Bezpečnost

Cyrus-sasl Byla objevena chyba v knihovně cyrus-sasl. Zkratka SASL znamená Simple Authentication and Security Layer. Knihov...


Cyrus-sasl
Byla objevena chyba v knihovně cyrus-sasl. Zkratka SASL znamená Simple
Authentication and Security Layer. Knihovna umožňuje přidat autentizaci pro
protokoly souvislého spojení.

Liberty Alliance
První single-sign-on produkt využívající specifikace Liberty Allliance a
standardu SAML (Security Assertion Markup Language) je Identity Server 6.0 ze
stáje Sun Microsystems. Produkt nabízí následující funkce: správa přístupu na
LDAP, RADIUS, práce s X.509v3 certifikáty, čipovými kartami a autentizace
uživatelů na klonech unixu.

Stunnel
Vyšla nová verze (4.04) univerzálního SSL wrapperu "stunnel". Nebezpečné funkce
v kódu souvisejícím s handlerem SIGCHLD byly vyjmuty, upgrade je doporučen.

Apache Tomcat
Apache Tomcat 4.0.x po zvláštním dotazu zobrazí kód JSP pro stránku, popřípadě
vydá informace bez správné autentizace. Chyba je registrována pod označením
CAN-2002-1148. Též se vyskytla chyba v modulu Mod_jk, umožňující útoku typu
DoS. Doporučeným řešením je update verze na 1.2.1 a novější.

Fetchmail
Stahování pošty starší verzí Fetchmailu může vyústit ve spuštění útočníkova
kódu. Fetchmail špatně interpretuje hlavičky zpracovávaných zpráv. Vzhledem k
vývojovým větvím se doporučují verze z roku 2003.

Za vývoj bezpečnější
Seznam chyb, kterých by se měl vývojář internetových projektů vyvarovat, nabízí
Open Web Application Security Project na adrese www.owasp.org.

Virus Sobig-A
Rozšířil se virus Sobig-A. Obsahuje vlastní SMTP engine, využívá nasdílených
CIFS (dříve SMB) disků a spoléhá se na funkce Outlooku.

IMP
IMP, webové e-mailové rozhraní, špatně volá funkce související s prací s
databází, doporučuje se upgrade na verzi s označením 3.x, další webové
e-mailové rozhraní s chybami je FormMail.CGI v. 1.92.

WebIntelligence
WebIntelligence 2.7.1 špatně spravuje cookies o uživatelské seanci, útočník se
proto může zmocnit cizího spojení se serverem, oprava je k dispozici pod číslem
1063161.

Ethereal
Sniffer Ethereal verze nižší než 0.9.8-0.80 je možné uvést do nekonečné smyčky
vhodně podstrčeným paketem.

A.shopKart
A.shopKart, volně dostupný systém nabízející funkce elektronického obchodního
domu napsaný v ASP, špatně kontroluje vstupní informace, oprava zatím není k
dispozici.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.