Отчет по уязвимостям с 14 по 20 апреля

Автор: Андрей Бирюков

MySQL Enterprise Backup 3.x

Из-за ошибки проверки границ данных при обработке
  расширения TLS. Удаленный пользователь может раскрыть содержимое памяти
  подключенного клиента или сервера. Уязвимость позволяет
  удаленному пользователю получить доступ к определенной конфиденциальной
  информации.  

Ссылка на сайт разработчика:  

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html

Версии:  MySQL
  Enterprise Backup 3.10.0, возможно более ранние версии  

Опасность: высокая

Операционные системы: 

ID в базе CVE: CVE-2014-0160

Решение: Установить обновление с
  сайта производителя. 

  WinSCP

Из-за
  ошибки проверки границ данных при обработке расширения TLS. Удаленный
  пользователь может раскрыть содержимое памяти подключенного клиента или
  сервера. Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации..

Ссылка на сайт разработчика: 

http://winscp.net/eng/docs/history#5.5.3

Версии: WinSCP 5.x.

Опасность: критическая

Операционные системы: 

ID в базе CVE: CVE-2014-0160

Решение: Установить обновление с сайта производителя.

 Sun Solaris

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  вызвать отказ в обслуживании и локальному получить доступ к определенной
  конфиденциальной информации, вызвать отказ в обслуживании.

1.
  Уязвимость существует из-за ошибки в подкомпоненте Name Service Cache Daemon
  (NSCD). Удаленный пользователь может вызвать отказ в обслуживании приложения.

2.
  Уязвимость существует из-за ошибки в подкомпоненте Kernel. Локальный
  пользователь может вызвать зависание или цикличное аварийное завершение
  работы приложения.

3.
  Уязвимость существует из-за ошибки в подкомпоненте Java Web Console.
  Удаленный пользователь может манипулировать важными данными обновить,
  вставить или удалить.  

Ссылка на сайт разработчика:  

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html#AppendixSUNS     

http://www.oracle.com/technetwork/topics/security/cpujan2014verbose-1972951.html#SUNS

Версии: Sun Solaris 10.x, возможно более ранние
  версии

Опасность: критическая

Операционные системы: 

ID в базе CVE:    CVE-2013-5821

CVE-2013-5872

CVE-2013-5876

CVE-2014-0390

Решение: Установить обновления с сайта
  производителя.

Oracle Data Integrator

Уязвимость позволяет удаленному пользователю вызвать отказ в
  обслуживании приложения.

1. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.

2. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.

3. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.

4. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.

5. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.  

Ссылки на сайт разработчика: 

http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html#AppendixFMW

Версии: Oracle Data Integrator 11.1.1.3.0, возможно более ранние версии

Опасность: высокая

Операционные системы: 

ID в базе CVE: CVE-2014-2407

CVE-2014-2415

CVE-2014-2416

CVE-2014-2417

CVE-2014-2418

Решение: Установить обновления с сайта
  производителя.  

Intel

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации. 

Ссылки на сайт разработчика:    

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00037&languageid=en-fr
 

  http://blogs.intel.com/application-security/2014/04/10/intelr-expressway-service-gateway-heartbleed-security-update/

Версии:  Intel AMT Software Development Kit (SDK) 10.0.0.18

Intel Setup and Configuration Software (SCS)
  9.1.0.123

Intel Expressway Service Gateway R3.4, R4.5, R5.1,
  R5.5 и R6.1

Intel Expressway Tokenization Broker R3.4, R4.5,
  R5.1, R5.5 и R6.1

Intel Cache Acceleration Software 2.5.1, возможно
  более ранние версии

Опасность: высокая

Операционные системы: 

ID в базе CVE: CVE-2014-0160

Решение: Установить соответствующее обновление с сайта производителя    

PHP

Уязвимость
  позволяет удаленному пользователю выполнить произвольный код на целевой
  системе.

Уязвимость
  существует из-за ошибки в файле ext/xml/xml.c при обработке данных XML.
  Удаленный пользователь может вызвать переполнение буфера памяти.  

