Bezpečnost

Internet Explorer V internetovém prohlížeči IE všech verzí byla nalezena chyba umožňující XSS (Cross Site Scripting...


Internet Explorer
V internetovém prohlížeči IE všech verzí byla nalezena chyba umožňující XSS
(Cross Site Scripting) s pomocí vhodně navržených cest. Chyba se týká protokolu
FTP a jedinou ochranou je užití jiného FTP klienta. Do vydání nového Service
Packu popř. Hotfixu je doporučeno nastavit FTP proxy na IP a adresu loopbacku
(127.0.0.1) s portem 0. Další chybou, či spíše vlastností IE je zveřejňování
osobních informací doménám Msn .com a Alexa.com. IE nabízí tuto funkci, i když
je uživatelem zakázána. Jedinou obranou je filtrace provozu aplikačním
firewallem nebo proxy.

Mac OS X
Implementace LDAPu a autentizačního schématu Kerberos v některých případech
umožňuje odposlechnutí uživatelského jména a hesla v nešifrované podobě. Tato
chyba se vyskytuje pouze na interní síti, k dispozici je postup správné
konfigurace LDAP serveru. Další chyba byla opravena ve správě NFS a UFS
sdílených svazků.

OpenSSH
Obratný útočník může obejít kontrolu DNS jména klientského stroje vytvořením
reverzního záznamu. Tato chyba se vztahuje na verze 3.6.1 a starší. Byť tato
chyba nijak nezasahuje do kontroly hesla či klíče, mohou kontrolu IP někteří
administrátoři využívat. Doporučuje se využívat kontrolu s pomocí firewallu
nebo routeru.

Megabrowser
V tomto P2P browseru bylo nalezeno několik kritických chyb. Do vydání nové
verze je jedinou obranou filtrování na úrovni protokolu (proxy, aplikační
firewall) a co nejbezpečnější konfigurace.

Solaris
Ve verzích 7, 8 a 9 OS Solaris existuje možnost přetečení zásobníku v souboru
/usr/lib/utmp_ update. Tato chyba není dálkově zneužitelná, lokálně přihlášený
uživatel však může získat administrátorská privilegia. Oprava je k dispozici
pro všechny verze OS. Logovací démon syslogd v Solarisu verze 8 nepatřičně
zareaguje na příliš velký UDP paket. Jedná se o typické přetečení zásobníku,
oprava je k dispozici.

Linux
V několika linuxových distribucích jsou k dispozici nové balíky pptpd (VPN
daemon) a KDE verze 2.2. KDE opravuje chybu v SSL umožňující spoofing a pptpd
verze 1.1.2 opravuje možné dálkové získání administrátorských privilegií.

AdSubtract
Tento klientský software blokující reklamy je snadno zneužitelný jako otevřená
proxy. Tím pádem může být zneužitelný i pro SMTP relaying, tedy spamování.
Řešení je v současné době jediné, a to odfiltrovat porty firewallem.

PHP
Verze PHP 4.0.x až PHP 4.3.x obsahují bezepčnostní chybu umožňující útočníkovi
provést XSS (Cross Site Scripting). Opravná verze je PHP 4.3.2. V těchto
projektech využívajících PHP byly nalezeny bezpečnostní chyby: NewsPHP,
Wordpress.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.