Otkriven je jedan sigurnosni nedostatak programskog paketa rsync. Radi se o paketu otvorenog programskog koda za udaljenu ili lokalnu sinkronizaciju datoteka. Nedostatak se očituje ako se koriste opcije "--recursive" i "--delete" bez opcije "--owner" pri čemu dolazi do korupcije memorije gomile. Udaljeni napadač može iskoristiti spomenuti nedostatak za izvođenje DoS napada i pokretanje proizvoljnog programskog koda. Kako bi otklonili opisani propust, korisnicima se savjetuje korištenje službene programske nadogradnje.
Uočeno je nekoliko propusta u radu jezgre operacijskog sustava (eng. kernel) koje mogu iskoristiti lokalni napadači. Zbog nepravilne inicijalizacije određenih struktura u funkcijama "uart_get_count", "rs_ioctl" i "ntty_ioctl_tiocgicount", napadač ima mogućnost otkrivanja osjetljivih informacija. Neke od ranjivosti omogućuju izvođenje DoS napada zbog cjelobrojnih prepisivanja u "fs/bio.c" i nedovoljnih provjera parametara u funkciji "hci_uart_tty_open". Ostale nepravilnosti se mogu iskoristiti za zaobilaženje postavljenih ograničenja i povećanje ovlasti. Svim korisnicima se savjetuje žurna primjena nadogradnje.
Opširnije: Otklonjene višestruke ranjivosti jezgre operacijskog sustava
Otkriven je i ispravljen jedan sigurnosni propust u programskom paketu rsync. Spomenuti paket otvorenog programskog koda se koristi za udaljenu ili lokalnu sinkronizaciju datoteka. Propust se očituje kao korupcija memorije gomile ukoliko se opcije "--recursive" i "--delete" koriste bez opcije "--owner" prilikom spajanja na zlonamjerni rsync poslužitelj. Opisani propust mogu iskoristiti udaljeni napadači za napad uskraćivanjem usluga (DoS) i pokretanje proizvoljnog programskog koda. Svim korisnicima se savjetuje korištenje dostupne nadogradnje.
Novom inačicom je ispravljeno nekoliko ranjivosti programskog paketa rubygem-rails. Radi se o radnom okruženju za razvoj web aplikacija. Ranjivosti su posljedica nedovoljne provjere ulaznih parametara i nepravilno postavljenih ograničenja, te XSS ranjivosti u "mail_to_helper". Ranjivosti mogu iskoristiti udaljeni napadači za zaobilaženje postavljenih ograničenja, umetanje proizvoljnog SQL, skriptnog ili HTML programskog koda te CSRF (eng. cross-site request forgery) napad. Korisnicima se preporuča korištenje nadogradnje.
Opširnije: Otkriveno nekoliko ranjivosti paketa rubygem-rails
U programskom paketu rubygem-activesupport otkriveni su višestruki sigurnosni nedostaci. Rubygem-activesupport je skup biblioteka koje se koriste u Rails radnom okruženju. Svi nedostaci se mogu iskoristiti udaljeno, a rezultat su nedovoljnih provjera podataka i nepravilno postavljenih ograničenja u nekoliko programskih komponenti. Iskorištavanjem nedostataka moguće je zaobilaženje postavljenih ograničenja, umetanje proizvoljnog programskog koda te CSRF (eng. cross-site request forgery) napad. Preporuča se korištenje nadogradnje.
Opširnije: Ispravljeni višestruki nedostaci paketa rubygem-activesupport
Tražilica portala
Powered by: 
Copyright © 2011 CIS.hr - Centar informacijske sigurnosti. Sva prava pridržana.
Posljednje sigurnosne preporuke