Bezpečnost

Apache 2 Chyba uvedeného produktu spočívá v nedodržení podmínek v konfiguračním souboru. K přístupu do určité ob...


Apache 2
Chyba uvedeného produktu spočívá v nedodržení podmínek v konfiguračním souboru.
K přístupu do určité oblasti (Location) může klient využít jakoukoli sadu
cipher suite povolenou ve virtuálním hostovi, i když přístup do oblasti
specifikované direktivou Location je povolený jen pro určité sady. Podle
Secunie jsou zranitelné verze 2.0.35 až 2.0.52. Oprava je ve verzi 2.0.53-dev.

Neoteris IVE
Instant Virtual Extranet (IVE) je SSL VPN řešení společnosti Juniper pro
vzdálený přístup pomocí běžného webového prohlížeče. Pokud platnému uživateli
vyprší heslo, je přesměrován na changepassword.cgi skript, kde není omezen
počet pokusů autentizace starým heslem, což dovoluje uskutečnit útok hrubou
silou. Postiženy jsou pouze systémy využívající LDAP nebo NT domain
authentication server. Původní oznámení naleznete na webu výrobce v sekci,
která je dostupná pouze registrovaným uživatelům.

Helix US
Společnost iDefense oznámila zranitelnost Helix Universal Serveru dovolující
vzdálenému uživateli vykonat úspěšně DoS útok pomocí zákeřně upravené HTTP Post
žádosti. Zranitelnost byla potvrzena ve verzích 9.0.2 pro Linux a 9.0.3 pro
Windows. Bližší informace včetně postupu záplatování poskytuje oznámení
iDefense Security Advisory 10.07.04.

Norton AntiVirus
Byla oznámena zranitelnost produktu Norton AntiVirus společnosti Symantec
umožňující zákeřnému kódu vyhnout se detekci antivirem. Pokud je virus uschován
do souboru nebo adresáře jménem LPT1, COM1, AUX, CON, PRN, projde detekcí bez
úhony. Prostřednictvím funkce LiveUpdate je dostupná záplata pro Norton
AntiVirus 2004. Oznámení iDefense Security Advisory 10.05.04 naleznete na webu
společnosti iDefense, přičemž oznámení výrobce nese označení SYM04-015.

IBM DB2
Společnost NGSSoftware oznámila, že DB2 obsahuje 20 zranitelností. Jde převážně
o vzdáleně zneužitelná přetečení bufferu. Postiženy jsou verze DB2 8.1 Fixpak 7
a starší. Výrobce vydal záplaty. NGSSoftware plánuje zveřejnit bližší informace
ohledně chyb 5. ledna 2005, aby DB2 administrátoři měli dost času na
záplatování. Oznámení o chybách najdete na webu společnosti NGSSoftware v
dokumentu db2-2.txt.

Cyrus SASL
Byly ohlášeny dvě chyby v knihovně Cyrus SASL. První je přetečení bufferu v
digestmda5.c, druhá dovoluje, vlivem nedostatečného ošetření vstupů, lokálnímu
uživateli nahrát libovolný plug-in pomocí proměnné SASL_PATH, což prakticky
umožňuje spuštění libovolného kódu s právy aplikace, která knihovnu využívá.
Řešení spočívá v aktualizaci na verzi 2.1.19.

Solaris libXpm
Již dříve oznámená zranitelnost způsobená chybami v knihovně libXpm se
projevuje také u operačního systému Sun Solaris. Postiženy jsou verze 7, 8, 9
pro platformu Sparc i x86. V době psaní příspěvku nebyla záplata ještě k
dispozici. Bližší informace najdete v původním oznámení Sun Alert ID: 57653
dostupném na webových stránkách výrobce.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.