Bezpečnost

Cisco L2 DoS Speciálně vytvořený layer 2 packet, jehož délka neodpovídá délce obsažených layer 3 informací, můž...


Cisco L2 DoS
Speciálně vytvořený layer 2 packet, jehož délka neodpovídá délce obsažených
layer 3 informací, může způsobit reset nebo zatuhnutí produktů Cisco
6000/6500/7600 v některých konfiguracích. Problém se dá vyřešit pouze
aktualizací systému IOS. CatOS tímto neduhem netrpí. Bližší informace najdete
na webových stránkách výrobce v dokumentu s ID 47980.

DoomJuice.A
Zadní vrátka vytvořená viry MyDoom.A a MyDoom.B nacházejí svá uplatnění. Nový
virus hledá otevřené porty 3127 na náhodně generovaných IP adresách. Pokud
najde některého ze starších verzí viru, přidá se k němu a pokračuje dál. Cílem
aktivity viru je provedení DDoS útoku na server www.microsoft.com.

VPN-1 a SR/SC
Zpracování části certficate requestu protokolu ISAKMP může vést ke přetečení
zásobníku, podle firmy ISS je k dispozici návod na útok. Zranitelné jsou jen
produkty do verze 4.1 SP-5a a NG FP-1. Od verzí 4.1 SP-6 a NG FP-2 je toto
chování odstraněno. Zároveň doporučujeme prověřit, že ani partner na druhém
konci tunelu nepoužívá zranitelnou verzi.

BSD
Operační systémy FreeBSD 4.x, FreeBSD 5.x, NetBSD 1.x, OpenBSD 3.x dovolují
lokálnímu uživateli povýšit svá práva. Zranitelnost spočívá v chybě systémového
volání shmat(), kterou lze zneužít k přístupu do paměti jádra systému. Záplaty,
případně opravené verze, jsou k dispozici.

Radius 1.x
Na verzi 1.1, pravděpodobně i dřívější, lze úspěšně provést DoS útok. Řešení
spočívá v aktualizaci na verzi 1.2.

Oracle9i Database
Společnost Next Generation Security Software objevila několik chyb v softwaru
Oracle9i Database Enterprise a Standard Edition. Ty dovolují běžnému uživateli
spouštět libovolný kód s právy uživatele System nebo Oracle. Chování je
způsobeno nedostatečným ošetřením mezních hodnot parametrů některých funkcí.
Zabezpečení serveru spočívá v aktualizaci na verzi 9.2.0.4 a v aplikaci záplaty
Patch 3.

Dream FTP Server
Na tento server určený pro platformu MS Windows lze úspěšně provést DoS útok,
případně je potenciálně možné s jeho pomocí spouštět libovolný kód. Chyba byla
zjištěna ve verzi 1.02.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.