Otkriven je jedan sigurnosni propust u paketu Pango koji se može iskoristiti za DoS napad. Pango je biblioteka otvorenog koda za prikaz i uređivanje teksta. Otkrivena je greška u funkciji "hb_buffer_ensure()" gdje postoji nedovoljna provjera grešaka prilikom alociranja memorije zbog čega može doći do derefenciranja NULL pokazivača u funkciji "hb_buffer_add_glyph()". Iskorištavanjem ovog propusta, napadač može izvesti DoS napad i pokrenuti proizvoljni programski kod. Svim korisnicima se savjetuje primjena nadogradnje.

Ispravljeno je nekoliko sigurnosnih ranjivosti vezano uz IBM WebSphere Application Server - sigurno, skalabilno i pouzdano okruženje za izvođenje aplikacija i servisa. Ranjivosti nastaju zbog neodgovarajuće obrade ulaznih podataka u određenim komponentama i neodgovarajućeg rukovanja privremenim datotekama. Napadaču omogućuju obilaženje postavljenih ograničenja, XSS (eng. Cross-site scripting) napad i otkrivanje osjetljivih informacija. S obzirom da je objavljena nadogradnja, korisnici se upućuju na njezino korištenje.

Otkriven je sigurnosni nedostatak u paketu HP MFP Digital Sending Software za operacijske sustave Windows. Ovaj paket se koristi za slanje skeniranih dokumenata na različita odredišta poput FTP poslužitelja, pisača ili e-mail adresu. Nisu objavljeni uzroci samog propusta, ali je poznato da ga lokalni napadač može iskoristiti za pristup uređajima preko Digital Sending Software paketa bez autentikacije. Za sada nije dostupna nadogradnja kojom se otklanja nedostatak, nego se preporuča uključivanje autentikacije pomoću "Configuration Template" funkcionalnosti.

Otkrivena su tri sigurnosna propusta u programskom paketu OpenSSL, programskoj implementaciji sigurnosnih protokola SSL (eng. Secure Sockets Layer) i TLS (eng. Transport Layer Security). Prvi propust je posljedica preljeva međuspremnika gomile u "ssl/t1_lib.c" što se može iskoristiti za udaljeno pokretanje programskog koda. Drugi se javlja kada je omogućen "SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG", a moguće ga je iskoristiti za otkrivanje identifikatora sjednice. Zadnji propust se javlja zbog nepravilne obrade parametara u J-PAKE protokolu, čime udaljeni napadač može zaobići postavljena ograničenja. Savjetuje se primjena dostupne nadogradnje.

Ispravljeno je nekoliko propusta u paketu IceApe koji predstavlja skupinu aplikacija za svakodnevno korištenje Interneta (preglednik, klijent elektroničke pošte, HTML uređivač). Najozbiljniji od propusta su rezultat korupcije memorije u JSON.stringify i Web Workers, preljeva međuspremnika u JavaScript stroju, itd. Ovi propusti se mogu iskoristiti za udaljeno izvođenje DoS napada i pokretanje proizvoljnog programskog koda. Za više informacija upućuje se na čitanje izvorne preporuke, a svim korisnicima se savjetuje prelazak na najnoviju inačicu.

Idi na vrh