Uočeno je nekoliko nedostataka u radu jezgre operacijskog sustava Mandriva. Jezgra (eng. kernel) je osnovni dio operacijskog sustava koja upravlja sklopovljem, procesima, ulazno-izlaznim jedinicama itd. Ozbiljniji nedostaci se javljaju zbog preljeva međuspremnika i pogrešnog upravljanja memorijom u funkcijama do_io_submit, do_tcp_setsockopt, copy_shmid_to_user, itd. Nedostaci se mogu iskoristiti za pokretanje proizvoljnog programskog koda, DoS napad, otkrivanje osjetljivih podataka i zaobilaženje postavljenih ograničenja. Za informacije o preostalim nedostacima upućuje se na čitanje izvorne preporuke. Korisnici se potiču na korištenje nadogradnje.

U popularnom klijentu za IM (eng. Instant Messaging) servise Pidgin, uočena je jedna sigurnosna ranjivost. Ranjivost je otkrivena u "libymsg.c", dodatku za Yahoo! protokol, gdje dolazi do nepravilne obrade određenih YMSG paketa. Spomenutu ranjivost mogu iskoristiti udaljeni napadači kako bi izveli DoS (eng. Denial of Service) napad, a za napad je potrebno koristiti posebno oblikovani YMSG paket ili YMSG SMS poruku. Svim korisnicima se savjetuje korištenje najnovije inačice koja otklanja opisanu ranjivost.

U radu programskog paketa vsftpd, koji se koristi kao sigurni FTP poslužitelj na Linux/Unix operacijskim sustavima, uočena su dva nedostatka. Jedan od propusta se javlja u funkciji "vsf_filename_passes_filter" u datoteci "ls.c", a udaljeni napadači ga mogu iskoristiti za DoS napad podmetanjem posebno oblikovane STAT naredbe u FTP sjednici. Drugi propust je uzrokovan nespecificiranom greškom u FTP poslužitelju, a kao i prvi propust, može ga se iskoristiti za izvođenje DoS napada. Preporuča se primjena službene nadogradnje.

Izdana je nova revizija sigurnosne preporuke za IBM Tivoli Common Reporting (TCR), prvotno objavljene 4. ožujka 2011. godine. Radi se o programskom paketu koji nudi jednostavan pregled i upravljanje izvještajima programskih proizvoda serije Tivoli. Nedostatak je vezan uz Java Runtime Environment, odnosno pogrešku u metodi "Double.parseDouble". Rezultat napada je rušenje ranjive aplikacije (DoS napad). Revizija je objavljena zbog izdavanja zakrpe za inačicu 1.3 (ifix4). Korisnici se upućuju na primjenu nadogradnje.

U radu jezgre operacijskog sustava SUSE, uočen je velik broj sigurnosnih propusta. Propusti su posljedica pogrešaka kod funkcija "sctp_process_unk_param", "ax25_getname", "uart_get_count", "rs_ioctl", "ntty_ioctl_tiocgicount" i "get_name" koje nepravilno inicijaliziraju određene strukture. Ostali propusti uključuju dereferenciranje NULL pokazivača, pojavu tzv. "race" uvjeta u "__exit_signal" i "sctp_icmp_proto_unreachable" funkcijama, pojavu preljeva spremnika, nepravilno korištenje memorije, itd. Napadač uslijed iskorištavanja opisanih ranjivosti može pristupiti osjetljivim informacijama ili pokrenuti napad uskraćivanjem usluga. Dostupne su ispravljene inačice.

Idi na vrh