Nacionalni CERT

Preporuke

Subscribe to Preporuke | Nacionalni CERT
Pretraži preporuke
i / ili
Pretplata na sigurnosne preporuke

Pretplatite se ili otkažite pretplatu na mailing liste Nacionalnog CERT-a kojima se distribuiraju sigurnosna upozorenja (engl. advisory) grupirana po platformama (operacijskim sustavima).

 Svi  Windows 2008  Windows 7
 Windows 8.1  Windows 2012  Windows 10
 Windows 2016  Hewlett-Packard  Red Hat
 Debian  SuSE  Cisco Systems
 FreeBSD  Fedora  Gentoo
 Ubuntu  Apple Mac OS
E-Mail adresa:
legenda Kritično Važno Informativno
Operativni sustav:
Debian
Važno
Unutar programskog paketa xloadimage uočen je sigurnosni nedostatak koji rezultira višestrukim prepisivanjem spremnika. Programski paket xli služi za pregledavanje grafičkih datoteka, a za svoj rad koristi funkcije ranjivog xloadimage paketa. Zlonamjerni korisnik ovaj propust može iskoristiti tako da kreira grafičku datoteku s jako dugačkim imenom slike i navede lokalnog korisnika da pokrene obradu iste u xli programu. Na taj način napadač će moći izvršiti proizvoljni programski kod na ranjivom računalu. Svim korisnicima savjetuje se instalacija nove inačice xli paketa jer ista ne sadrži opisani propust.
10.10.2005
Operativni sustav:
Debian
Važno
U programskom paketu xloadimage otkriven je sigurnosni propust koji rezultira višestrukim prepisivanjem spremnika. Xloadimage se koristi za prikazivanje grafičkih datoteka na X11 sustavima. Otkriveni propust zlonamjernom korisniku omogućava da koristeći dugačka imena grafičkih datoteka izazove višestruko prepisivanje spremnika te na taj način dobije mogućnost izvršavanja proizvoljnog programskog koda na ranjivom računalu. Objavljena je nova inačica xloadimage paketa u kojoj je uklonjen otkriveni propust pa se svim korisnicima preporuča njena instalacija.
10.10.2005
Operativni sustav:
Debian
Važno
Kod programskog paketa graphviz učen je sigurnosni problem. Graphviz sadrži set alata za crtanje i obradu već postojećih grafičkih datoteka na Linux/Unix operacijskim sustavima. Učeni problem javlja se jer graphviz kreira privremene datoteke predvidljivog imena, što može iskoristiti lokalni zlonamjerni korisnik na način da kreira simboličke veze s nazivima tih privremenih datoteka. Na taj način zlonamjerni korisnik moći će prepisati proizvoljne datoteke na ranjivom sustavu s ovlastima korisnika koji je pokrenuo graphviz. Svim korisnicima savjetuje se nadogradnja na novu inačicu jer ista ne sadrži opisani propust.
10.10.2005
Operativni sustav:
W2K, Windows XP, Windows 2003, SUN, Hewlett-Packard, Red Hat, Fedora, Debian, SuSE
Važno
Kod IBM aplikacijskog poslužitelja Websphere Application Server (inačica 4.x, 5.x i 6.x) te pripadajućeg web poslužitelja IBM HTTP Server (inačica 2.x) uočena su dva sigurnosna nedostatka. Radi se o propustima nedovoljne provjere količine podataka koji se zapisuju u memorijske spremnika te propustu cjelobrojnog prepisivanja PCRE programske biblioteke koje je s udaljene lokacije moguće iskoristiti za izazivanje DoS uvjeta ili s lokalnog korisničkog računa za stjecanje povećanih ovlasti na sustavu. Odgovarajućih zakrpa trenutno nema pa se korisnicima preporuča poduzimanje sigurnosnih mjera navedenih u izvornom upozorenju.
10.10.2005
Operativni sustav:
W2K, Windows XP, Windows 2003, SUN, Hewlett-Packard, Red Hat, Fedora, Debian, SuSE, FreeBSD
Važno
Kod programskog paketa PHP-Fusion inačica 6.x, jednog od najkorištenijih besplatnih CMS (Content Management System) sustava, uočena je još jedna u nizu ranjivosti. Otkriveni propust udaljenim napadačima otvara mogućnost razotkrivanja potencijalno osjetljivih informacija izvođenjem proizvoljnih upita na pripadajućem sustavu za upravljanje bazama podataka odnosno kompromitiranje istog. Nedostatak se javlja zbog nedovoljne provjere korisnički unesenih podataka koji se koriste za generiranje SQL upita, a moguće ga je s lokalne korisničkog računa ili udaljene lokacije iskoristiti slanjem zlonamjerno oblikovanih "activate" odnosno "cat_id" parametara. Kao rješenje, korisnicima se preporuča nadogradnja na inačicu 6.00.110.
10.10.2005

Pages