Bezpečnost

Apple Mac OS X Výrobce uvolnil sadu záplat pro Mac OS X, které jsou určeny pro verze Mac OS X 10.3.4, Mac OS X 10.3.5, Ma...


Apple Mac OS X
Výrobce uvolnil sadu záplat pro Mac OS X, které jsou určeny pro verze Mac OS X
10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5, Mac OS
X 10.2.8, Mac OS X Server 10.2.8. Záplaty se týkají následujících aplikací:
Apache 2, CoreFoundation, IPSec, Kerberos, lukemftpd, OpenLDAP, OpenSSH,
PPPDialer, QuickTime Streaming Server, rsync, Safari, SquirrelMail, tcpdump.
Některé z opravovaných zranitelností jsou vážného charakteru. Více informací
najdete na webu výrobce v dokumentu Apple Security Updates.

F-Secure
Vzdálený útočník může uskutečnit úspěšný DoS útok proti Content Scanner Serveru
pomocí zaslání zákeřně upraveného paketu na port 18971. Po útoku se server
restartuje přibližně v rozmezí 20-40 sekund. Společnost iDefense, která vydala
původní oznámení (iDefense Security Advisory 09.09.04), potvrdila zranitelnost
v produktu F-Secure Internet Gatekeeper Server 6.31 build 33. Výrobce také
oznámil, že zranitelné jsou produkty F-Secure Anti-Virus for Microsoft Exchange
6.21 a starší, F-Secure Anti-Virus for Microsoft Exchange 6.01 a starší,
F-Secure Internet Gatekeeper 6.32 a starší. Bližší informace včetně postupu
záplatování najdete v oznámení F-Secure Security Bulletin FSC-2004-2, dostupném
na webu společnosti F-Secure.

TwinFTP Server
Vzdáleně přihlášený uživatel (anonymous účet nevyjímaje) může číst i zapisovat
mimo adresář určený pro FTP. Podmínkou jsou samozřejmě dostatečná práva FTP
serveru. Zranitelnost je způsobena nedostatečným ošetřením vstupních hodnot
CWD, STOR a RETR příkazů. Dostat se do požadovaného adresáře lze pomocí tří
teček a lomítka, například ".../winnt". Řešení spočívá v aktualizaci na verzi
1.0.3 R3 vydanou po 10. září. Stejná verze vydaná před uvedeným datem je ještě
zranitelná.

mpg123
Byla ohlášena zranitelnost v mpg123 umožňující vzdálenému útočníkovi vykonání
libovolného kódu na napadeném systému. Za zranitelností stojí chyba v layer2.c.
Útok lze uskutečnit například pomocí zaslání zákeřně upraveného MP3 souboru
e-mailem. Více informací včetně záplaty pro Debian přináší oznámení Davide Del
Vecchio Adv#10.

Trillian
Multiprotokolový klient instant messagingu pro paltformu Microsoft Windows trpí
zranitelností v MSN modulu, která může vést až ke vzdálenému vykonání
libovolného kódu na napadeném systému. Zranitelnost byla nalezena ve verzi
basic 0.74i. K dispozici je kód zneužívající uvedenou zranitelnost.

Usermin
Byla oznámena zranitelnost Userminu dovolující vzdálenému útočníkovi vykonání
libovolného příkazu na napadeném systému. Stačí, aby útočník zaslal uživateli
Userminu zákeřně upravený link, a ten na něj posléze klikl. Postiženy jsou
verze 1.070 a 1.080. Řešení spočívá v aktualizaci na verzi 1.090.

Serv-U FTP
Byla oznámena zranitelnost dovolující přihlášenému vzdálenému uživateli (včetně
anonymous) provést úspěšně DoS útok proti Serv-U FTP. Stačí použít některý z
následujících příkazů: STOU COM1, STOU LPT1, STOU PRN, STOU AUX.

OpenCA
Produkt dovoluje pomocí cross site scriptingu (XSS) získat cizí session,
případně manipulovat s daty certifikační autority. Uživatelům provozujícím
verzi 0.9.1 je doporučena aktualizace na verzi 0.9.1-9. Ti, kteří používají
vývojovou verzi 0.9.2, mají možnost zranitelnost odstranit pomocí použití kódu
z CVS.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.