Objavljena je revizija sigurnosnog upozorenja oznake DSA-2154-1, prvi put objavljenog 31. siječnja 2011. Propusti su posljedica neodgovarajuće obrade korisničkih konfiguracijskih datoteka te nepravilnosti u rukovanju setuid/setgid pozivima. Napadaču omogućuju stjecanje administratorskih ovlasti i dodavanje "log" podataka proizvoljnim datotekama. Revizija je objavljena zbog izdavanja zakrpa za pogreške koje je unijela prethodna nadogradnja. Za stabilnu distribuciju ovaj problem je riješen pa se korisnicima savjetuje nadogradnja. Za nestabilnu i testnu distribuciju bit će riješen uskoro.

Kod programskog paketa pcscd uočen je i ispravljen nov sigurnosni nedostatak. Riječ je o programskom paketu koji osigurava Windows(R) SCard sučelje za komunikaciju s pametnim karticama (eng. Smart Card) i čitačima. Nedostatak je uzrokovan prepisivanjem spremnika u funkciji "ATRDecodeAtr". Zlonamjernom korisniku to može omogućiti izvršavanje proizvoljnog programskog koda i stvaranje DoS stanja. Svim se korisnicima savjetuje detaljnije čitanje izvorne preporuke i primjena objavljenih ispravljenih inačica ranjivog paketa.

U radu programskog paketa perl-CGI, na operacijskim sustavima Fedora 13 i 14, uočena je i ispravljena sigurnosna ranjivost. Perl-CGI je Perl modul namijenjen implementaciji sučelja za razvoj CGI (eng. Common Gateway Interface) skripti. Ranjivost se javlja u funkciji "multipart_init" u datotekama "Simple.pm" i "CGI.pm". Udaljeni napadač to može iskoristiti za ubacivanje proizvoljnih HTTP zaglavlja koristeći MIME "boundary" atribut. Svim se korisnicima savjetuje primjena objavljenih nadogradnji.

Uočen je novi sigurnosni nedostatak vezan uz HP OpenView Performance Insight Server, namijenjen operacijskim sustavima HP-UX, Linux, Solaris i Windows. Propust nastaje kao posljedica postojanja skrivenog računa unutar "com.trinagy.security.XMLUserManager" Java klase. Udaljeni napadač može iskoristiti navedenu ranjivost za podmetanje proizvoljnih datoteka na ranjivi poslužitelj i za izvršavanje proizvoljnog programskog koda. Budući da su objavljena programska rješenja koja otklanjaju mogućnost zlouporabe, svim se korisnicima preporuča njihova primjena.

U programskom paketu Subversion otkrivena je nekolicina ranjivosti. Ranjivosti su uzrokovane nepravilnim rukovanjem "partial access" ovlastima, zatim pogreškom funkcije "walk" u "mod_dav_svn" modulu, neispravnim rukovanjem memorijom u datoteci "rev_hunt.c" i nedostatkom vezanim uz "authz.c". Udaljeni napadač može iskoristiti spomenute ranjivosti za pristup potencijalno osjetljivim podacima, zaobilaženje postavljenih ograničenja te izvođenje DoS napada. Korisnicima se savjetuje prelazak na najnoviju inačicu.

Idi na vrh