Bezpečnost

CVS V projektu správy kódu CVS byla nalezena dálkově zneužitelná chyba. Verze 1.11.5 tuto chybu opravuje. Vzhledem k m...


CVS
V projektu správy kódu CVS byla nalezena dálkově zneužitelná chyba. Verze
1.11.5 tuto chybu opravuje. Vzhledem k možným opomenutím ze strany
administrátorů je nutné kontrolovat integritu balíčků a zdrojových kódů pomocí
hashovacích algoritmů a GPG/PGP. Teoreticky je možný výskyt trojských koňů v
kódu či podvržené binární soubory.

Terminal Services
Klient s privilegiemi pro přístup k Microsoft Terminal Services může
restartovat server.

Outlook Express
Microsoft Outlook Express špatně zachází se šifrovacími certifikáty.
Výsledkem může být zveřejnění privátního klíče.

Internet Explorer
Microsoft Internet Explorer obsahuje vadnou komponentu XMLHTTP. K odchozím
dotazům připojuje cookie a hlavičku ověření pravosti. Další chybou je nepřesné
informování uživatele o certifikátu nabízeném serverem, přesněji o chybě v
certifikátu a době expirace.

WinRar
WinRar starší verze než 3.11 obsahuje klasický buffer overflow. Výsledkem
může být zneužití právě běžícího procesu.

KDE
Systém nápovědy v KDE obsahuje chybu. Byť je zneužitelná pouze v případě
nabízení nápovědy přes HTTP server, tým KDE doporučuje upgrade.

PeopleTools
Aplikační brána PeopleSoft dá při použití útoku "XML External Entities" k
dispozici read-only přístup ke kompletnímu souborovému systému. Chyba bude
opravena v balíku PeopleTools 8.19.

Mandrake Linux
Tiskové utility linuxové distribuce Mandrake obsahují chyby. Výsledkem může
být získání rootovských privilegií běžným uživatelem.

Sambar
Server Sambar je náchylný na CSS (Cross-Site Scripting). Poslední verze je
5.2, oprava zatím není k dispozici.

Apache
Sedmá verze HTTP serveru Apache z řady 2.0.x je na světě. Pod číslem 2.0.44
jsou k nalezení hlavně bezpečnostní opravy pro platformu Microsoft Windows.

IRIX
Stará chyba RPC mechanismu byla nalezena v Irixu. Řešením je buď upgrade na
verzi 6.5.18 a vyšší, nebo patch od SGI.

Zyxel Sprint
ADSL modem Zyxel Sprint FastConnect je prodáván, aniž by bylo změněno základní
heslo pro vzdálený přístup.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.