Bezpečnost

VirusWall Zabudovaná proxy tohoto produktu od firmy Trend Micro dovoluje vzdálenému útočníkovi provést directory trave...


VirusWall
Zabudovaná proxy tohoto produktu od firmy Trend Micro dovoluje vzdálenému
útočníkovi provést directory traversal. Příklady:
http://[target]:8080/ishttpd/localweb/java/?/../../../ishttpd.exe, nebo
http://[target]:8080/ishttpd
/localweb/java/?/../../../../../../../../autoexec.bat. Zranitelnost byla
objevena ve verzi 3.5 pro Windows. Opravy jsou dostupné.

VPN Gateway
Byla uvolněna bezpečnostní záplata opravující u produktu Symantec Clientless
VPN Gateway knihovny SSL v souvislosti s nedávno zveřejněnou chybou v OpenSSL,
dovolující úspěšné provedení DoS útoku.

CheckPoint
Některých produktů společnosti CheckPoint se týká nedávno zveřejněná chyba v
OpenSSL. Zranitelné jsou následující produkty: VPN-1/FireWall-1 NG,
VPN-1/FireWall-1 VSX NG with Application Intelligence, Provider-1 NG,
FireWall-1 GX v2.0, naopak produkt VPN-1/FireWall-1 4.1 není postižen. Záplaty
jsou k dispozici.

FreeBSD
V operačním systému FreeBSD byla objevena chyba umožňující lokálnímu útočníkovi
zobrazení částí paměti jádra nebo provedení DoS útoku. Na vině je nedostatečná
kontrola vstupů systémového volání setsockopt(). Zranitelnost se týká verze
FreeBSD 5.2-Release se zdrojovými kódy z doby před 29. 3. 2004. K zabránění
zneužití zranitelnosti je také možné vypnout podporu IPv6. Toho lze dosáhnout
blokací řádek s výrazem INET6 v konfiguračním souboru jádra, jeho rekompilací a
následným restartováním.

JetAdmin
Produkt firmy HP trpí zranitelnostmi vzdálený přihlášený útočník může provést
akci XSS, upload souborů a výkon vlastních HTS skriptů. Chyby byly objeveny ve
verzi 7.5.2546.

PhpBB
Program určený pro provoz serverů s diskusními fóry je postižen několika
zranitelnostmi týkajícími se vzdáleného vkládání vlastních skriptů včetně SQL
příkazů. Řešení spočívá v aktualizaci na verzi 2.0.8.

DamaWare
Software DamaWare Mini Remote Control sloužící ke vzdálené správě operačních
systémů společnosti Microsoft trpí zranitelností umožňující útočníkovi
rozšifrovat komunikaci mezi serverem a klientem. Příčinou je klíč, který je při
přenosu souborů posílán po síti v podobě plaintextu. Zranitelné jsou všechny
verze řady 3 a 4, mimo posledních, které jsou opraveny (tedy 3.74 a 4.2).

CDE
Produkt Common Desktop Environment trpí zranitelností způsobenou chybou při
ověřování žádostí XDMCP (X Display Manager Control Protocol). Asi je možné tuto
zranitelnost využít ke spuštění kódu na napadeném systému. Řešením je zakázat
XDMCP podporu v dtloginu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.