Отчет по уязвимостям с 14 по 20 апреля
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10307
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8496
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8597
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5479
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6158
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Отчет по уязвимостям с 14 по 20 апреля

Статьи / Отчет по уязвимостям с 14 по 20 апреля

Автор: Андрей Бирюков

Еженедельный отчет содержит описания восьми уязвимостей в том числе и множественных в наиболее распространенных приложениях и операционных системах.

 


 
   
  
  
   
   
  
 

    Отчет по уязвимостям с 14 по 20 апреля
   

   

Еженедельный отчет содержит описания восьми
    уязвимостей в том числе и множественных в наиболее распространенных приложениях
    и операционных системах.


   

 

 


 

MySQL Enterprise Backup 3.x


 

Из-за ошибки проверки границ данных при обработке
  расширения TLS. Удаленный пользователь может раскрыть содержимое памяти
  подключенного клиента или сервера. Уязвимость позволяет
  удаленному пользователю получить доступ к определенной конфиденциальной
  информации.  


 

Ссылка на сайт разработчика:  


 

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html


 

Версии:  MySQL
  Enterprise Backup 3.10.0, возможно более ранние версии  


 

Опасность: высокая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0160


 

Решение: Установить обновление с
  сайта производителя. 


 

 

 


 

  WinSCP


 

Из-за
  ошибки проверки границ данных при обработке расширения TLS. Удаленный
  пользователь может раскрыть содержимое памяти подключенного клиента или
  сервера. Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации..


 

Ссылка на сайт разработчика: 


 

http://winscp.net/eng/docs/history#5.5.3


 

 


 

Версии: WinSCP 5.x.


 

 


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0160


 

Решение: Установить обновление с сайта производителя.


 

 Sun Solaris


 

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  вызвать отказ в обслуживании и локальному получить доступ к определенной
  конфиденциальной информации, вызвать отказ в обслуживании.


 

1.
  Уязвимость существует из-за ошибки в подкомпоненте Name Service Cache Daemon
  (NSCD). Удаленный пользователь может вызвать отказ в обслуживании приложения.


 

 


 

2.
  Уязвимость существует из-за ошибки в подкомпоненте Kernel. Локальный
  пользователь может вызвать зависание или цикличное аварийное завершение
  работы приложения.


 

 


 

3.
  Уязвимость существует из-за ошибки в подкомпоненте Java Web Console.
  Удаленный пользователь может манипулировать важными данными обновить,
  вставить или удалить.  


 

Ссылка на сайт разработчика:  


 

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html#AppendixSUNS     


 

http://www.oracle.com/technetwork/topics/security/cpujan2014verbose-1972951.html#SUNS


 

Версии: Sun Solaris 10.x, возможно более ранние
  версии


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE:    CVE-2013-5821


 

CVE-2013-5872


 

CVE-2013-5876


 

CVE-2014-0390


 

Решение: Установить обновления с сайта
  производителя.


 

 


 

 

Oracle Data Integrator


 

Уязвимость позволяет удаленному пользователю вызвать отказ в
  обслуживании приложения.


 

 


 

1. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

2. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

3. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

4. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.


 

 


 

5. Уязвимость существует из-за ошибки в подкомпоненте Data
  Quality. Удаленный пользователь может аварийно завершить работу приложения.  


 

 


 

Ссылки на сайт разработчика: 


 

http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html#AppendixFMW


 

 


 

Версии: Oracle Data Integrator 11.1.1.3.0, возможно более ранние версии


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-2407


 

CVE-2014-2415


 

CVE-2014-2416


 

CVE-2014-2417


 

CVE-2014-2418


 

Решение: Установить обновления с сайта
  производителя.  


 

 

 


 

Intel


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации. 


 

Ссылки на сайт разработчика:    


 

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00037&languageid=en-fr
 

  http://blogs.intel.com/application-security/2014/04/10/intelr-expressway-service-gateway-heartbleed-security-update/


 

 


 

Версии:  Intel AMT Software Development Kit (SDK) 10.0.0.18


 

Intel Setup and Configuration Software (SCS)
  9.1.0.123


 

Intel Expressway Service Gateway R3.4, R4.5, R5.1,
  R5.5 и R6.1


 

Intel Expressway Tokenization Broker R3.4, R4.5,
  R5.1, R5.5 и R6.1


 

Intel Cache Acceleration Software 2.5.1, возможно
  более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее обновление с сайта производителя    


 

 


 

PHP


 

Уязвимость
  позволяет удаленному пользователю выполнить произвольный код на целевой
  системе.


