Otkrivena je ranjivost kod paketa sendmail koja se očitovala nepravilnim zatvaranjem opisnika datoteke prije izvršavanja programa. Lokalnim korisnicima ranjivost omogućuje pristup nenamijenjenim visoko numeriranim opisnicima datoteka preko posebno prilagođenog programa za dostavljanje pošte. Savjetuje se ažuriranje paketa izdanim zakrpama.
Month: srpanj 2014
Ranjivosti programskog paketa nss
Otkriveno je nekoliko ranjivosti u skupu programskih biblioteka, Mozilla Network Security Service (NSS). Ranjivosti su se očitovale cjelobrojnim prepisivanjem, greškom u funkciji CERT_VerifyCert, prihvaćanjem slabe izmjene DHKE (Diffie-Hellman Key exchange) parametara te greškom u implementaciji IDNA. Uspješno iskorištavanje ranjivosti može rezultirati uskraćivanjem usluge, zaobilaženjem postavljenih sigurnosnih ograničenja, zaobilaženjem mehanizama kriptografske zaštite te podvaljivanjem lažnog SSL poslužitelja izvođenjem MitM napada. Korisnike se upućuje na čitanje izvorne preporuke te ažuriranje paketa izdanim zakrpama.
Ranjivost programskog paketa tor
Otkrivena je ranjivost u inačicama paketa tor starijima od 0.2.4.23, 0.2.5 i 0.2.5.6-alpha. Ranjivost se očitovala zadržavanjem mrežne putanje (circuit) po primitku ulazne naredbe RELAY_EARLY cell od klijenta. Time je udaljenim napadačima bilo olakšano provođenje napada deanonimizacije korisnika modificiranjem zaglavlja Tor protokola (eng. traffic-confirmation attack), a koji koriste funkcionalnost “hidden services” ili joj pristupaju. Savjetuje se ažuriranje novom inačicom paketa i čitanje izvorne preporuke.
Ranjivost programskog paketa file
Otkrivena je ranjivost u alatu file za operacijski sustav Mandriva Business Server 1.0. Ranjivost se očitovala nepravilnim ograničavanjem količine podataka prilikom pretraživanja regularnih izraza, što je udaljenim napadačima omogućavalo izazivanje gubitka usluge. Savjetuje se ažuriranje paketa izdanim zakrpama.
Ranjivost programskog paketa php-ZendFramework
Otkrivena je potencijalna ranjivost umetanja proizvoljnog SQL koda u implementaciji SQL naredbe “Order By” unutar Zend_Db_Select kada poslani upit s nizom znakova sadrži okrugle zagrade. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni nedostaci programskog paketa cups
Otkriveni su sigurnosni nedostaci u programskom paketu cups. Otkriveni nedostaci potencijalnim napadačima omogućuju stjecanje uvećanih ovlasti, čitanje proizvoljnih datoteka putem napada simboličkim linkom te druge manipulacije s datotekama zbog neispravno postavljenih dozvola. Svim korisnicima savjetuje se nadogradnja.
Nadogradnja za firefox i thunderbid
Izdana je nadogradnja za otklanjanje više ranjivosti kod paketa firefox i thunderbird za openSUSE 11.4. Otkrivene ranjivosti mogle su biti iskorištene za podvaljivanje lažnog SSL poslužitelja izvođenjem MitM napada, uskraćivanje usluge te izvršavanje proizvoljnog programskog koda. Savjetuje se žurno ažuriranje paketa novom inačicom, 24.7.0.
Nadogradnja za MozillaFirefox
Izdana je nadogradnja za otklanjanje više ranjivosti paketa MozillaFirefox za openSUSE 12.3 i 13.1. Otkrivene ranjivosti mogle su biti iskorištene za uskraćivanje usluge, izvršavanje proizvoljnog programskog koda, sprječavanje korištenja važećih SSL certifikata u određenih okolnostima te provođenje XSS napada. Savjetuje se žurno ažuriranje paketa novom inačicom, 31.0.
Sigurnosni propusti programskih paketa tomcat6 i tomcat7
Otkriveni su sigurnosni propusti u programskom paketu tomcat za operacijski sustav Ubuntu 10.04 LTS, 12.04 LTS i 14.04 LTS. Dva su propusta posljedica cjelobrojnog prepisivanja, a treći nepravilnog ograničavanja XSLT stylesheetova, što potencijalnim napadačima omogućuje izazivanje gubitka usluge, provođenje napada krijumčarenjem HTTP zahtjeva (eng. HTTP request smuggling attack) ili čitanje proizvoljnih datoteka. Svim korisnicima savjetuje se nadogradnja.
Sigurnosni nedostaci programskog paketa ppc64-diag
Otkriveni su sigurnosni nedostaci u programskom paketu ppc64-diag. Otkriveni nedostaci potencijalnim napadačima omogućuju čitanje osjetljivih informacija iz datoteke /tmp/diagSEsnap/snapH.tar.gz te izmjenu sadržaja proizvoljnih datoteka. Svim korisnicima savjetuje se nadogradnja.