Novom inačicom je ispravljeno nekoliko sigurnosnih ranjivosti paketa rubygem-railties, skupa alata za stvaranje, upravljanje i izvođenje Rails aplikacija. Sve ranjivosti mogu iskoristiti udaljeni napadači, a posljedica su nedovoljno postavljenih ograničenja i provjera u programskim komponentama te XSS (eng. cross-site-scripting) ranjivosti u "mail_to_helper". Podmetanjem posebno oblikovanih paketa, ranjivosti rezultiraju umetanjem proizvoljnog SQL, HTML ili skriptnog koda, zaobilaženjem postavljenih ograničenja te CSRF (eng. cross-site request forgery) napadom. Korisnike se potiče na korištenje najnovije inačice.

Ispravljen je sigurnosni nedostatak u radu operacijskog sustava Solaris. Riječ je o Unix operacijskom sustavu kojeg je razvila tvrtka Sun Microsystems. Sigurnosni problem uzrokuje pohrana datoteke "undo.Z" za određene pakete s nesigurnim dozvolama u /varsadm/pkg/<ime_paketa>/save/<id_zakrpe> direktoriju. Opisanu ranjivost mogu iskoristiti zlonamjerni, lokalni korisnici za otkrivanje osjetljivih informacija poput sažetaka lozinki root korisnika i svih drugih korisnika navedenog operacijskog sustava. Kao rješenje, preporučuje se primjena izdane zakrpe operacijskog sustava.

U radu programskog paketa TutorialMS uočen je sigurnosni nedostatak. Radi se o besplatnom sustavu koji koriste web urednici za indeksiranje i upravljanje uputama. Propust se javlja kao posljedica neispravne provjere ulaznih podataka prije korištenja u SQL upitima. Točnije, radi se o podacima predanim preko parametra "show" datoteci "tutorials.php". Napadači ranjivost mogu iskoristiti za upravljanje SQL upitima umetanjem proizvoljnog SQL koda. Svim se korisnicima preporuča izmjena izvornog koda.

U radu programskog paketa Subversion, distribuiranog s operacijskim sustavom Mandriva, uočen je sigurnosni propust. Subversion je programski paket namijenjen održavanju programskog koda, web stranica i dokumentacije. Sigurnosni propust se javlja zbog dereferenciranja NULL pokazivača u "mod_dav_svn" modulu. Udaljenom napadaču omogućuje napad uskraćivanjem usluge (eng. Denial of Service) putem posebno oblikovanog HTTP zahtjeva. Svim korisnicima navedenog paketa preporuča se njegova nadogradnja u svrhu zaštite sigurnosti.

Uočen je i ispravljen nedostatak u radu NSS (eng. Network Security Services) programskog paketa. To je skup programskih biblioteka namijenjenih razvoju višeplatformskih sigurnih aplikacija temeljenih na odnosu klijent-poslužitelj. Propust se odnosi na nekoliko nevažećih HTTPS certifikata koji su prvotno izdani, a potom i povučeni. Certifikati su označeni kao eksplicitno nepovjerljivi kako bi se spriječila daljnja zlouporaba. Napadač je mogao navedene certifikate iskoristiti za pokretanje napada "Man in the middle" te tako ostvariti pristup osjetljivim informacijama ili izmijeniti kriptiranu komunikaciju. Svim korisnicima preporučuje se uobičajena nadogradnja.

Idi na vrh