Отчет по уязвимостям с 14 по 20 апреля
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1894
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1936
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1497
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1098
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1667
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Отчет по уязвимостям с 14 по 20 апреля

Статьи / Отчет по уязвимостям с 14 по 20 апреля

Автор: Андрей Бирюков

Еженедельный отчет содержит описания восьми уязвимостей в том числе и множественных в наиболее распространенных приложениях и операционных системах.

 


 
   
  
  
   
   
  
 

    Отчет по уязвимостям с 14 по 20 апреля
   

   

Еженедельный отчет содержит описания восьми
    уязвимостей в том числе и множественных в наиболее распространенных приложениях
    и операционных системах.


   

 

 


 

MySQL Enterprise Backup 3.x


 

Из-за ошибки проверки границ данных при обработке
  расширения TLS. Удаленный пользователь может раскрыть содержимое памяти
  подключенного клиента или сервера. Уязвимость позволяет
  удаленному пользователю получить доступ к определенной конфиденциальной
  информации.  


 

Ссылка на сайт разработчика:  


 

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html


 

Версии:  MySQL
  Enterprise Backup 3.10.0, возможно более ранние версии  


 

Опасность: высокая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0160


 

Решение: Установить обновление с
  сайта производителя. 


 

 

 


 

  WinSCP


 

Из-за
  ошибки проверки границ данных при обработке расширения TLS. Удаленный
  пользователь может раскрыть содержимое памяти подключенного клиента или
  сервера. Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации..


 

Ссылка на сайт разработчика: 


 

http://winscp.net/eng/docs/history#5.5.3


 

 


 

Версии: WinSCP 5.x.


 

 


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0160


 

Решение: Установить обновление с сайта производителя.


 

 Sun Solaris


 

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  вызвать отказ в обслуживании и локальному получить доступ к определенной
  конфиденциальной информации, вызвать отказ в обслуживании.


 

1.
  Уязвимость существует из-за ошибки в подкомпоненте Name Service Cache Daemon
  (NSCD). Удаленный пользователь может вызвать отказ в обслуживании приложения.


 

 


 

2.
  Уязвимость существует из-за ошибки в подкомпоненте Kernel. Локальный
  пользователь может вызвать зависание или цикличное аварийное завершение
  работы приложения.


 

 


 

3.
  Уязвимость существует из-за ошибки в подкомпоненте Java Web Console.
  Удаленный пользователь может манипулировать важными данными обновить,
  вставить или удалить.  


 

Ссылка на сайт разработчика:  


 

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html#AppendixSUNS     


 

http://www.oracle.com/technetwork/topics/security/cpujan2014verbose-1972951.html#SUNS


 

Версии: Sun Solaris 10.x, возможно более ранние
  версии


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE:    CVE-2013-5821


 

CVE-2013-5872


 

CVE-2013-5876


 

CVE-2014-0390


 

Решение: Установить обновления с сайта
  производителя.


 

 


 

 

Oracle Data Integrator


 

Уязвимость позволяет удаленному пользователю вызвать отказ в
  обслуживании приложения.


 

 


 

1. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

2. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

3. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

4. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

5. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.  


 

 


 

Ссылки на сайт разработчика: 


 

http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html#AppendixFMW


 

 


 

Версии: Oracle Data Integrator 11.1.1.3.0, возможно более ранние версии


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-2407


 

CVE-2014-2415


 

CVE-2014-2416


 

CVE-2014-2417


 

CVE-2014-2418


 

Решение: Установить обновления с сайта
  производителя.  


 

 

 


 

Intel


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации. 


 

Ссылки на сайт разработчика:    


 

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00037&languageid=en-fr
 

  http://blogs.intel.com/application-security/2014/04/10/intelr-expressway-service-gateway-heartbleed-security-update/


 

 


 

Версии:  Intel AMT Software Development Kit (SDK) 10.0.0.18


 

Intel Setup and Configuration Software (SCS)
  9.1.0.123


 

Intel Expressway Service Gateway R3.4, R4.5, R5.1,
  R5.5 и R6.1


 

Intel Expressway Tokenization Broker R3.4, R4.5,
  R5.1, R5.5 и R6.1


 

Intel Cache Acceleration Software 2.5.1, возможно
  более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее обновление с сайта производителя    


 

 


 

PHP


 

Уязвимость
  позволяет удаленному пользователю выполнить произвольный код на целевой
  системе.


 

Уязвимость
  существует из-за ошибки в файле ext/xml/xml.c при обработке данных XML.
  Удаленный пользователь может вызвать переполнение буфера памяти.  


 

Ссылки на сайт разработчика:    


 

https://bugs.php.net/bug.php?id=65236
 

  http://www.php.net/ChangeLog-5.php#5.3.27
 

  http://php.net/archive/2013.php#id2013-07-18-1


 

Версии: PHP
  5.3.x, PHP 5.5.x, возможно более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-4113


 

Решение: Установить соответствующее обновление с сайта производителя  


 

 


 

Metasploit Framework


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации.   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Metasploit Framework 4.x, возможно более
  ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

Oracle Java


 

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  получить доступ к определенной конфиденциальной информации, вызвать отказ в
  обслуживании, выполнить произвольный код на целевой системе и локальный
  пользователь может манипулировать важными данными.


 

1. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

2. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

3. Уязвимость
  существует из-за ошибки в подкомпоненте Hotspot при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

4. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

5. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

6. Уязвимость существует
  из-за ошибки в подкомпоненте Hotspot при развертывании клиента. Удаленный
  пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

7. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

8. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

9. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

10. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

11. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

12. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

13. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

14. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

15. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные
  данные и вызвать отказ в обслуживании приложения.


 

16. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

17. Уязвимость
  существует из-за ошибки в подкомпоненте JAXB при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

18. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

19. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

20. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

21. Уязвимость
  существует из-за ошибки в подкомпоненте Sound при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

22. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

23. Уязвимость существует из-за ошибки в подкомпоненте Deployment при развертывании клиента. Удаленный пользователь может с помощью ненадежных приложений Java Web Start и ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные данные и вызвать отказ в обслуживании приложения.


 

24. Уязвимость
  существует из-за ошибки в подкомпоненте JNDI при развертывании клиента и
  сервера. Удаленный пользователь может раскрыть, обновить, вставить или
  удалить определенные данные и вызвать отказ в обслуживании приложения.


 

25. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

26. Уязвимость
  существует из-за ошибки в подкомпоненте JAXP при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

27. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

28. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

29. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

30. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java и вызвать отказ в обслуживании приложения.


 

31. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные.


 

32. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

33. Уязвимость
  существует из-за ошибки в подкомпоненте Javadoc при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

34. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера связанных с unpack200.Удаленный пользователь может раскрыть,
  обновить, вставить или удалить определенные данные и вызвать отказ в
  обслуживании приложения.


 

35. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные..   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Oracle Java JDK 1.5.x / 5.x


 

Oracle Java JDK 1.6.x / 6.x


 

Oracle Java JDK 1.7.x / 7.x


 

Oracle Java JDK 1.8.x / 8.x


 

Oracle Java JRE 1.5.x / 5.x


 

Oracle Java JRE 1.6.x / 6.x


 

Oracle Java JRE 1.7.x / 7.x


 

Oracle
  Java JRE 1.8.x / 8.x, возможно более ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-6629


 

CVE-2013-6954


 

CVE-2014-0429


 

CVE-2014-0432


 

CVE-2014-0446


 

CVE-2014-0448


 

CVE-2014-0449


 

CVE-2014-0451


 

CVE-2014-0452


 

CVE-2014-0453


 

CVE-2014-0454


 

CVE-2014-0455


 

CVE-2014-0456


 

CVE-2014-0457


 

CVE-2014-0458


 

CVE-2014-0459


 

CVE-2014-0460


 

CVE-2014-0461


 

CVE-2014-0463


 

CVE-2014-0464


 

CVE-2014-1876


 

CVE-2014-2397


 

CVE-2014-2398


 

CVE-2014-2401


 

CVE-2014-2402


 

CVE-2014-2403


 

CVE-2014-2409


 

CVE-2014-2410


 

CVE-2014-2412


 

CVE-2014-2413


 

CVE-2014-2414


 

CVE-2014-2420


 

CVE-2014-2421


 

CVE-2014-2422


 

CVE-2014-2423


 

CVE-2014-2427


 

CVE-2014-2428


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

 


 

Использованные
  источники:


 

  1.   Securitytracker.com

  2.   Securitylab.ru

 
 

 


 

 


 

 


 

 


 

 


 

 


 



 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru