih zahtjeva s praznim OldDN poljem. Svi se korisnici upućuju na nadogradnju.

Kod programskog paketa OpenLDAP, besplatne implementacije LDAP (eng. Lightweight Directory Access Protocol) protokola, uočena su tri nova nedostatka. Propusti su uzrokovani nepravilnostima u datotekama "bind.cpp" i "modrdn.c", te pogreške koja nastaje prilikom obrade korisničkih zaporki. Posljedice propusta su izvođenje DoS napada te zaobilaženje postavljenih sigurnosnih ograničenja korištenjem proizvoljnih korisničkih lozinki. Budući da je dostupna nadogradnja, svi se korisnici upućuju na njenu primjenu.

Uočen je i ispravljen sigurnosni nedostatak vezan uz Cisco NAC Guest Server, osnovnu komponentu Cisco TrustSec rješenja. Propust se javlja uslijed konfiguracijske pogreške u RADIUS autentikaciji. Navedeni propust može omogućiti neovlaštenim, udaljenim napadačima pristup zaštićenoj mreži zaobilaženjem postupka autentikacije, odnosno upisa korisničkog imena i zaporke. Za više detalja, preporuča se čitanje izvorne preporuke. Svim se korisnicima preporuča nadogradnja na inačicu 2.0.3 kako bi se zaštitili od potencijalnih napada.

U pojedinim inačicama programskog paketa Cisco Secure Access Control (ACS) uočen je novi sigurnosni propust. Riječ je o paketu koji se koristi za centralizirano upravljanje ovlastima pristupa Cisco uređajima. Navedeni propust može omogućiti neovlaštenim napadačima izmjenu korisničke lozinke na proizvoljnom korisničkom računu bez upisivanja prethodno aktivne lozinke. Napadači ne mogu ostvariti nikakve druge ovlasti osim već spomenute. Zlouporaba podrazumijeva da je korisnik prethodno definiran u "Internal Identity Stores". Kako je dostupna odgovarajuća nadogradnja koja ispravlja propust, svi se korisnici upućuju na njenu primjenu.

U radu programskog paketa Bind9 (eng. Berkeley Internet Name Domain) pronađen je i ispravljen sigurnosni nedostatak. Riječ je o implementaciji DNS protokola. Uočeni je propust izazvan pojavom tzv."race" stanja prilikom analize IXFR ili DDNS nadogradnji. Jedan takav oblik nadogradnje prilikom obrade upita može rezultirati izvođenjem napada uskraćivanja usluga (DoS). Uz spomenutu nadogradnju ispravljeni su i propusti koji se javljaju prilikom obrade novih DNSSEC DS zapisa. Svi se korisnici upućuju na primjenu dostupne nadogradnje kako bi otklonili navedene probleme.

Idi na vrh