Bezpečnost

Microsoft Na webovém serveru Microsoftu jsou k dispozici na stránce s nadpisem Windows Security Updates for April 2004 nov


Microsoft
Na webovém serveru Microsoftu jsou k dispozici na stránce s nadpisem Windows
Security Updates for April 2004 nové bezpečnostní záplaty. Mezi 21 opravovanými
chybami jsou i některé tak závažné, že by mohly umožnit vzdálené spouštění
útočníkova kódu na neopravených systémech. Doporučujeme co nejdřív opravy
aplikovat.

RealPlayer
Pomocí speciálně upraveného .R3T souboru může útočník dosáhnout přetečení
zásobníku. Napadení systému lze dosáhnou prostřednictvím webu nebo e-mailové
přílohy. Vlastnosti lze pravděpodobně zneužít k výkonu libovolného kódu na
napadeném systému. Zranitelnost se týká produktů RealOne Player v1, RealOne
Player v2, RealPlayer 10, RealPlayer 8, RealPlayer Enterprise s nainstalovaným
R3T pluginem.

CVS
V unixovém softwaru pro správu verzí CVS byly nedávno objeveny dvě
zranitelnosti. První umožňuje přepis souborů na klientu a druhá získání souboru
z CVS serveru mimo jeho úložiště. Všichni hlavní distributoři GNU/Linuxu a BSD
vydali opravné balíčky.

ActiveScan Control
Software Panda ActiveScan při prvním on-line skenování nainstaluje do
uživatelova systému komponentu Panda ActiveScan Control. Pokud se útočníkovi
podaří přimět uživatele k návštěvě záměrně upravených webových stránek, může
pomocí chyby v Panda ActiveScan Controlu spustit libovolný kód na napadeném
systému. Pokud se chcete zranitelnosti vyhnout, smažte ActiveX komponentu
ascontrol.dll ze systému, který byl on-line skenován Panda ActiveScanem.
Obdobné problémy s ActiveX komponentami mají i Symantec Virus Detection, Mcafee
FreeScan a BitDefender Scan Online.

NetFile Server
Vzdálený útočník může úspěšně vykonat DoS útok. Program si neví rady s
neexistujícími jmény uživatelů. K provedení DoS útoku stačí tedy FTP serveru
zaslat pro něj neznámý login a heslo. Zranitelnost je opravena ve verzi
6.5.1.981.

PostNuke
Vzdálený útočník může pomocí modifikace URL několika způsoby podvrhnout vlastní
SQL příkazy. Zranitelnosti byly nalezeny ve verzi 0.7.2.6. Bližší informace
jsou na serveru securitytracker.com v dokumentech s ID 1009851 a s ID 1009801.

BEA WebLogic
Na webových stránkách výrobce najdete několik oznámení (BEA04-52.00,
BEA04-53.00, BEA04-54.00, BEA04-55.00) zveřejněných v polovině dubna,
týkajících se vesměs méně závažných zranitelností v produktech WebLogic Server
a WebLogic Express verzí 6.x, 7.x a 8.x. Odstranění zranitelností spočívá v
aplikaci příslušných opravných balíčků dostupných na webu výrobce.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.