Bezpečnost

Cryptobuddy Uživatelsky přátelský šifrovací program Cryptobuddy obsahuje několik nově objevených chyb. Pokud program...


Cryptobuddy
Uživatelsky přátelský šifrovací program Cryptobuddy obsahuje několik nově
objevených chyb. Pokud program používáte, nejsou data bezpečně zašifrována.
Oprava zatím k dispozici není.

NOD32
Antivirus System NOD32 obsahuje lokálně zneužitelné přetečení zásobníku. Opravu
najdete na stránkách výrobce.

Kaspersky
Pokud má útočník právo zápisu do libovolného adresáře na disku serveru, může
vyřadit z provozu antivirovou službu společnosti Kaspersky Labs. Oprava nebyla
v době publikování dostupná.

MS Search CSS
Metoda nového využití Cross Site Scriptingu byla demonstrována na webových
prezentacích nabízejících funkci vyhledávání. Je pravděpodobné, že se tato
chyba vyskytuje ve většině webů využívajících IIS/4.0 a IIS/5.0. Výsledkem
chyby je spuštění libovolného skriptu s privilegii IIS serveru.

Irix 6.5.19
Po nálezu několika kritických chyb vydalo SGI hromadnou opravu obsaženou v
Irixu v. 6.5.19. Opravy reagují například na chyby v implementaci TCP/IP nebo
zvyšují výkonnost gigabitových karet.

RichCrash
V knihovně Riched20.DLL na platformě Microsoft Windows 98/2000/XP byla nalezena
chyba při zpracování textu ve formátu RTF. Výsledkem je pád aplikace, která v
té době knihovnu Riched20.DLL využívá. Teoreticky je možné tuto chybu zneužít
pro získání privilegií právě běžící/padající aplikace.

Nestabilní BitchX
Oblíbený IRC klient BitchX je možné vhodně formulovanou odpovědí donutit k
opuštění diskusního fóra a následnému segfaultu. Oprava nebyla v době
publikování dostupná.

Unbreakable?
V databázovém systému Oracle verzí 9i rel. 2, 9i rel. 1, 8i, 8.1.7, 8.0.6 bylo
nalezeno množství chyb větší než malé. Opravy od výrobce jsou k dispozici.
Zneužití těchto, nyní veřejně známých, bezpečnostních nedostatků vede k získání
práv uživatele "oracle" na klonech Unixu a "Local System" v případě Microsoft
Windows. Tato práva mohou znamenat získání práv pro správu nejen databáze, ale
částečně i operačního systému.

Lotus Domino
Verze 6.0.1 opravuje množství bezpečnostních problémů nalezených ve verzi 6.0.
Upgrade je vřele doporučen, protože zneužitím chyb získává útočník práva
správce celého serveru.

IBM AIX
V operačním systému AIX byla nalezena možnost lokálního zneužití přetečení
zásobníku. Chyba souvisí s knihovnou libIM nabízející funkce lokalizace.
Útočník může získat práva superuživatele.

Apache mod_dav
V modulu mod_dav byla před několika měsíci nalezena chyba. Pokud používáte
modul mod_
dav, je upgrade více než doporučen. Postižená je například většina distribucí
Linuxu s výjimkou Gentoo.

PH-Peklo
V PHP/CGI verze 4.3.0 byla nalezena chyba umožňující útočníkovi nejen přístup k
jakémukoli souboru, který je pro interpret čitelný, ale též spuštění
libovolného kódu. V SuSE linuxu byla opravena chyba v modulu mod_php4. Nalezené
chyby v projektech využívajících PHP: IndyNews, php-Board, DotBr, D-Forum,
Kietu a IMP.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.