Bezpečnost

Sítí se šíří nový nástupce červa CodeRed, vyskytující se rovněž pod jmény W32.Blaster a W32/ /LuvSan. Využívá...


Sítí se šíří nový nástupce červa CodeRed, vyskytující se rovněž pod jmény
W32.Blaster a W32/ /LuvSan. Využívá posledních bezpečnostních chyb Microsoft
Windows, např. vzdáleně zneužitelnou chybu v RPC. Jednou z akcí, jež červ
vykonává, je DoS útok na servery Microsoftu zodpovědné za službu Windows Update.

Webware
Verze 0.8.1 opravuje kritickou, vzdáleně zneužitelnou bezpečnostní chybu v této
objektově orientované skupině komponent využívající jazyka Python. Chyba by-la
vyřešena zrušením funkcionality

wu-ftpd
V tomto oblíbeném FTP serveru byla nalezena možnost vzdáleného zneužití. Chyba,
týkající se funkce fb_realpath(), je pokládána za kritickou. Oprava je k
dispozici buď ve formě patche zdrojového kódu poslední verze (2.6.2.) anebo
opravných balíčků závislých na distribucích.

Postfix
Ve staré verzi Postfixu (1.1.12) byla nalezena bezpečnostní chyba. Její
zneužití vede k vzdáleně proveditelnému DoSu. Další chyba v staré verzi
(1.1.11) je zneužitelná k tzv. bounce scanu. Byť je s posledními distribucemi
dodávána verze 2.0.x, je kontrola SMTP serverů a relayů na místě.

Oracle
Vzdáleně zneužitelná bezpečnostní chyba byla nalezena v CGI programu Oracle
Applications Web Report Review (FNDWRR). K jejímu zneužití postačuje prohlížeč
a příliš dlouhé URL. Zběhlý útočník by mohl být schopen zneužít chyby ke
spuštění vlastního kódu. Oprava je k dispozici pro Oracle Applications verze
11.0 a 11i.

RAV AntiVirus
V DirectX komponentě tohoto antiviru byla nalezena vzdáleně zneužitelná chyba.
V jejím důsledku získává útočník možnost spuštění svého kódu na stanici
uživatele. Řešením je smazání všech DLL knihoven souvisejících s komponentou
DirectX.

MS MediaPlayer
Ve starších verzích přehrávače Microsoft Media Player (6.x, 7.x a 8.x) byla
nalezena chyba dávající všanc lokální souborový systém. Řešením je buď
instalace poslední verze (9.x), nebo odinstalování tohoto programu.

Internet Explorer
Nezávisle na nastavení bezpečnosti Internet Exploreru je možné skriptem
spouštět Notepad a vyplnit ho textem. Speciální webová stránka dokáže otevřít
větší množství oken Notepad, a znepříjemnit tím uživateli práci, případně
ovlivnit stabilitu operačního systému.

eOrchestrator
V produktu eOrchestrator společnosti Network Associates se vyskytuje několik
bezpečnostních problémů. Více informací viz: CAN-2003-0148, CAN-2003-0149 a
CAN-2003-0616. Popis přináší dokument společnosti @Stake A073103-1. OpenBSD
Ve funkci "realpath()" bylo nalezeno přetečení zásobníku, které, pokud je
zneužito, může vést buď k DoSu nebo ke spuštění útočníkova kódu. Chyba je
vzdáleně zneužitelná a vzhledem k možným konsekvencím i kritická. Oprava je k
dispozici ve formě patche pro verze 3.2 a 3.3.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.