Отчет по уязвимостям с 15 апреля по 22 апреля
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 4293
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 5619
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 6853
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 7253
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 6326
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Отчет по уязвимостям с 15 апреля по 22 апреля

Статьи / Отчет по уязвимостям с 15 апреля по 22 апреля

Автор: Андрей Бирюков

Еженедельный отчет содержит описания шести уязвимостей, в том числе и множественных в наиболее распространенных приложениях.

 

Отчет по уязвимостям с 15 апреля по 22 апреля

Еженедельный отчет содержит описания шести уязвимостей, в том числе и множественных в наиболее распространенных приложениях.

 

Linksys EA2700

Уязвимость в устройстве позволяет удаленному пользователю произвести XSS нападение. Из-за того, что приложение не правильно ограничивает доступ к сценарию /apply.cgi. Удаленный пользователь может манипулировать защищенными настройками устройства. Уязвимость существует из-за недостаточной обработки входных данных в параметре "submit_button" в сценарии /apply.cgi. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Также, уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить настройки устройства .

Ссылка на сайт разработчика:  https://superevr.com/blog/2013/dont-use-linksys-routers/

Версии:  Linksys EA2700 прошивка версии 1.0.12.128947, возможно более ранние версии.  

Опасность: высокая

Операционные системы:  

ID в базе CVE:

   

 

Решение: Способов устранения уязвимости не существует в настоящее время..

 

 Apple Safari

Уязвимость в браузере позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки путаницы типа в WebKit. Удаленный пользователь может обойти песочницу и выполнить произвольный код на целевой системе

.

Ссылка на сайт разработчика: 

http://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/   

 Версии: Google Chrome 25.x

 

Опасность: критическая

Операционные системы: 

ID в базе CVE: 

CVE-2013-0912

 

Решение: Установить обновление с сайта производителя.

 Oracle Java

Множественные уязвимости обнаружены в Oracle Java. Подробное описание 42 уязвимостей можно найти в статье http://www.securitylab.ru/vulnerability/439638.php .

Ссылка на сайт разработчика:  

Java Web Start Launcher ActiveX Control - Memory Corruption Exploit
http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html       

Версии: Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x    

Опасность: критическая

Операционные системы: 

ID в базе CVE:    CVE-2013-0401
CVE-2013-0402
CVE-2013-1488
CVE-2013-1491
CVE-2013-1518
CVE-2013-1537
CVE-2013-1540
CVE-2013-1557
CVE-2013-1558
CVE-2013-1561
CVE-2013-1563
CVE-2013-1564

CVE-2013-1569
CVE-2013-2383
CVE-2013-2384
CVE-2013-2394
CVE-2013-2414
CVE-2013-2415
CVE-2013-2416
CVE-2013-2417
CVE-2013-2418
CVE-2013-2419
CVE-2013-2420
CVE-2013-2421
CVE-2013-2422
CVE-2013-2423
CVE-2013-2424
CVE-2013-2425
CVE-2013-2426
CVE-2013-2427
CVE-2013-2428
CVE-2013-2429
CVE-2013-2430
CVE-2013-2431
CVE-2013-2432
CVE-2013-2433
CVE-2013-2434
CVE-2013-2435
CVE-2013-2436
CVE-2013-2438
CVE-2013-2439
CVE-2013-2440

 

Решение: Установить обновления с сайта производителя.

 

Chrome OS

Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за остатка неинициализированной памяти в буфере в плагине O3D. Удаленный пользователь может обойти ограничения безопасности на целевой системе.

2. Уязвимость существует из-за ошибки использования после освобождения в плагине O3D. Удаленный пользователь может выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки обхода ограничения единства происхождения в плагинах O3D и Google Talk. Удаленный пользователь может выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки обхода ограничения единства происхождения в плагинах O3D и Google Talk. Удаленный пользователь может выполнить произвольный код на целевой системе

.

Ссылки на сайт разработчика: 

http://googlechromereleases.blogspot.com/2013/04/stable-channel-update-for-chrome-os.html.  

 

Версии: Chrome OS версий до 26.0.1410.57 (платформы версии: 3701.81.2)

Опасность: высокая

Операционные системы:  Chrome OS

 

ID в базе CVE: 

 

CVE-2013-2832
CVE-2013-2833
CVE-2013-2834
CVE-2013-2835

 

Решение: Установить обновления с сайта производителя.  

 

Cisco NAC

Уязвимость существует из-за недостаточной обработки входных данных в Cisco NAC Manager. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

.

Ссылки на сайт разработчика: 

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130417-nac.  

 

Версии: Cisco NAC Appliance версии до 4.9.2
Cisco NAC Appliance версии до 4.8.3.1

Опасность: высокая

Операционные системы: 

 

ID в базе CVE: 

 

CVE-2013-1177

 

Решение: Установить обновления с сайта производителя.  

 

Oracle Database Server

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки в компоненте Workload Manager. Удаленный пользователь может выполнить произвольный код на системе

Примечание: Для успешной эксплуатации уязвимости необходимо использование конфигурации RAC. 2. Уязвимость существует из-за ошибки в компоненте Network Layer. Удаленный пользователь может осуществить DoS атаку.

3. Уязвимость существует из-за ошибки в компоненте Network Layer. Удаленный пользователь может осуществить DoS атаку.

.

Ссылки на сайт разработчика: 

http://www.oracle.com/us/products/database/overview/index.html?origref=http://secunia.com/advisories/product/3387/  

 

Версии: Oracle Database 11g Release 2 11.2.0.2, возможно другие версии.
Oracle Database 11g Release 2 11.2.0.3, возможно другие версии.
Oracle Database 11g Release 1 11.1.0.7, возможно другие версии.
Oracle Database 10g Release 2 10.2.0.4, возможно другие версии.
Oracle Database 10g Release 2 10.2.0.5, возможно другие версии.

Опасность: высокая

Операционные системы: 

 

ID в базе CVE: 

 

CVE-2013-1534
CVE-2013-1538
CVE-2013-1554

 

Решение: Установить обновления с сайта производителя.  

 

 

Использованные источники:

  1. Securitytracker.com
  2. Securitylab.ru

 

 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru