Uočena su i ispravljena dva sigurnosna propusta u radu programskog paketa AWStats (eng. Advanced Web Statistics). Riječ je o analizatoru dnevničkih zapisa FTP poslužitelja te poslužitelja web stranica i elektroničke pošte. Prvi je propust posljedica nepravilnosti u komponenti "awstats.cgi". Napadaču omogućuje izvođenje proizvoljnih naredbi. Drugi je posljedica ranjivosti zaobilaženja direktorija (eng. directory traversal) koja napadaču omogućuje nespecificirani utjecaj putem posebno oblikovanog "LoadPlugin" direktorija. Korisnici se upućuju na nadogradnju.

U radu programskog paketa Asterisk otkriven je sigurnosni nedostatak. Radi se o programskoj implementaciji namijenjenoj izgradnji privatne telefonske mreže (eng. Private Branch eXchange PBX). Problem se očituje u prepisivanju spremnika na stogu u funkciji "ast_uri_encode()" u datoteci "main/utils.c". Udaljeni napadač ga može iskoristiti za pokretanje proizvoljnog programskog koda. Svim korisnicima ranjivog paketa, u svrhu zaštite od potencijalnih napada, savjetuje se instalacija odgovarajuće nadogradnje.

Otkriven je sigurnosni nedostatak u radu programskog paketa Banshee. Riječ je o multimedijalnom programu s podrškom za različite audio i video formate. Nedostatak je vezan uz korištenje varijable LD_LIBRARY_PATH, točnije nastaje kao posljedica nepravilnosti u skriptama "banshee-1" i "muinshee". Lokalnom, zlonamjernom korisniku navedeni propust omogućuje pokretanje proizvoljnog programskog koda i stjecanje povećanih ovlasti putem dijeljene biblioteke koja sadrži trojanskog konja. Korisnicima se savjetuje korištenje novih programskih rješenja.

U radu programskog paketa Gitolite, distribuiranog s operacijskim sustavom Fedora 14, otkriven je sigurnosni propust. Radi se o alatu koji osigurava pristup git repozitoriju i koji može ograničavati tko može čitati/pisati u repozitorij. Propust je uzrokovan neodgovarajućom obradom ADC naredbi (eng. admin-defined commands). Napadaču nedostatak omogućuje zaobilaženje pojedinih sigurnosnih ograničenja i pokretanje proizvoljnog programskog koda. Svim se korisnicima, u svrhu zaštite, preporuča instalacija odgovarajućih programskih ispravaka.

SUSE je objavio nadogradnju za nekoliko programskih paketa: exim, krb5, git i dbus-1. Neki od nedostataka vezani su uz neispravnu provjeru povratnih vrijednosti funkcija "setuid" i "setgid" kod paketa exim, što je moguće iskoristiti za izmjenu pojedinih podataka. Kod paketa git ranjivosti omogućuju pokretanje proizvoljnog programskog koda i XSS (eng. Cross Site Scripting) napad. Propuste u paketima d-bus i krb5 moguće je iskoristiti za izvođenje napada uskraćivanja usluge. Svima se savjetuje primjena nadogradnje.

Idi na vrh