 

Уязвимость
  существует из-за ошибки в файле ext/xml/xml.c при обработке данных XML.
  Удаленный пользователь может вызвать переполнение буфера памяти.  


 

Ссылки на сайт разработчика:    


 

https://bugs.php.net/bug.php?id=65236
 

  http://www.php.net/ChangeLog-5.php#5.3.27
 

  http://php.net/archive/2013.php#id2013-07-18-1


 

Версии: PHP
  5.3.x, PHP 5.5.x, возможно более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-4113


 

Решение: Установить соответствующее обновление с сайта производителя  


 

 


 

Metasploit Framework


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации.   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Metasploit Framework 4.x, возможно более
  ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

Oracle Java


 

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  получить доступ к определенной конфиденциальной информации, вызвать отказ в
  обслуживании, выполнить произвольный код на целевой системе и локальный
  пользователь может манипулировать важными данными.


 

1. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

2. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

3. Уязвимость
  существует из-за ошибки в подкомпоненте Hotspot при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

4. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

5. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

6. Уязвимость существует
  из-за ошибки в подкомпоненте Hotspot при развертывании клиента. Удаленный
  пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

7. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

8. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

9. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

10. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

11. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

12. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

13. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

14. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

15. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные
  данные и вызвать отказ в обслуживании приложения.


 

16. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

17. Уязвимость
  существует из-за ошибки в подкомпоненте JAXB при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

18. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

19. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

20. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

21. Уязвимость
  существует из-за ошибки в подкомпоненте Sound при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

22. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

23. Уязвимость существует из-за ошибки в подкомпоненте Deployment при развертывании клиента. Удаленный пользователь может с помощью ненадежных приложений Java Web Start и ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные данные и вызвать отказ в обслуживании приложения.


 

24. Уязвимость
  существует из-за ошибки в подкомпоненте JNDI при развертывании клиента и
  сервера. Удаленный пользователь может раскрыть, обновить, вставить или
  удалить определенные данные и вызвать отказ в обслуживании приложения.


 

25. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

26. Уязвимость
  существует из-за ошибки в подкомпоненте JAXP при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

27. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

28. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

29. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

30. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java и вызвать отказ в обслуживании приложения.


 

31. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные.


 

32. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

33. Уязвимость
  существует из-за ошибки в подкомпоненте Javadoc при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

34. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера связанных с unpack200.Удаленный пользователь может раскрыть,
  обновить, вставить или удалить определенные данные и вызвать отказ в
  обслуживании приложения.


 

35. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные..   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Oracle Java JDK 1.5.x / 5.x


 

Oracle Java JDK 1.6.x / 6.x


 

Oracle Java JDK 1.7.x / 7.x


 

Oracle Java JDK 1.8.x / 8.x


 

Oracle Java JRE 1.5.x / 5.x


 

Oracle Java JRE 1.6.x / 6.x


 

Oracle Java JRE 1.7.x / 7.x


 

Oracle
  Java JRE 1.8.x / 8.x, возможно более ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-6629


 

CVE-2013-6954


 

CVE-2014-0429


 

CVE-2014-0432


 

CVE-2014-0446


 

CVE-2014-0448


 

CVE-2014-0449


 

CVE-2014-0451


 

CVE-2014-0452


 

CVE-2014-0453


 

CVE-2014-0454


 

CVE-2014-0455


 

CVE-2014-0456


 

CVE-2014-0457


 

CVE-2014-0458


 

CVE-2014-0459


 

CVE-2014-0460


 

CVE-2014-0461


 

CVE-2014-0463


 

CVE-2014-0464


 

CVE-2014-1876


 

CVE-2014-2397


 

CVE-2014-2398


 

CVE-2014-2401


 

CVE-2014-2402


 

CVE-2014-2403


 

CVE-2014-2409


 

CVE-2014-2410


 

CVE-2014-2412


 

CVE-2014-2413


 

CVE-2014-2414


 

CVE-2014-2420


 

CVE-2014-2421


 

CVE-2014-2422


 

CVE-2014-2423


 

CVE-2014-2427


 

CVE-2014-2428


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

 


 

Использованные
  источники:


 

  1.   Securitytracker.com

  2.   Securitylab.ru

 
 

 


 

 


 

 


 

 


 

 


 

 


 



 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru