Otkriveni su sigurnosni nedostaci u programskom paketu emacs za Fedoru 20. Otkriveni nedostaci su posljedica neispravnog rukovanja s privremenim datotekama što potencijalnim napadačima omogućuje izvođenje napada simboličkim linkom. Svim korisnicima savjetuje se nadogradnja.
Month: svibanj 2014
Nadogradnja za IBM Java 6
Izdana je nadogradnja koja otklanja mnogobrojne ranjivosti u radu programskog paketa IBM Java 6 za SUSE LE Server 10 i 11. Ranjivosti su uzrokovane nedefiniranim greškama u raznim podkomponentama poput JNDI, Libraries, JAX-WS Deployment, Security i dr. Potencijalna zlouporaba ranjivosti može dovesti do narušavanja tajnosti, integriteta i dostupnosti podataka, a udaljenim nepovjerljivim Java Web Start aplikacijama i Java apletima omogućuje otkrivanje povjerljivih informacija, manipuliranje pojedinim podacima, onemogućavanje rada usluge i sl. Savjetuje se žurna primjena izdane nadogradnje.
Nadogradnja za IBM Java 7
Izdana je nadogradnja koja otklanja mnogobrojne ranjivosti u radu programskog paketa IBM Java 7 za SUSE LE Server 11. Ranjivosti su uzrokovane nedefiniranim greškama u raznim podkomponentama poput JNDI, Libraries, JAX-WS Deployment, Security i dr. Potencijalna zlouporaba ranjivosti može dovesti do narušavanja tajnosti, integriteta i dostupnosti podataka, a udaljenim nepovjerljivim Java Web Start aplikacijama i Java apletima omogućuje otkrivanje povjerljivih informacija, manipuliranje pojedinim podacima, onemogućavanje rada usluge i sl. Savjetuje se žurna primjena izdane nadogradnje.
Sigurnosni propust programskog paketa openstack-keystone
Otriven je sigurnosni propust paketa openstack-keystone za RHEL OpenStack Platform 4.0. Propust je uzrokovan greškom u memcache token backendu, a mogao je biti iskorišten za zaobilaženje namijenjenih pristupnih ograničenja zbog nemogućnosti provjeravanja poništenih tokena. Savjetuje se ažuriranje izdanim zakrpama.
Sigurnosni propusti programskog paketa openstack-heat-templates
Ustanovljeni su i ispravljeni propusti u programskom paketu openstack-heat-templates za RHEL OpenStack Platform 4.0. Prvi propust isticao se nesigurnim korištenjem HTTP-a za preuzmanje paketa i potpisanih ključeva preko alata Yum. Preostala dva propusta uzrokovana su isključenjem SSL zaštite za razne Yum repozitorije te provjere GPG potpisa paketa preko Yuma. MitM (man-in-the-middle) napadi mogu onemogućiti nužne instalacije sigurnosnih nadogradnji i proizvoljnih paketa na sustav. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni propust programskog paketa openstack-nova
Otkriven je sigurnosni propust programskog paketa openstack-nova za RHEL OpenStack Platform 4.0. Problem se nalazio u modu “instance rescue” koji je omogućavao udaljenim autenticiranim korisnicima čitanje određenih datoteka host računala prepisivanjem diska instance posebno oblikovanom slikom sustava i to, kada se koristi libvirt za razvoj slike sustava zajedno s postavkom “use_cow_images = False”. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni propusti programskog paketa openstack-neutron
Otkrivena su dva sigurnosna propusta u programskom paketu openstack-neutron za RHEL OpenStack Platform 4.0. Prvi propust očitovao se neprovjeravanjem id-a tenant grupe l3-agenta prilikom kreiranja portova, što udaljenim autenticiranim korisnicima omogućava uključenje portova na usmjerivačima proizvoljnih tenanta. Drugi propust očitovao se neispravnim specificiranjem konfiguracijske datoteke za rootwrap inicijalnom sudo konfiguracijom i tako potencijalno omogućavajući neautenticiranom korisniku povišenje privilegija. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni propust programskog paketa openstack-foreman-installer
Otkriven je sigurnosni propust programskog paketa openstack-foreman-installer za RHEL OpenStack Platform 4.0. Qpid konfiguracija koju kreira openstack-foreman-installer nije imala uključenu autentikaciju prilikom pokretanja inicijalnih postavki u “standalone” modu. Napadač ovaj propust može iskoristiti za pristupanje OpenStack backendu. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni nedostatak programskog paketa python-django-horizon
Otkriven je sigurnosni nedostatak u programskom paketu python-django-horizon za Red Hat Enterprise Linux OpenStack Platform 4.0. Otkriveni nedostatak je posljedica XSS ranjivosti. Potencijalnim napadačima omogućuje umetanje proizvoljnog skriptnog i HTML koda putem opisnog polja Heat predloška. Svim korisnicima savjetuje se nadogradnja.
Sigurnosni nedostaci programskog paketa moodle
Otkriveni su sigurnosni nedostaci u programskom paketu moodle. Otkriveni nedostaci potencijalnim napadačima omogućuju izvođenje CSRF napada, krađu sesije, uvid u osjetljive podatke i izvođenje XSS napada. Svim korisnicima savjetuje se nadogradnja.