Bezpečnost

MS Exchange Dle vyjádření společnosti Think Computer jsou produkty MS Exchange 5.5 a 2000 zneužitelné pro odesílání ...


MS Exchange
Dle vyjádření společnosti Think Computer jsou produkty MS Exchange 5.5 a 2000
zneužitelné pro odesílání nevyžádané pošty, tzv. spamu. MS Exchange odešle
poštu i přes nesprávnou SMTP autentizaci. Podmínkou zneužití této chyby je
existence účtu typu guest. Výrobce o chybě ví, oprava není plánována.

FreeRadius
Verze 0.9.3 tohoto Radius serveru opravuje chybu starších verzí, jejíž zneužití
může vést k odmítnutí služby, tedy k DoSu. Pokud by měla být chyba zneužita pro
podstrčení dat, musí mít formu paketů protokolu Radius.

Bind
Ve starší verzi tohoto nejrozšířenějšího DNS daemona byla opravena chyba
týkající se možnosti vyvolat DoS. Specificky se jedná o chybu ve funkci
cachování. Dalším z řešení je přechod na verzi 9.x.

Linux
V tomto klonu jádra operačních systémů Unix byla nalezena možnost lokálního
DoSu. Neopatrným zacházením s ukládáním informací o stavu FPU/SSE může dojít k
poškození registru MXCSR. Jádro 2.4.22 tento problém neobsahuje. Chyba by se
neměla vyskytovat ani v jádrech řady 2.6.

Mozilla
V části klienta Chatzilla umožňujícího IRC chat bylo nalezeno vzdáleně
zneužitelné přetečení zásobníku. Výsledkem zadání příliš dlouhého řetězce URI
je DoS. Do doby, než bude uvolněna oprava, se dá chybě vyhnout užíváním jiného
IRC klienta.

Apple
Verze 1.x prohlížeče Safari je náchylná na zcizení cookies. Dočasným řešením je
užití jiného prohlížeče nezávislého na operačním systému.

Sun
Společnost Sun Microsystems zveřejnila patche opravující chybu přetečení
zásobníku PGX32. Její zneužití může vést eskalaci práv lokálně přihlášených
uživatelů. Chyba se vyskytuje ve verzích Sparc Solaris 9, 8, 7, 2.6 a 2.5.1.

phpFriendlyAdmin
Verze 1.x tohoto databázového managementu je náchylná na XSS (Cross Site
Scripting). Zneužití může vést ke spuštění útočníkova kódu v okně prohlížeče
přihlášeného administrátora, popřípadě je teoreticky možné vložit útočníkem
definovaná data do spravované databáze. Verze 1.5 již chybu neobsahuje.

SGI
V operačním systému Irix bylo nalezeno několik chyb. Týkají se služby
rpc.mountd a mohou být zneužity v rámci lokální sítě. Oprava je možná buď
formou přechodu na novou verzi (v době publikace 6.5.23), nebo instalací
bezpečnostních záplat.

Kerio
Produkt WinRoute Firewall 5.x zveřejňuje informace o uživatelích, pokud je
využívána jeho funkce proxy. Specificky se jedná o údaj Proxy-Authorization.
Chyba se vyskytuje ve verzi 5.10., jiné verze mohou chybu také obsahovat.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.