U radu programskog paketa GDM (eng. GNOME Display Manager) uočen je i ispravljen sigurnosni nedostatak. Spomenuti alat koristi se u distribucijama operacijskih sustava Unix i Linux za prijavu korisnika te za pokretanje grafičkog korisničkog sučelja. Sigurnosni nedostatak odnosi se na neodgovarajuće ovlasti pri rukovanju priručnim direktorijem koji se koristi za pohranu korisničkih dmrc i face datoteka. Pomoću opisanog propusta lokalni napadač može promijeniti podatke o vlasniku proizvoljnih datoteka te na taj način steći ovlasti "root" korisnika. Kao rješenje problema savjetuje se nadogradnja opisanog paketa.

Izdana je revizija sigurnosnog upozorenja oznake VMSA-2011-0006, prvotno objavljenog 30. ožujka 2011. U izvornoj su preporuci opisani propusti vezani uz VMware vmrun, funkcionalnost koja se koristi prilikom izvođenja zadataka na virtualnim strojevima. Propust se javljao zbog mogućnosti umetanja datoteka u predefinirane putanje pri čemu je napadač mogao povećati ovlasti i pokrenuti proizvoljan programski kod. Revizija je izdana radi informativnih izmjena o nadogradnjama. Korisnici se upućuju na njihovu instalaciju.

Objavljena je revizija upozorenja oznake DSA-2208-2, prvi put objavljenog 30. ožujka 2011. U izvornom je upozorenju opisan nedostatak programskog paketa bind9, implementacije DNS (eng. Domain Name System) protokola. Ranjivost se odnosi na pogrešku povezanu s obradom DNSSEC DS zapisa. Ako je DNSSEC provjera omogućena, ovaj propust može uzrokovati da domene koje završavaju sa .COM postanu nedostupne. Za dodatne se detalje preporuča pregled originalne preporuke. Izdana je nadogradnja koja otklanja navedeni problem, stoga se svi korisnici potiču na njenu primjenu.

Kod programskog paketa Quagga uočena su dva sigurnosna nedostatka. Paket je namijenjen implementaciji BGP, OSPF i RIP mrežnih protokola za usmjeravanje IP paketa. Prvi nedostatak vezan je uz ranjivost u pozadinskom procesu bgpd koja se javlja kod obrade podataka o rutama usmjeravanja, a sljedeći se javlja kao posljedica dereferenciranja NULL pokazivača. Posebno oblikovanim Extended Communities ili AS_PATHLIMIT atributima zlonamjerni korisnici mogu iskoristiti ove nedostatke za napad uskraćivanja usluge. Svim se korisnicima savjetuje primjena nadograđenih paketa.

Objavljena je nadogradnja programskog paketa logrotate koja ispravlja tri sigurnosna nedostatka. Riječ je o alatu koji pojednostavljuje administraciju dnevničkih zapisa (eng. log files). Prvi nedostatak omogućuje umetanje proizvoljnih naredbi prilikom obrade shred direktive. Sljedeća ranjivost je posljedica je tzv. "race condition" nepravilnosti koja se javlja kod dodjele sigurnosnih ovlasti prilikom stvaranja novih zapisa. Treći propust javlja se zbog neispravnog filtriranja ulaznih podataka. Zlonamjerni korisnici mogu iskoristiti ove nedostatke za pokretanje vlastitog programskog koda, izvođenje napada uskraćivanja usluge te pristup osjetljivim podacima. Savjetuje se nadogradnja.

Idi na vrh