Objavljena je revizija sigurnosnog upozorenja vezanog uz programski paket IBM Tivoli Common Reporting (TCR), prvotno objavljenog 4. ožujka 2011. godine. TCR je programski paket koji nudi jednostavan pregled i upravljanje izvještajima programskih proizvoda serije Tivoli. Sigurnosna ranjivost javlja se zbog pogreške u pretvorbi broja 2.2250738585072012e-308 u binarni format s decimalnom točkom. Zlonamjerni, udaljeni korisnici to mogu iskoristiti za rušenje aplikacije čime će uzrokovati napad uskraćivanja usluge. Revizija je objavljena zbog kašnjenja u objavi zakrpe za inačicu 1.3 (ifix4). Prvotno je objavljeno da će zakrpa biti dostupna od 4.3, što je ovom revizijom pomaknuto na 21.3.2011.

Objavljena je nadogradnja programskih paketa SSL Network Extender, Endpoint Security Client, Endpoint Connect i Endpoint Security VPN koja ispravlja nov sigurnosni nedostatak. Riječ je o skupu programskih paketa koji služe za implementaciju sigurnosnih mrežnih mehanizama koji pružaju zaštitu komunikacije između krajnjih mrežnih čvorova. Točan uzrok nedostatka nije objavljen, no poznato je da ga lokalni, zlonamjerni korisnici mogu iskoristiti za stjecanje većih privilegija na ranjivom sustavu. Objavljena je službena zakrpa koja ispravlja opisan nedostatak te se svim korisnicima savjetuje njena primjena.

U radu programskog paketa Cgit, namijenjenog operacijskim sustavima Fedora 13, 14 i 15, uočen je novi sigurnosni propust. Riječ je o brzom web sučelju za Git koji koristi predpohranjivanje za postizanje bolje učinkovitosti. Bilo koja Cgit URL adresa koja sadrži ilegalni heksadekadski znak (npr. %GG) može uzrokovati beskonačnu petlju u radu biblioteke "cgit.cgi". Moguće posljedice iskorištavanja spomenutog nedostatka još nisu dostupne, stoga se svi korisnici potiču na detaljnije informiranje, a potom i nadogradnju na nove, poboljšane inačice paketa.

U radu programskog paketa vsftpd otkriven je sigurnosni propust. Programski paket vsftpd je FTP (eng. File Transfer Protocol) poslužitelj za UNIX/Linux sustave. Propust je uočen u funkciji "vsf_filename_passes_filter" u datoteci "ls.c". Udaljeni napadač može iskoristiti ovaj propust za DoS (Denial of Service) napad s posebno oblikovanom STAT naredbom (naredba vraća informacije o odabranoj datoteci) u više FTP sjednica. Korisnicima ranjivog programskog paketa preporuča se nadogradnja na najnoviju inačicu.

Kod programskog paketa Whatsup, distribuiranog s operacijskim sustavima Fedora 13, 14 i 15, uočen je novi sigurnosni propust. Radi se o aplikaciji za brzo računanje i prikaz uzlaznih i silaznih čvorova u grozdu. Propust se javlja kao posljedica neodgovarajućeg rukovanja zlonamjerno oblikovanim UTF-8 nizovima prilikom obrade XML dokumenata. Takvi nizovi mogu uzrokovati pogreške u radu modula "expat" i to na način da se nakon oznake "end of input" nastavi učitavati ulazni registar što u konačnici dovodi do rušenja ranjivog sustava. Svi se korisnici upućuju na instalaciju novih inačica paketa.

Idi na vrh