Kod programske biblioteke libtiff, distribuirane s operacijskim sustavima Red Hat Enterprise Linux 4, 5 i 6, uočena su dva sigurnosna propusta. Jedan od propusta uzrokovan je pojavom preljeva spremnika gomile (eng. heap-based buffer overflow) u datoteci "tif_thunder.c". Druga nepravilnost je posljedica pogreške u radu "Fax4Decode" komponente. Prilikom podmetanja posebno oblikovane TIFF datoteke, napadač može izvesti napad uskraćivanjem usluga ili pokrenuti vlastiti programski kod. U svrhu zaštite od potencijalnih problema, savjetuje se korištenje objavljenih rješenja.

Ubuntu je objavio da će uskoro, nakon 18 mjeseci kontinuiranog izdavanja sigurnosnih zakrpa, prestati davati tehničku podršku za Ubuntu 9.10. Nakon 29. travnja 2011. neće se izdavati sigurnosne nadogradnje koje bi uklonile eventualno nastale ranjivosti. Korisnicima spomenutog sustava savjetuje se pravovremena nadogradnja na novije inačice, konkretnije na Ubuntu 10.04, kako bi i dalje mogli pratiti sigurnosne nadogradnje u slučaju eventualnih nedostataka. Za više informacije korisnicima se preporuča pregled izvorne obavijesti.

Kod programskog paketa GDM3, namijenjenog operacijskom sustavu Debian, uočena je sigurnosna ranjivost. Radi se o sustavu za upravljanje grafičkim korisničkim sučeljem i alternativa je poznatijem X Window sustavu. Sigurnosna ranjivost je uočena zbog nepravilnog rukovanja ovlastima prilikom obrade datoteka koje se odnose na trenutno prijavljenog korisnika u sustav. Lokalni zlonamjerni napadač može iskoristiti opisanu ranjivost za stjecanje povećanih ovlasti. Korisnicima paketa preporuča se instalacija dostupnih programskih rješenja.

Kod programskog paketa rsync uočena je nepravilnost u radu koja može rezultirati rušenjem ranjive aplikacije. Riječ je o alatu otvorenog programskog koda koji se koristi za sinkronizaciju datoteka putem računalne mreže. Uočen je propust u upravljanju memorijom prilikom obrade pojedinih podataka. Zlouporaba podrazumijeva da rsync klijent koristi "--recursive" i "--delete" opcije, a isključenu "--owner" opciju prilikom spajanja na zlonamjerni rsync poslužitelj. Propust je moguće iskoristiti za DoS napad ili za izvođenje proizvoljnog programskog koda s ovlastima trenutnog korisnika. Dostupne su ispravke.

Uočeno je više ranjivosti u radu različitih programskih paketa kao što su Apache Tomcat, curl, pam_krb5, OpenSSL i Oracle JRE. Propusti u paketu Apache Tomcat napadačima omogućuju obilaženje postavljenih ograničenja,prepisivanje datoteka i povećanje ovlasti. Propuste u ostalim paketima moguće je iskoristiti za izvođenje napada uskraćivanja usluge i otkrivanje osjetljivih podataka. Za više informacija o preostalim ranjivostima i uputama za primjenu zakrpa, upućuje se na čitanje izvorne preporuke. Korisnicima se preporuča primjena nadogradnje.

Idi na vrh