Bezpečnost

Bugzilla Vývojáři tohoto systému pro správu procesu eliminace chyb zveřejnili novou verzi opravující množství chyb....


Bugzilla
Vývojáři tohoto systému pro správu procesu eliminace chyb zveřejnili novou
verzi opravující množství chyb. Zneužití chyb v té staré je možné provést
vzdáleně. Přechod na novou verzi je doporučen.

Linux
Neznámému pachateli se podařilo změnit kód v CVS serveru nesoucího kód
linuxového jádra. Díky kontrole změn byla nebezpečná sekvence z části kernel
/exit.c odstraněna. Nepřátelský kód nabízel funkci zpětných vrátek, tzv.
backdoors.

Windows
Nezkontrolovaný buffer v logovací funkci Windows Workstation Service umožňuje
útočníkovi spustit libovolný kód, chyba je zneužitelná přes DCE RPC. Opravy
jsou k dispozici na webu výrobce.

MSIE
Aplikace Internet Explorer obsahuje několik chyb, které umožňují obejít tzv.
bezpečnostní zóny ve verzích 5.01, 5.5 a 6. První chyba umožňuje za použití XML
objektu přečíst soubor na klientově počítači. Druhá umožňuje vytvořit zmatek ve
zpracování událostí drag-and-drop v souborech DHTML a uložit na klientův
počítač libovolný soubor. Byť jsou další chyby závažné, není zde prostor pro
jejich popis. Opravy jsou k dispozici na webu výrobce.

OpenBSD
Ve verzi 3.x tohoto operačního systému byla nalezena chyba ve funkci
compat_ibcs2. Při spuštění binárního souboru může dojít k přetečení zásobníku a
potenciálně i k eskalaci uživatelských práv. Oprava je k dispozici ve formě
zdrojového patche. Ve verzi OpenBSD 3.4 díky ochraně ProPolice dojde pouze k
DoSu.

HP-UX
V závislosti na síťovém provozu může dojít k DoSu (odmítnutí poskytování
služby) v součásti DCE systému HP-UX. Chyba je zneužitelná z lokální sítě,
napadnutelné verze jsou B.11.00 a B.11.11. Oprava je k dispozici.

IPSO
Produkt Nokia IPSO Network Voyager nekontroluje HTTP nebo HTTPS dotazy před
jejich uložením do logů. Chyba je dálkově zneužitelná, pokud má útočník možnost
komunikovat se službou Network Voyager pomocí výše zmíněných protokolů.

BEA WebLogic
BEA zveřejnila několik oprav produktů BEA WebLogic Express a BEA WebLogic
Server. Záležitost se týká verzí 6, 7 a 8. Oprava je k dispozici na webu
výrobce.

Symantec
V produktu pcAnywhere 9.x byla nalezena chyba, jejíž zneužití může vést k
eskalaci uživatelských práv. Útočník může spustit libovolný program s
privilegii AWHOST32. Ta většinou bývají stejná jako pro uživatele System.
Oprava jje k dispozici na webu výrobce.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.