Bezpečnost

Internet Explorer Byla oznámena zranitelnost dovolující vzdálené vykonání libovolného kódu na napadeném systému pr...


Internet Explorer
Byla oznámena zranitelnost dovolující vzdálené vykonání libovolného kódu na
napadeném systému prostřednictvím návštěvy zlomyslně upravených webových
stránek. Za zranitelností stojí nedostatečné ošetření mezních hodnot při
zpracování některých atributů IFRAME tagu. Zranitelnost postihuje produkt
Internet Explorer běžící na systémech Windows 2000 a Windows XP SP1. Systémy s
operačním systémem Windows XP se Service Packem 2 nejsou postiženy. Byl
publikován vzorový zákeřný kód zneužívající chybu. Šest dní po oznámení
zranitelnosti se začal v síti šířit červ (MyDoom.AG) inspirovaný oním
zmiňovaným kódem.

Apache 2.0.52
Byl zveřejněn zákeřný kód dovolující vzdálenému útočníkovi vykonat DoS proti
webovému serveru Apache verze 2.0.52. Zranitelnost je způsobena chybným
zpracováním zlomyslně upravené HTTP žádosti obsahující na začátku mnoho mezer.

Iptables
Oznámena byla chyba mající za následek, že na určitých konfiguracích nemusí být
některé moduly automaticky načteny. V důsledku může dojít k nedodržování
některých nastavených pravidel. Záležitost zveřejnil Debian, a SecurityTracker
v oznámení Alert ID: 1012025 uvádí jako zranitelné i ostatní distribuce.

F-Secure
Výrobce oznámil zranitelnost produktu F-Secure Anti-Virus for Microsoft
Exchange dovolující zákeřnému kódu umístěnému v zaheslovaném ZIP archivu projít
kontrolou bez povšimnutí. Na webových stránkách podpory výrobce najdete více
informací včetně odkazu na příslušnou záplatu, která zranitelnost odstraňuje.

Cisco SAC Server
Výrobce oznámil zranitelnost v Cisco Secure Access Control Serveru dovolující
při určité konfiguraci vzdálenému útočníkovi získat přístup k síti s
certifikátem, který není podepsán důvěryhodnou certifikační autoritou.
Podmínkou je, aby server používal k autentizaci Extensible Authentication
Protocol-Transport Layer Security (EAP-TLS). Postižena je jen verze 3.3.1 Cisco
Secure ACS pro Windows a Cisco Secure ACS Solution Engine. Bližší informace
včetně postupu záplatování poskytuje původní oznámení Document ID: 63178 na
webových stránkách výrobce.

Java System Web
Společnost Sun Microsystems oznámila zranitelnost produktů Sun Java System
Application Server a Sun Java System Web Server dovolující vzdálenému
útočníkovi pomocí zlomyslně upraveného certifikátu shodit server. Seznam
postižených verzí a postup záplatování najdete v původním oznámení Sun Alert
ID: 57669 na webu výrobce.

602LAN Suite
Na SecurityTrackeru byly oznámeny dvě chyby v produktu 602LAN Suite umožňují
útočníkovi provést vzdálený DoS. První zranitelnost se týká nekorektního
ošetření požadavku POST webového rozhraní poštovního serveru, kdy je možné na
vzdáleném systému alokovat paměť bez samotného zaslání dat. Druhá chyba
nalezená v telnet proxy dovoluje navazovat neomezeně spojení na adresy síťových
rozhraní serveru. Řešením je aktualizace na verzi 2004.0.04.1104.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.