Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Наука и технологии
	Подписка
	Где купить
	Авторам
	Рекламодателям
	Архив номеров
	Контакты

Опросы

Статьи

Электронный документооборот

5 способов повысить безопасность электронной подписи

Область применения технологий электронной подписи с каждым годом расширяется. Все больше задач

Рынок труда

Системные администраторы по-прежнему востребованы и незаменимы

Системные администраторы, практически, есть везде. Порой их не видно и не слышно,

Учебные центры

Карьерные мечты нужно воплощать! А мы поможем

Школа Bell Integrator открывает свои двери для всех, кто хочет освоить перспективную

Гость номера

Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»

Использование мобильных устройств растет. А вместе с ними быстро растет количество мобильных

Прошу слова

Твердая рука в бархатной перчатке: принципы soft skills

Лауреат Нобелевской премии, специалист по рынку труда, профессор Лондонской школы экономики Кристофер

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Потоковая обработка данных

19.03.2018г.

Комментарии: 0

Релевантный поиск с использованием Elasticsearch и Solr

19.03.2018г.

Комментарии: 0

Конкурентное программирование на SCALA

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

Друзья сайта

Отчет по уязвимостям с 15 апреля по 22 апреля

Статьи / Отчет по уязвимостям с 15 апреля по 22 апреля

Автор: Андрей Бирюков

Еженедельный отчет содержит описания шести уязвимостей, в том числе и множественных в наиболее распространенных приложениях.

Отчет по уязвимостям с 15 апреля по 22 апреля

Linksys EA2700

Уязвимость в устройстве позволяет удаленному пользователю произвести XSS нападение. Из-за того, что приложение не правильно ограничивает доступ к сценарию /apply.cgi. Удаленный пользователь может манипулировать защищенными настройками устройства. Уязвимость существует из-за недостаточной обработки входных данных в параметре "submit_button" в сценарии /apply.cgi. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Также, уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить настройки устройства .

Ссылка на сайт разработчика: https://superevr.com/blog/2013/dont-use-linksys-routers/

Версии: Linksys EA2700 прошивка версии 1.0.12.128947, возможно более ранние версии.

Опасность: высокая

Операционные системы:

ID в базе CVE:

Решение: Способов устранения уязвимости не существует в настоящее время..

Apple Safari

Уязвимость в браузере позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки путаницы типа в WebKit. Удаленный пользователь может обойти песочницу и выполнить произвольный код на целевой системе

Ссылка на сайт разработчика:

http://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/

Версии: Google Chrome 25.x

Опасность: критическая

Операционные системы:

ID в базе CVE:

CVE-2013-0912

Решение: Установить обновление с сайта производителя.

Oracle Java

Множественные уязвимости обнаружены в Oracle Java. Подробное описание 42 уязвимостей можно найти в статье http://www.securitylab.ru/vulnerability/439638.php .

Ссылка на сайт разработчика:

Java Web Start Launcher ActiveX Control - Memory Corruption Exploit
http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html

Версии: Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x

Опасность: критическая

Операционные системы:

ID в базе CVE: CVE-2013-0401
CVE-2013-0402
CVE-2013-1488
CVE-2013-1491
CVE-2013-1518
CVE-2013-1537
CVE-2013-1540
CVE-2013-1557
CVE-2013-1558
CVE-2013-1561
CVE-2013-1563
CVE-2013-1564

CVE-2013-1569
CVE-2013-2383
CVE-2013-2384
CVE-2013-2394
CVE-2013-2414
CVE-2013-2415
CVE-2013-2416
CVE-2013-2417
CVE-2013-2418
CVE-2013-2419
CVE-2013-2420
CVE-2013-2421
CVE-2013-2422
CVE-2013-2423
CVE-2013-2424
CVE-2013-2425
CVE-2013-2426
CVE-2013-2427
CVE-2013-2428
CVE-2013-2429
CVE-2013-2430
CVE-2013-2431
CVE-2013-2432
CVE-2013-2433
CVE-2013-2434
CVE-2013-2435
CVE-2013-2436
CVE-2013-2438
CVE-2013-2439
CVE-2013-2440

Решение: Установить обновления с сайта производителя.

Chrome OS

Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за остатка неинициализированной памяти в буфере в плагине O3D. Удаленный пользователь может обойти ограничения безопасности на целевой системе.

2. Уязвимость существует из-за ошибки использования после освобождения в плагине O3D. Удаленный пользователь может выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки обхода ограничения единства происхождения в плагинах O3D и Google Talk. Удаленный пользователь может выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки обхода ограничения единства происхождения в плагинах O3D и Google Talk. Удаленный пользователь может выполнить произвольный код на целевой системе

Ссылки на сайт разработчика:

http://googlechromereleases.blogspot.com/2013/04/stable-channel-update-for-chrome-os.html.

Версии: Chrome OS версий до 26.0.1410.57 (платформы версии: 3701.81.2)

Опасность: высокая

Операционные системы: Chrome OS

ID в базе CVE:

CVE-2013-2832
CVE-2013-2833
CVE-2013-2834
CVE-2013-2835

Решение: Установить обновления с сайта производителя.

Cisco NAC

Уязвимость существует из-за недостаточной обработки входных данных в Cisco NAC Manager. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Ссылки на сайт разработчика:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130417-nac.

Версии: Cisco NAC Appliance версии до 4.9.2
Cisco NAC Appliance версии до 4.8.3.1

Опасность: высокая

Операционные системы:

ID в базе CVE:

CVE-2013-1177

Решение: Установить обновления с сайта производителя.

Oracle Database Server

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за неизвестной ошибки в компоненте Workload Manager. Удаленный пользователь может выполнить произвольный код на системе

Примечание: Для успешной эксплуатации уязвимости необходимо использование конфигурации RAC. 2. Уязвимость существует из-за ошибки в компоненте Network Layer. Удаленный пользователь может осуществить DoS атаку.

3. Уязвимость существует из-за ошибки в компоненте Network Layer. Удаленный пользователь может осуществить DoS атаку.

Ссылки на сайт разработчика:

http://www.oracle.com/us/products/database/overview/index.html?origref=http://secunia.com/advisories/product/3387/

Версии: Oracle Database 11g Release 2 11.2.0.2, возможно другие версии.
Oracle Database 11g Release 2 11.2.0.3, возможно другие версии.
Oracle Database 11g Release 1 11.1.0.7, возможно другие версии.
Oracle Database 10g Release 2 10.2.0.4, возможно другие версии.
Oracle Database 10g Release 2 10.2.0.5, возможно другие версии.

Опасность: высокая

Операционные системы:

ID в базе CVE:

CVE-2013-1534
CVE-2013-1538
CVE-2013-1554

Решение: Установить обновления с сайта производителя.

Использованные источники:

Securitytracker.com
Securitylab.ru

Комментарии отсутствуют

Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru