Kod programskog paketa Wordpress-MU, distribuiranog s operacijskim sustavima Fedora 13 i 14, otkrivena su dva nova propusta. Riječ je o izvedenici iz alata WordPress, namijenjenog upravljanju internetskim dnevnicima (eng. blog). Propusti se javljaju zbog pogreške u funkciji "do_trackbacks()" [wp-includes/comment.php] te zbog omogućavanja ovlaštenim korisnicima čitanje određenih postova drugih autora. Spomenuti propusti mogu dovesti do otkrivanja osjetljivih podataka te pokretanja proizvoljnih SQL naredbi. Svim se korisnicima savjetuje nadogradnja.

U radu programskog paketa evince uočeno je nekoliko sigurnosnih propusta. Evince je jednostavan preglednik dokumenata koji prepoznaje PDF, PostScript, djvu, tiff i dvi formate. Sigurnosni propusti se javljaju zbog niza pogrešaka u funkcijama "pk_load_font()", "vf_load_font()", "token()" i "tfm_load_file()". Sposobni napadač može iskoristiti spomenute ranjivosti za pokretanje proizvoljnog programskog koda i izvođenje napada uskraćivanja usluge. Zlouporaba uključuje navođenje korisnika na otvaranje zlonamjerno oblikovane DVI datoteke. Svim se korisnicima ranjivog paketa preporuča instalacija novih inačica.

Kod programskog paketa Wireshark, distribuiranog s operacijskim sustavom Mandriva, otkriven je sigurnosni nedostatak. Nedostatak se javlja zbog pojave prepisivanja međuspremnika u datoteci "epan/dissectors/packet-enttec.c". Udaljeni napadač može iskoristiti propust za rušenje ranjivog sustava (eng. Denial of Service) ili pokretanje proizvoljnog programskog koda. Zlouporaba uključuje podmetanje zlonamjerno oblikovanih ENTTEC DMX paketa. Svi se korisnici upućuju na korištenje dostupne nadogradnje.

Otklonjen je propust u radu programskog paketa Phenotype CMS. Radi se o aplikaciji namijenjenoj za jednostavno dodavanje, mijenjanje i brisanje sadržaja na web stranicama. Uočena ranjivost javlja se kao posljedica neispravne provjere ulaznih podatka prije korištenja u SQL upitima. Riječ je o podacima koji su predani preko funkcije "store()" datoteci "_phenotype/system/class/PhenoTypeDataObject.class.php". Potencijalni napadači navedenu nepravilnost mogu iskoristiti za upravljanje SQL upitima umetanjem proizvoljnog SQL koda. Zasad nije objavljena zakrpa.

Kod programskog paketa pyfribidi, distribuiranog s operacijskim sustavom Fedora 14, otkriven je novi sigurnosni propust. Riječ je o Phyton dodatku za FriBidi, a služi za implementaciju Unicode Bidirectional algoritma. Pogreška se javlja zbog pojave prepisivanja međuspremnika u funkciji "log2vis_utf8()", a nastaje kod obrade UTF-8 niza znakova koje vraća funkcija "fribidi_unicode_to_utf8()". Posljedica spomenutog problema je mogućnost pokretanja DoS napada. Korisnicima se savjetuje primjena odgovarajuće nadogradnje.

Idi na vrh