Bezpečnost

PlatinumFTPserver FTP server PlatinumFTPserver nezakazuje uživatelům zápis jinam, než mají právo dle konfigurace. Důsl...


PlatinumFTPserver
FTP server PlatinumFTPserver nezakazuje uživatelům zápis jinam, než mají právo
dle konfigurace. Důsledkem je neomezený přístup k celému diskovému subsystému.

Mambo SiteServer
Mambo SiteServer přihlásí uživatele s právy administrátora. Dokud nebude k
dispozici opravená verze, je jednou z obran ochrana administrátorského adresáře
heslem v souboru .htaccess.

Darwin a QuickTime
Darwin 4.1.2 a QuickTime 4.1.1 streaming servery obsahují několik dálkově
zneužitelných chyb. Vzhledem k tomu, že oba servery jsou spuštěny s privilegii
uživatele root, je oprava více než nutná.

nCipher
Společnost nCipher upozornila na nebezpečí znamenající zapomenuté klíče
generované buď s pomocí CLI utility "generatekey" nebo grafického prostředí
"KeySafe". Klíče importované do prostředí nShield či nForce nemusejí být po
úspěšném importu smazány ze souborového systému. Maintance CD verze 7.0 a vyšší
chybu opravuje.

EnGarde
Distribuce EnGarde secure Linux ve svém správcovském prostředí WebTool využívá
části balíku Webmin, ve kterém byla nalezena bezpečnostní chyba. EnGarde proto
klade administrátorům na srdce včasný upgrade balíku WebTool.

VNC
Drtivá většina distribucí Linuxu, dalších klonů Unixu, vydala opravné balíky na
chyby nalezené v aplikaci VNC a implementaci knihoven SSL, zlib a libmcrypt.
Ti, kdož doposud neopravili, nechť záplatují nyní.

Siemens 35 a 45
Telefony z řad Siemens 35 a 45 jsou náchylné na DoS útok. Po přijetí nebo během
odesílání špatně formátované SMS zprávy je pro obnovení provozu nutné vyjmout
baterii. Teoreticky je možné, že vadná zpráva zůstane v přístroji až do jeho
kompletního resetu.

Internet Explorer
Microsoft opravil starou chybu "self-executable html". Opravy Microsoftu lze
ovšem triviálně obejít, a proto je tato chyba znovu aktuální. Útočníkův kód
stačí uzavřít do běžného skriptu v HTML souboru.

Opera
Webový browser Opera ve verzi starší než 7.0.2 obsahuje bezpečnostní díru
týkající se volby "Automatic redirection". Pokud není povolena, může server
ukrást cookies a seanci uživatele. Aktuální verze Opery jsou vůči této chybě
imunní.

Adobe
Společnost ElcomSoft zauditovala poslední verzi Adobe Acrobat Readeru. Dospěla
ke zjištění, že šifrování PDF dokumentů Document Serverem je nedokonalé.
Šifrování s pomocí RSA-512 se dá relativně lehce obejít a publikovat pozměněné
PDF dokumenty bez platné licence Adobe Document Serveru nabízejícího Reader
Extensions.

Jetdirect SNMP
Tiskárny společnosti HP využívající SNMP a JetDirect publikují přes SNMP heslo
administrátora v běžném textu, tedy v nešifrované podobě. Nejlepším řešením je
vypnout JetAdmin Web Server. Zdá se, že nové tiskárny HP již obsahují opravený
software.

Axis
Kamery Axis mají vlastní webový server. Nezáplatovaný server v řadě kamer 2400
a 2100 je náchylný na DoS. Oprava od výrobce je k dispozici.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.