U radu programskog paketa phpMyAdmin uočene su višestruke ranjivosti. PhpMyAdmin je paket namijenjen administraciji MySQL baze podataka putem web sučelja. Nedostaci se pojavljuju zbog pogreške u datotekama "error.php" i "phpinfo.php". Napadač može izvesti XSS napad podmetanjem zlonamjerno oblikovane BBcode oznake ili slanjem posebno oblikovanog zahtjeva zaobići postavljena sigurnosna ograničenja te tako doći u posjed osjetljivih informacija. Korisnicima se savjetuje instalacija dostupnih novih inačica koje sadrže ispravke opisanih ranjivosti.

Kod programskog paketa gif2png uočena je sigurnosna nepravilnost. Spomenuti paket je terminalnog tipa, a namijenjen je pretvorbi slikovne datoteke formata Graphics Interchange Format (GIF) u Portable Network Graphics (PNG), bez gubitka informacija. Prilikom provjere pojedinih argumenata dolazi do prepisivanja spremnika stoga. Udaljeni napadač može iskoristiti propust za pokretanje proizvoljnog programskog koda ili izvođenje DoS napada, ukoliko korisniku podmetne posebno oblikovanu slikovnu datoteku. Korisnicima ranjivog paketa savjetuje se primjena dostupne programske nadogradnje.

U radu programskog paketa libapache2-mod-fcgid uočeni su sigurnosni propusti. Spomenuti paket je alternativa odličnih performansi paketima mod_cgi i mod_cgid, koja koristi velik broj instanci CGI programa za obradu zahtjeva. Nepravilnost je uočena u funkciji "apr_status_t fcgid_header_bucket_read" datoteke "fcgid_bucket.c" pri čemu dolazi do pojave prepisivanja spremnika stoga. Prilikom pokretanja nepovjerljive FCGI aplikacije može doći do rušenja poslužitelja, a u ekstremnim situacijama i izvođenja proizvoljnog programskog koda. Dostupna programska nadogradnja savjetuje se na korištenje.

U radu programskog paketa OpenSSL, namijenjenog Debian distribucijama, uočene su dvije sigurnosne ranjivosti. OpenSSL je implementacija otvorenog koda protokola Secure Sockets Layer (SSL v2/v3) i Transport Layer Security (TLS v1). Uočene nepravilnosti se odnose na propuste u radu TLS i SSLv3 protokola. Ukoliko napadač uspješno izvrši MITM (eng. man-in-the-middle) napad, može umetnuti proizvoljan sadržaj na početak korisničke sjednice. Ostale ranjivosti odnose se na mogućnost zaobilaženja postavljenih sigurnosnih ograničenja. Ispravke opisanih nedostataka dostupne su u novim inačicama paketa.

Objavljena je revizija sigurnosne preporuke s oznakom DSA-2141-2, vezana uz programski paket NSS, a prvotno objavljene 6. siječnja 2011. Izvorna obavijest opisuje nepravilnosti vezane uz implementaciju TLS i SSLv3 protokola zbog kojih napadač može izvesti MITM napad. Uspješno izvođenje napada rezultira dodavanjem proizvoljnih podataka na početak korisničke sjednice. Revizija je objavljena zbog novih inačica koje podržavaju ponovno uspostavljenje sjednice s RFC5746 dodatkom te utjecaja na Network Security Services (NSS) programski paket kod kojeg određene varijable okruženja omogućuju nastavak rada klijenta s osjetljivim poslužiteljem. Nove inačice su dostupne na korištenje.

Idi na vrh