Bezpečnost

Kerio V tomto personálním firewallu byly v části zodpovědné za vzdálenou administraci nalezeny dvě bezpečnostní chy...


Kerio
V tomto personálním firewallu byly v části zodpovědné za vzdálenou administraci
nalezeny dvě bezpečnostní chyby. Poslední verzí náchylnou na zneužití byla v
době publikace 2.1.4.

Oracle
Kritická chyba byla objevena v databázovém systému Oracle verzí 9i release 1 a
2, 8i, 8 a 7.3.x. Je kupříkladu napadnutelná i s využitím základního účtu
"Scott". Jedná se o klasické přetečení zásobníku. Útočník po zneužití chyby
získá plnou kontrolu nad serverem. Oprava je k dispozici na webu výrobce.

Coldfusion MX
V produktu z dílny společnosti Macromedia byla nalezena všeobecně známá chyba
při zpracování Javy. Tento produkt obsahuje Javu verze 1.3.1_03, přičemž první
zabezpečená verze je 1.4.1_02. Pokud se Java vyskytuje v CFM, dojde ke
klasickému přetečení zásobníku.

OpenSSH
SSH daemon je náchylný na timing attack, pokud byl kompilován s parametrem
with-pam. Chyba není plně odstraněna v opravné verzi OpenSSH 3.6.1p2, ale
podstatně snižuje úspěšnost útoku.

HP-UX
Při použití programu rexec může dojít k přetečení zásobníku, oprava je k
dispozici. GnuPG
V této FOSS PGP aplikaci byla nalezena chyba související s prací s klíči
obsahujícími více e-mailových adres. Bezpečnostní díra je opravena posledním
vydáním verze 1.2.2.

CommuniGatePro
Chyba ve webmaileru CommuniGatePro v některých případech umožní útočníkovi
získat přístup k e-mailovým schránkám uživatelů. Chybu opravuje verze 4.1b2.

Balsa
Tento e-mailový klient obsahuje problém vedoucí k přetečení zásobníku při práci
s IMAP servery. Chybu opravuje verze 2.0.10.

Sun One
Lokální či vzdálený útočník může vyřadit ze služby Directory Server. Oprava je
k dispozici pro verze 4.x a 5.x. Jedná se o klasický DoS útok, při kterém
nejsou dána k dispozici žádná data, jež server obsahuje.

Mod_Survey
Verze 3.0.15 tohoto modulu pro Apache opravuje možnost zaplnění souborového
systému nesmyslnými daty.

WebcamXP
Tento webcam server je náchylný na "code injection". Oprava není k dispozici,
možnou ochranou je využití jiného webového serveru.

Microsoft IE
Stránka obsahující na sekvenci CR LF kódovanou v unicode vytíží procesor
klienta na 100 %, dokud není aplikace násilně ukončena.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.