U radu programskog modula perl-File-FcntlLock, namijenjenog radu na operacijskom sustavu Fedora 13, uvedena je nova sigurnosna funkcionalnost. Riječ je o modulu koji omogućuje zaključavanje datoteka koristeći fcntl(2) sistemske pozive. Funkcionalnost je vezana uz paket perl-Mail-Box koji u novoj inačici uvodi slučajne vrijednosti koje se koriste za određivanje memorijskih granica kako bi se izbjegli mogući rizici kod napada pogađanjem granica. Izdana je nova inačica paketa pa se svim korisnicima savjetuje njezina instalacija.

Ispravljen je sigurnosni propust programskog alata Pidgin. Riječ je o besplatnom alatu koji se koristi za razmjenu poruka u stvarnom vremenu (eng. instant messaging). Sigurnosni propust vezan je uz nedostatke u modulu alata Pidgin za protokol Yahoo koji su posljedica neodgovarajuće obrade zlonamjerno oblikovanih YMSG poruka. Udaljeni zlonamjerni napadač, s odgovarajućim ovlastima, ovaj propust može iskoristiti za pokretanje napada uskraćivanja usluge slanjem posebno oblikovanih paketa. Kako bi ispravili opisani propust, korisnicima se savjetuje instalacija nove inačice alata.

Objavljena je revizija sigurnosnog upozorenja s oznakom USN-1085-1, prvotno objavljenog 7. ožujka 2011. godine. U izvornom upozorenju opisani su sigurnosni nedostaci programske biblioteke TIFF koja se koristi prilikom obrade TIFF slikovnih datoteka. Neke od ranjivosti bile su vezane uz neispravnu obradu "td_stripbytecount" polja, TIFF datoteka s posebnom kombinacijom "SamplesPerPixel" i "Photometric" vrijednosti te neodgovarajuću obradu "ReferenceBlackWhite" vrijednosti. Udaljeni zlonamjerni korisnici ranjivosti mogu iskoristiti za pokretanje napada uskraćivanjem usluge. Revizija je objavljena zbog nepotpune izvorne nadogradnje te njenih problema u radu s CCITTFAX4 datotekama.

Objavljena je revizija sigurnosnog upozorenja s oznakom USN-1079-1, prvotno objavljenog 1. ožujka 2011. godine. Upozorenje je vezano uz programski paket openjdk-6 koji predstavlja radno i razvojno okruženje za aplikacije napisane u programskom jeziku Java. Značajnije ranjivosti javljale su se zbog neodgovarajućeg rukovanja LD_LIBRARY_PATH varijablom, pogreške u Swing biblioteci te unutar Java2D komponente. Zlonamjerni korisnici mogli su ih iskoristiti za zaobilaženje postavljenih sigurnosnih ograničenja, povećanje ovlasti, otkrivanje podataka i pokretanje napada uskraćivanjem usluge. Revizija je objavljena zbog objave nadogradnje za računala temeljena na ARM arhitekturi.

U radu programskog paketa proftpd-dfsg uočena su tri nova sigurnosna nedostatka. Radi se o programu za sigurnu i jednostavnu razmjenu podataka u mreži pomoću FTP (eng. File Transfer Protocol) protokola. Prvi nedostatak vezan je uz neispravnu obradu tzv. "ABOR" naredbi, drugi proizlazi iz ranjivosti koja omogućuje injekciju SQL koda preko modula "mod_sql", a treći je uzrokovan tzv. "directory traversal" ranjivošću modula "mod_site_misc". Udaljeni, zlonamjerni korisnici mogu iskoristiti navedene ranjivosti za pokretanje napada uskraćivanja usluge, izvršavanje vlastitog programskog koda te pristup osjetljivim datotekama i njihovu izmjenu. Svim se korisnicima savjetuje nadogradnja paketa.

Idi na vrh