Nacionalni CERT

Preporuke

Subscribe to Preporuke | Nacionalni CERT
Pretraži preporuke
i / ili
Pretplata na sigurnosne preporuke

Pretplatite se ili otkažite pretplatu na mailing liste Nacionalnog CERT-a kojima se distribuiraju sigurnosna upozorenja (engl. advisory) grupirana po platformama (operacijskim sustavima).

 Svi  Windows 2008  Windows 7
 Windows 8.1  Windows 2012  Windows 10
 Windows 2016  Hewlett-Packard  Red Hat
 Debian  SuSE  Cisco Systems
 FreeBSD  Fedora  Gentoo
 Ubuntu  Apple Mac OS
E-Mail adresa:
legenda Kritično Važno Informativno
Operativni sustav:
Važno
Niz sigurnosnih propusta uočeno je u radu programskog paketa php. Prvi propust uočen je prilikom korištenja unpack() i shmop_write() funkcija, a rezultira cjelobrojnim prepisivanjem. Zlonamjerni korisnik iskoristivši ovaj propust dobiva mogućnost izvršavanja proizvoljnog programskog koda na ranjivom računalu. Drugi propust javlja se prilikom obrade php skripti unutar virtual_popen() i realpath() funkcija, kada zlonamjerni korisnik pomoću posebno definiranih skripti može zaobići pravila pristupa mapama na ranjivom računalu. Slijedeća skupina propusta, koja rezultira DoS uvjetom, javlja se prilikom korištenja getimagesize(), php_handle_iff() i php_handle_jpeg() funkcija. I zadnja skupina propusta, javlja se prilikom obrade EXIF paketa i rezultira prepisivanjem spremnika, što udaljenom napadaču omogućava da izvrši proizvoljni programski kod. Korisnicima se savjetuje instalacija nove inačice programskog paketa php.
18.04.2005
Operativni sustav:
Gentoo
Važno
U programskom paketu file otkriven je sigurnosni nedostatak. File je alat koji se koristi za utvrđivanje formata datoteka skeniranjem njihovog sadržaja. Propust se manifestira velikom potrošnjom resursa središnje procesne jedinice, a udaljeni napadač ga može iskoristiti navođenjem korisnika na otvaranje posebno oblikovane datoteke. Rezultat uspješne zlouporabe može biti izazivanje DoS (eng. Denial of Service) uvjeta na ranjivom računalu. Dostupna je nova inačica paketa koja ispravlja uočeni nedostatak pa se korisnicima savjetuje njezina instalacija.
17.04.2005
Operativni sustav:
Red Hat
Važno
Kod programskog paketa PHP uočena su dva sigurnosna nedostatka. PHP je popularan skriptni jezik koji se često koristi u izgradnji dinamičkih web stranica. Jedan od spomenutih nedostataka uzrokovan je implementacijskom greškom unutar unserialize()" funkcije, a zlonamjernom korisniku omogućuje pokretanje proizvoljnog programskog koda. Drugi nedostatak također omogućuje pokretanje proizvoljnog programskog koda, ali se nalazi unutar funkcije session_decode()". Oba su ispravljena pa se korisnicima preporuča izvođenje odgovarajuće nadogradnje.
16.04.2005
Operativni sustav:
Fedora
Važno
Prilikom korištenja programskog paketa PHP na FC3 operacijskom sustavu otkrivena su tri sigurnosna propusta. Prvi propust se javlja prilikom korištenja exif_process_IFD_TAG funkcije, kada je udaljenom zlonamjernom korisniku omogućeno da uz pomoć IFD zapisa određenih osobina izvrši proizvoljni programski kod. Drugi propust javlja se prilikom korištenja exif.c programskog koda. Ovaj propust udaljeni napadač može iskoristiti tako da kreira EXIF zaglavlje sa velikom vrijednošću unutar IFD polja, i tako izazove DoS uvjet na ranjivom računalu. I zadnji propust, uočen je prilikom koirštenja php_handle_iff funkcije, kada je također udaljenom napadaču omogućeno da izvrši DoS napad. Korisnicima se savjetuje instalacija nove inačice programskog paketa PHP.
15.04.2005
Operativni sustav:
FreeBSD
Važno
Sigurnosni propust uočen je u radu sistemskog poziva ifconf(). Navedeni sistemski poziv koristi se za provjeru postojećih mrežnih sučelja na računalu, a propust se javlja zbog toga što kernel prilikom obrade ovog poziva ne inicijalizira međuspremnik prije nego što kopira podatke u njega, te je prethodni sadržaj međuspremnika raspoloživ pozivajućem procesu. Na taj način zlonamjerni korisnik može neovlašteno doznati potencijalno osjetljive informacije. Objavljene su odgovarajuće zakrpe kojima se opisani propust uklanja, pa se korisnicima preporuča njihova instalacija.
15.04.2005

Pages