U radu programskog paketa ProFTPD uočen je sigurnosni nedostatak. Riječ je o besplatnom poslužitelju koji omogućuje sigurnu i jednostavnu razmjenu podataka na mreži koristeći protokol FTP. Nedostatak se očituje u prepisivanju cjelobrojne varijable u "mod_sftp" modulu. Udaljeni, zlonamjerni korisnik ga može iskoristiti za izvođenje napada uskraćivanjem usluge (eng. Denial of Service) putem zlonamjerno oblikovane SSH poruke. Budući da je dostupna nadogradnja koja ispravlja spomenuti nedostatak, korisnicima se savjetuje njezina primjena.
Izdana je revizija sigurnosnog upozorenja oznake HPSBMA02652 prvotno objavljenog 30.3.2011. U izvornom upozorenju je objavljen sigurnosni propust programskog paketa HP NNMi (eng. HP Network Node Manager i) koji se koristi za upravljanje složenim dinamičkim IP računalnim mrežama putem SNMP (eng. Simple Network Management Protocol) protokola. Uzrok propusta nije objavljen, ali je poznato da ga je moguće iskoristiti udaljeno za otkrivanje informacija. Revizija je izdana zbog informativnih promjena. Svim korisnicima se savjetuje korištenje službene programske zakrpe.
Ispravljena su tri propusta u programskom paketu logrotate koji se koristi za upravljanje log datotekama. Prvi propust je otkriven u funkciji "createOutputFile", a omogućuje lokalnom napadaču neovlašteno čitanje log datoteka. Drugi propust se nalazi u funkciji "shred_file", a njegovo iskorištavanje može rezultirati pokretanjem proizvoljnog programskog koda korištenjem posebno oblikovanog imena datoteke. Zadnji propust posljedica je greške u "writeState" funkciji, a može se iskoristiti za DoS napad podmetanjem datoteka čiji nazivi sadrže " " ili "" znakove. Preporuča se korištenje najnovije inačice.
SuSE je izdao upozorenje za nekoliko ranjivosti koje se javljaju u programskim paketima: apache2-mod_php5/php5, cobbler, evince, gdm, kdelibs4, otrs i quagga. Ranjivosti u paketu quagga se mogu iskoristiti za udaljeni DoS napad iskorištavanjem atributa Extended Communities i AS_PATHLIMIT. Ranjivosti vezane uz PHP se također mogu iskoristiti za udaljeni DoS napad zbog pogrešaka u GD i PCNTL dodacima te "imadp_do_open" i "zend_strtod" funkcijama. Ostale ranjivosti mogu rezultirati man-in-the-middle napadom, proizvoljnim pokretanjem naredbi, povećanjem ovlasti i zaobilaženjem ograničenja. Više informacija se može naći u izvornoj preporuci. Preporuča se primjena nadogradnje.
Opširnije: Ispravljene sigurnosne ranjivosti u 7 programskih paketa
Prilikom upotrebe programskog paketa WebCalendar uočeni su višestruki sigurnosni propusti. Radi se o PHP aplikaciji koja se koristi za vođenje kalendara događaja za jednog ili više korisnika. Spomenuti propusti posljedica su neispravne provjere ulaznih podataka prije prikaza korisniku. Radi se o podacima predanih putem parametara "name", "description" i "location" datoteci "edit_entry_handler.php". Udaljeni napadači ranjivosti mogu iskoristiti za umetanje proizvoljnog HTML i skriptnog koda u korisničkom pregledniku u kontekstu ugrožene stranice. Svim se korisnicima preporuča izmjena izvornog koda.
Opširnije: Uočeni višestruki propusti u radu programskog paketa WebCalendar
Tražilica portala
Powered by: 
Copyright © 2011 CIS.hr - Centar informacijske sigurnosti. Sva prava pridržana.
Posljednje sigurnosne preporuke