Otkrivena je ranjivost u implementaciji “mail” naredbe – mailx, za RHEL 6 i 7. Ranjivost se očitovala načinom kojim je mailx upravljao parsiranjem email adresama, odnosno mailx sa sintaktički važećim email adresama postupa kao shell naredbama za izvršavanje. Preporuča se ažuriranje paketa izdanim zakrpama i čitanje izvorne preporuke.
Preporuke
Ranjivosti programskog paketa heirloom-mailx
Otkrivene su dvije ranjivosti u implementaciji “mail” naredbe – heirloom-mailx, za Debian. Prva ranjivost posljedica je interpretiranja shell meta znakova u određenim e-mail adresama, a druga postojanja nedokumentirane značajke koja sa sintaktički važećim email adresama postupa kao shell naredbama za izvršavanje. Korisnicima kojima je potrebna ta značajka mogu je nanovo omogućiti korištenjem “expandaddr” unutar odgovarajuće datoteke mailrc. Izdana zakrpa ne uklanja sve mailx mogućnosti za izvršavanje naredbe. Preporuča se ažuriranje paketa izdanim zakrpama.
Ranjivost programskog paketa bsd-mailx
Otkrivena je ranjivost u implementaciji “mail” naredbe – bsd-mailx, za Debian. Ranjivost se očitovala načinom kojim je mailx upravljao parsiranjem email adresama, odnosno mailx je imao nedokumentiranu značajku koja sa sintaktički važećim email adresama postupa kao shell naredbama za izvršavanje. Korisnicima kojima je potrebna ta značajka mogu je nanovo omogućiti korištenjem “expandaddr” unutar odgovarajuće datoteke mailrc. Također, izdana zakrpa uklanja zastarjelu opciju -T, no ne i sve mailx mogućnosti za izvršavanje naredbe. Preporuča se ažuriranje paketa izdanim zakrpama.
Sigurnosni nedostaci programskog paketa tcpdump
Otkriveni su sigurnosni nedostaci u programskom paketu tcpdump. Otkriveni nedostaci potencijalnim napadačima omogućuju izvođenje napada uskraćivanjem usluge, izazivanje gubitaka paketa i pokretanje proizvoljnog programskog koda. Svim korisnicima savjetuje se nadogradnja.
Sigurnosni nedostaci programskog paketa mediawiki
Otkriveni su sigurnosni nedostaci u programskom paketu mediawiki. Otkriveni nedostaci potencijalnim napadačima omogućuju izvođenje XSS napada i umetanje proizvoljnog PHP koda. Svim korisnicima savjetuje se nadogradnja.
Sigurnosni nedostatak programskog paketa mediawiki
Otkriven je sigurnosni nedostatak u programskom paketu mediawiki. Otkriveni nedostatak potencijalnim napadačima omogućuje umetanje proizvoljnog PHP koda. Svim korisnicima savjetuje se nadogradnja.
Sigurnosni propust programskog paketa apache-mod_wsgi
Otkriven je sigurnosni propust u Apache modulu mod_wsgi za Mandriva Business Server 1.0. Propust se očitovao nesipravnim upravljanjem greškama kod postavljanja radnog direktorija i pristupnih prava grupe, što može biti iskorišteno za potencijalno povišenje privilegija prilikom korištenja daemon moda. Savjetuje se ažuriranje paketa izdanim zakrpama.
Ranjivosti programskog paketa varnish
Otkrivene su dvije ranjivosti programskog paketa varnish za Gentoo. Prva ranjivost posljedica je korištenja “world-readable” dozvola za direktorij /var/log/varnish/ i log datoteke unutar tog direktorija, što je lokalnim korisnicima omogućavalo pribavljanje osjetljivih informacija čitajući datoteke. Druga ranjivost udaljenim napadačima dozvoljavaja provođenje napada uskraćivanja usluge pomoću GET zahtjeva s pratećim znakovima razmaka (whitespace) i bez URI-a. Savjetuje se ažuriranje paketa izdanim zakrpama.
Sigurnosni propust programskog paketa nss
Ustanovljen je sigurnosni propust u QuickDER dekoderu unutar NSS-a koji se očitovao neosiguravanjem formiranja odgovarajuće duljine enkodirane DER ASN.1 strukture podataka, što je udaljenim napadačima omogućavalo provođenje napada krijumčarenja podataka. Također ova nadogradnja dodaje podršku za značajku TLS Fallback Signaling Cipher Suite Value (TLS_FALLBACK_SCSV), koja se može koristiti za sprječavanje napada degradiranja verzije protokola s obzirom da SSLv3 koristi kriptografski skup algoritama u CBC modu, što MitM napadačima olakšava pribavljanje podataka u čitljivom formatu provođenjem napada poznatijeg pod aliasom “POODLE”. Savjetuje se ažuriranje paketa izdanom nadogradnjom.
Ranjivost programskog paketa firebird
Otkrivena je ranjivost u poslužitelju Firebird za openSUSE uzrokovana pokušajem pristupanja memorijskoj lokaciji kojoj nije dopušten pristup prilikom obrade posebno oblikovanog mrežnog paketa, što za posljedicu ima rušenje poslužitelja. Savjetuje se ažuriranje paketa izdanim zakrpama.



