Bezpečnost

Exchange Server Společnost Microsoft uvolnila bezpečnostní záplatu pro produkt Microsoft Exchange Server 5.5 SP4, která ...


Exchange Server
Společnost Microsoft uvolnila bezpečnostní záplatu pro produkt Microsoft
Exchange Server 5.5 SP4, která opravuje chybu ve webovém rozhraní Outlook Web
Access. Úspěšný útočník může využít zranitelnosti k manipulaci s vyrovnávací
pamětí prohlížeče a proxy serveru; chyba mu umožňuje podvrhnout obsah těchto
pamětí. Může také uskutečnit XSS útok, kterým lze získat přístup ke stejným
informacím, jaké má napadený uživatel. Podrobnější informace lze nalézt na
webo-vých stránkách výrobce v dokumentu Microsoft Security Bulletin MS04-026.

Acrobat Reader
Ve verzích 5.05 a 5.06 pro Unix a Linux byla nalezena chyba, která umožňuje při
otevírání zákeřně upraveného PDF dokumentu vykonat libovolný program (shell
příkazy) s právy uživatele otevírajícího dokument. Typickým scénářem útoku může
být rozesílání zákeřně upravených PDF dokumentů elektronickou poštou. Řešení
spočívá v přechodu na vezi 5.09.

PuTTY
Organizace Core Security Technologies objevila zranitelnost v PuTTY (free
telnet/ssh klient pro platformu Microsoft Windows), kvůli které lze při použití
SSHv2 vzdáleně kompromitovat uživatelský systém. Chyba umožňuje spustit
libovolný kód ze serveru, k němuž se uživatel pomocí PuTTY připojuje. Je
doporučen přechod na verzi 0.55.

Nokia IPSO
Firma Nokia uveřejnila informaci, že všechny verze operačního systému IPSO jsou
zranitelné útokem TCP Syn Flood na kterýkoli otevřený TCP port. Vzhledem k
tomu, že TCP porty (např. 22 a 443) jsou obvykle bezpečnostní politikou
firewallu povolené jen u pracovních stanic administrátorů firewallu, je riziko
zneužití této chyby z internetu velmi nízké. Je doporučena instalace
nejnovějších oprav společnosti Nokia, popřípadě kontrola, zda jsou přístupy na
TCP porty z nedůvěryhodných systémů zakázány. Bližší informace jsou dostupné na
webu výrobce v oddělení pro registrované uživatele.

Libpng
Bylo nalezeno několik chyb v Libpng, které mohou být zneužity k vykonání
libovolného kódu na napadeném systému. Útok může být proveden pomocí zákeřného
obrázku na webu či jeho zasláním e-mailem. Doporučuje se přejít na verzi Libpng
1.2.6rc1 nebo Libpng 1.0.16rc1. Řešením je také aplikace příslušné záplaty ze
dne 4. 8. 2004 dostupné z hlavní stránky projektu, tedy libpng.org.

NetScreen
Chyba v implementaci služby SSHv1 dovoluje vzdálenému neautentizovanému
útočníkovi zhroutit systém ScreenOS, což má za následek neprůchodnost
napadeného zařízení. Postiženy jsou firewally Juniper Networks NetScreen s
povoleným SSHv1. Řešení spočívá v aktualizaci verze ScreenOS. Zamezit zneužití
zranitelnosti lze též zakázáním SSHv1 (zařízení lze spravovat například přes
HTTPS) nebo konfigurací důvěryhodných IP-adres. Podrobnější informace naleznete
na webu výrobce v dokumentu Juniper Networks NetScreen Advisory 59110.

Opera
Firma GreyMagic oznámila zranitelnost webového prohlížeče Opera. Chyba je
umožňuje neoprávněný vzdálený přístup pro čtení souborů na napadeném systému.
Podmínkou je, aby uživatel navštívil zákeřně upravené www stránky. Řešení
spočívá v aktualizaci na verzi 7.54. Zranitelnost byla testována na verzích
7.52 a 7.53.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.