U radu programskog paketa SSSD uočene su dvije nove ranjivosti. SSSD (eng. System Security Services Daemon) je pozadinski proces čija je primarna funkcija osigurati pristup udaljenim resursima i autentikacijskim mehanizmima. Propust se javlja u "auth_send()" funkciji kada je LDAP autentikacija omogućena. Uspješno iskorištavanje spomenutog propusta omogućuje zaobilaženje autentikacijskih mehanizama putem prazne korisničke lozinke. Korisnicima se preporuča primjena dostupnih programskih rješenja kako bi se zaštitili od navedenog problema.

Kod programskog paketa tomcat6 uočen je i ispravljen sigurnosni propust. Riječ je o poslužitelju web aplikacija koji se koristi kao podloga za Java Servlet i JavaServer Pages tehnologije. Otkriveno je da Tomcat nepravilno ograničava pojedine parametre aplikacije "Manager" što uzrokuje XSS (eng. cross-site scripting) ranjivost. Udaljeni napadač ovu ranjivost može iskoristiti za krađu i izmjenu povjerljivih podataka. Za dodatne se detalje preporuča pregled izvorne preporuke. Svim se korisnicima savjetuje primjena objavljene nadogradnje.

U radu programskog paketa AWStats uočen je novi sigurnosni nedostatak. AWStats (eng. Advanced Web Statistics) je analizator dnevničkih zapisa FTP-poslužitelja te poslužitelja web stranica i elektroničke pošte. Nedostatak je posljedica neispravne provjere pojedinih ulaznih podataka u modulu "LoadPlugin". Lokalni, zlonamjeran korisnik može takav nedostatak iskoristiti za ubacivanje proizvoljnog programskog koda u sam AWStats. Objavljene su nove inačice paketa koje ispravljaju opisani propust te se svim korisnicima savjetuje njihova primjena.

Nova sigurnosna ranjivost otkrivena je u radu programskog paketa WordPress. Radi se o besplatnom programu koji se koristi za stvaranje web stranica ili internetskih dnevnika (eng. blog). Sigurnosni propust uočen je kod dodatka BezahlCode-Generator, a uzrokovan je nepravilnom provjerom ulaznih podataka predanih putem parametra "gen_name". Opisana ranjivost može se iskoristiti za izvođenje proizvoljnog HTML ili skriptnog koda u korisničkom pregledniku. Korisnicima se preporuča izmjena izvornog koda kako bi se osigurala ispravna provjera ulaznih vrijednosti.

Ispravljeni su višestruki nedostaci otkriveni u radu više programskih paketa. Između ostalog, ispravljeno je prepisivanje spremnika u funkciji "strip_escapes" u paketu ed te u funkciji "smiGetNode()" u paketu libsmi, koje je moguće iskoristiti za pokretanje proizvoljnog programskog koda. U paketu Perl uočeni su propusti u modulu CGI koji omogućuju umetanje HTTP zaglavlja u odgovore. Za uvid u sve ranjive pakete i njihove nedostatke savjetuje se pregled izvorne preporuke. Korisnicima ranjivih paketa preporuča se instalacija odgovarajuće nadogradnje.

Idi na vrh