Ссылки на сайт разработчика:    

https://bugs.php.net/bug.php?id=65236
 

  http://www.php.net/ChangeLog-5.php#5.3.27
 

  http://php.net/archive/2013.php#id2013-07-18-1

Версии: PHP
  5.3.x, PHP 5.5.x, возможно более ранние версии

Опасность: высокая

Операционные системы: 

ID в базе CVE: CVE-2013-4113

Решение: Установить соответствующее обновление с сайта производителя  

Metasploit Framework

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации.   

Ссылки на сайт разработчика:    

https://community.rapid7.com/docs/DOC-2736

Версии: Metasploit Framework 4.x, возможно более
  ранние версии

Опасность: критическая

Операционные системы: 

ID в базе CVE: CVE-2014-0160

Решение: Установить соответствующее
  обновление с сайта производителя.  

Oracle Java

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  получить доступ к определенной конфиденциальной информации, вызвать отказ в
  обслуживании, выполнить произвольный код на целевой системе и локальный
  пользователь может манипулировать важными данными.

1. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.

2. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.

3. Уязвимость
  существует из-за ошибки в подкомпоненте Hotspot при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

4. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

5. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

6. Уязвимость существует
  из-за ошибки в подкомпоненте Hotspot при развертывании клиента. Удаленный
  пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

7. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

8. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

9. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

10. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

11. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.

12. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

13. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

14. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

15. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные
  данные и вызвать отказ в обслуживании приложения.

16. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

17. Уязвимость
  существует из-за ошибки в подкомпоненте JAXB при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

18. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

19. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

20. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

21. Уязвимость
  существует из-за ошибки в подкомпоненте Sound при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

22. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.

23. Уязвимость существует из-за ошибки в подкомпоненте Deployment при развертывании клиента. Удаленный пользователь может с помощью ненадежных приложений Java Web Start и ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные данные и вызвать отказ в обслуживании приложения.

24. Уязвимость
  существует из-за ошибки в подкомпоненте JNDI при развертывании клиента и
  сервера. Удаленный пользователь может раскрыть, обновить, вставить или
  удалить определенные данные и вызвать отказ в обслуживании приложения.

25. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.

26. Уязвимость
  существует из-за ошибки в подкомпоненте JAXP при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.

27. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.

28. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.

29. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.

30. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java и вызвать отказ в обслуживании приложения.

31. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные.

32. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.

33. Уязвимость
  существует из-за ошибки в подкомпоненте Javadoc при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.

34. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера связанных с unpack200.Удаленный пользователь может раскрыть,
  обновить, вставить или удалить определенные данные и вызвать отказ в
  обслуживании приложения.

35. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные..   

Ссылки на сайт разработчика:    

https://community.rapid7.com/docs/DOC-2736

Версии: Oracle Java JDK 1.5.x / 5.x

Oracle Java JDK 1.6.x / 6.x

Oracle Java JDK 1.7.x / 7.x

Oracle Java JDK 1.8.x / 8.x

Oracle Java JRE 1.5.x / 5.x

Oracle Java JRE 1.6.x / 6.x

Oracle Java JRE 1.7.x / 7.x

Oracle
  Java JRE 1.8.x / 8.x, возможно более ранние версии

Опасность: критическая

Операционные системы: 

ID в базе CVE: CVE-2013-6629

CVE-2013-6954

CVE-2014-0429

CVE-2014-0432

CVE-2014-0446

CVE-2014-0448

CVE-2014-0449

CVE-2014-0451

CVE-2014-0452

CVE-2014-0453

CVE-2014-0454

CVE-2014-0455

CVE-2014-0456

CVE-2014-0457

CVE-2014-0458

CVE-2014-0459

CVE-2014-0460

CVE-2014-0461

CVE-2014-0463

CVE-2014-0464

CVE-2014-1876

CVE-2014-2397

CVE-2014-2398

CVE-2014-2401

CVE-2014-2402

CVE-2014-2403

CVE-2014-2409

CVE-2014-2410

CVE-2014-2412

CVE-2014-2413

CVE-2014-2414

CVE-2014-2420

CVE-2014-2421

CVE-2014-2422

CVE-2014-2423

CVE-2014-2427

CVE-2014-2428

Решение: Установить соответствующее
  обновление с сайта производителя.  

Использованные
  источники:

1. 
     Securitytracker.com
2. 
     Securitylab.ru