Bezpečnost

Sun JSSE Vlivem chyby v JSSE (Java Secure Socket Extension ) může při ověřování certifikátů webu dojít k nesprávn


Sun JSSE
Vlivem chyby v JSSE (Java Secure Socket Extension ) může při ověřování
certifikátů webu dojít k nesprávnému vyhodnocení, čímž se nedůvěryhodný web
může stát důvěryhodným. Postiženy jsou verze JSSE 1.0.3, 1.0.3_01 a 1.0.3_02.
Řešením je aktualizace na JSSE 1.0.3_03. Bližší informace přináší oznámení ID:
57560 dostupné na webových stránkách výrobce.

CVS, Subversion
V polovině května byla oznámena zranitelnost v systému správy Concurrent
Versions System (CVS). Vzdálenému útočníkovi dovoluje provést přetečení paměti
haldy. Zneužití může potenciálně vést až k výkonu kódu na napadeném systému.
Postiženy jsou verze do 1.11.15 včetně, a dále feature release do 1.12.7
včetně. Původní oznámení společnosti e-matters s označením 07/2004 vzhledem k
rozšířenosti CVS a závažnosti zranitelnosti neobsahovalo popis chyby. Ten se
však zanedlouho objevil na internetu. Volně dostupné jsou příslušné signatury
pro free open source systém detekce narušení Snort detekující případný pokus o
útok na uvedenou zranitelnost. Stejná společnost vydala i oznámení 08/2004
týkající se zranitelnosti v systému správy Subversion. Také v tomto případě je
možný vzdálený výkon kódu. Postiženy jsou verze do 1.0.2 včetně.

Iibneon
V HTTP a WebDAV knihovně jménem libneon byla zjištěna zranitelnost dovolující
vzdálené spuštění kódu. Řešením je aktualizace na verzi 0.24.6.

Norton AntiVirus
Nedostatečná kontrola vstupních hodnot v produktu Symantec Norton AntiVirus
2004 ActiveX Control dovoluje vzdálenému útočníkovi vykonat program umístěný na
napadeném systému. Možný je též DoS útok. Opravy jsou k dispozici pomocí
utility LiveUpdate. Podrobnější informace lze nalézt na webu výrobce v oznámení
SYM04-009.

WifiScanner
Vyšla nová verze (O.94) free open source nástroje WifiScanner. Dokáže najít
přístupový bod i klienty a on-line sledovat provoz nebo ho uložit k pozdější
analýze.

Červ Bobax
Objevil se červ schopný testovat propustnost napadeného systému. Jmenuje se
Bobax, využívá LSASS a RPC DCOM zranitelností některých operačních systémů
společnosti Microsoft. Jeho cílem je zneužít schopnosti hostitele k rozesílání
spamu. Aby zjistil, zda je napadený systém vhodný ke spamování, otestuje jeho
bandwidth. Děje se tak pomocí stažení velkého souboru z FTP serveru.

G2 Firewall
Nedávno bylo oznámeno několik zranitelností v Sidewinder G2 Firewallu, které
dovolují vzdálenému útočníkovi provést DoS útok. Jde o blíže nespecifikované
chyby v modulech T.120, RTSP, SMTP proxy a mail filter. Řešení spočívá v
aplikaci záplaty 6.1.0.02.

Firebird
U tří binarních souborů (gds_inet_server, gds_lock_mgr, gds_drop) databáze
Firebird může lokální útočník pomocí proměnné Interbase provést přetečení
zásobníku. Zneužitím chyby lze získat plný přístup k databázím. Zranitelnost je
možno odstranit aktualizací na verzi 1.5.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.