Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Dziury minionego tygodnia (tydz. 46)

Dziury minionego tygodnia (tydz. 46)

Podsumowanie najpoważniejszych dziur z tego tygodnia - eGroupWare 1.x, Novell NetMail 3.x, SCO OpenServer, WinMail Server 4.x, Mambo 4.x, Revize CMS 4.x, CheckPoint, PHPgroupware 0.x, OnContent CMS, Nortel, OpenS/WAN 2.x, Cisco, SuSE, Juniper, SecGo, StoneGate, Solaris.

Podsumowanie najpoważniejszych dziur z tego tygodnia. Tego rodzaju zestawienia planujemy wydawać co piątek.

1. eGroupWare 1.x - błędy w modułach phpsysinfo i FUD Forum (opis poniżej)

2. Novell NetMail 3.x - przepełnienie bufora, dostępne poprawki (SA17641)

3. SCO OpenServer - szereg krytycznych błędów, dostępne poprawki (SA17645)

4. WinMail Server 4.x - szereg poważnych błędów zdalnych (SA16665)

5. Mambo 4.x - poważny błąd związany z obsługą register_globals (SA17622)

6. Revize CMS 4.x - poważne błędy XSS i SQL injection (SA17623)

8. PHPgroupware 0.x - trzy błędy zbliżone do tych z eGroupWare (SA17570,Debian DSA-898)

9. OnContent CMS - błędy SQL injection (SA17596)

10. SuSE Linux - poprawki na szereg błędów, część krytycznych (SA17559, SuSE)

11. Nortel CallPilot - szereg krytycznych błędów pozwalających na podniesienie przywilejów w systemie(SA17509

Dziury w implementacjach ISAKMP

W minionym tygodniu opublikowane zostało kilkanaście informacji o podobnych błędach w różnych implementacjach IKE/ISAKMP, które zostały ujawnione w wyniku testów prowadzonych przez badaczy z uniwersytetu w Oulu (Finlandia).

We wszystkich przypadkach wykorzystanie błędu może służyć do przeprowadzenia ataku DoS.

1. Juniper JunOS (SA17568)

2. SecGo Crypto (SA17567)

3. StoneGate Firewall/VPN (SA17566)

4. CheckPoint FireWall/VPN NG/NGX (SA17621)

5. Nortel Switched Firewall 5000, 5100, 6000 (SA17608

6. Cisco IOS, PIX, VPN, SAN (SA17553)

7. OpenS/WAN 2.x (SA17581)

8. Sun/Solaris ISAKMP in.iked (SA17554)

eGroupWare

Cztery nowe błędy zostały odkryte w eGroupWare (PHP). Trzy z nich dotyczą modułu phpsysinfo (XSS, HTTP Response Splitting, jeden FUD Forum (XSS).

Błędy umożliwiają m.in. czytanie cudzych, prywatnych postów, wykonywanie nieautoryzowanych plików oraz ataki na innych użytkowników serwisu.

Problemy zostały załatane w Debianie (DSA-899-1), użytkownicy innych dystrybucji powinni sprawdzić na swoich stronach z aktualizacjami. Błędy można również obejść wyłączając dostęp do dziurawych modułów.

Brak informacji o sposobie ręcznego załatania dziur ze strony autorów eGroupWare ponieważ w momencie publikacji tej informacji strona www.egroupware.org nie działała poprawnie.

Szczegóły: http://secunia.com/advisories/17620/
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas