Отчет по уязвимостям с 23 по 30 июня
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Информация для ВАК
Звезды «СА»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Игры
Контакты
   


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
27.03.2019г.
Просмотров: 255
Комментарии: 0
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

27.03.2019г.
Просмотров: 199
Комментарии: 0
Автоматизация программируемых сетей

 Читать далее...

27.03.2019г.
Просмотров: 229
Комментарии: 0
Изучаем pandas. Второе издание

 Читать далее...

27.03.2019г.
Просмотров: 178
Комментарии: 0
Компьютерное зрение. Теория и алгоритмы

 Читать далее...

13.03.2019г.
Просмотров: 388
Комментарии: 0
DevOps для ИТ-менеджеров

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Отчет по уязвимостям с 23 по 30 июня

Статьи / Отчет по уязвимостям с 23 по 30 июня

Автор: Андрей Бирюков

Еженедельный отчет содержит описания восьми уязвимостей в том числе и множественных в наиболее распространенных приложениях и операционных системах.



 





  


  


  


 

                     

    Отчет по уязвимостям с 23 по 30 июня
   
  

Еженедельный отчет содержит описания восьми
    уязвимостей в том числе и множественных в наиболее распространенных приложениях
    и операционных системах.


   

 

 

 

Oracle Solaris 


 

Обнаруженные уязвимости позволяют удаленному
  пользователю доступ к определенной конфиденциальной информации,
  манипулировать важными данными, вызвать отказ в обслуживании и выполнить
  произвольный код на целевой системе.


 

1. Уязвимость существует из-за ошибки при
  обработке рукопожатий SSL/TLS. Удаленный пользователь может с помощью
  специально сформированного рукопожатия использовать слабость данных ключей и
  в последствии совершать атаку «человек посередине».


 

2. Уязвимость существует из-за ошибки в клиенте
  DTLS OpenSSL. Удаленный пользователь может с помощью специально
  сформированного DTLS рукопожатия вызвать рекурсию и аварийно завершить работу
  приложения.


 

3. Уязвимость существует из-за ошибки в реализации
  DTLS OpenSSL. Удаленный пользователь может с помощью специально
  сформированных фрагментов DTLS. Удаленный пользователь может вызвать
  переполнение буфера.


 

Для успешной эксплуатации уязвимости пользователь
  может выполнить произвольный код на целевой системе.


 

4. Уязвимость существует из-за ошибки
  разыменования нулевого указателя в функции
  "do_ssl3_write()".Удаленный пользователь может аварийно завершить
  работу приложения.


 

Для успешной эксплуатации уязвимости требуется
  чтоб SSL_MODE_RELEASE_BUFFERS был включен.


 

Эта уязвимость присутствует в версии 1.x до 1.0.0m
  и до 1.0.1h.


 

5. Уязвимость существует из-за ошибки в
  неизвестных шифрах ECDH. Удаленный пользователь может вызвать отказ в
  обслуживании в клиенте OpenSSL.  


 

Ссылка на сайт разработчика:  


 

http://www.openssl.org/news/secadv_20140605.txt 


 

Версии:  Oracle Solaris
  11 Express, возможно более ранние версии   


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0224


 

CVE-2014-0195


 

CVE-2014-0198


 

CVE-2014-0221


 

CVE-2014-0224


 

CVE-2014-3470


 

Решение: Установить обновление с
  сайта производителя. 


 

 

 


 

  Trend Micro ServerProtect for Linux


 

Обнаруженные
  уязвимости позволяют удаленному пользователю получить доступ к определенной
  конфиденциальной информации и манипулировать определенными важными данными.


 

Уязвимость
  существует из-за прилагаемой в комплекте уязвимой версии OpenSSL.


 

Ссылка на сайт разработчика: 


 

http://esupport.trendmicro.com/solution/ja-jp/1103804.aspx


 

 


 

Версии: Trend Micro
  ServerProtect for Linux 3.x.


 

 


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE: CVE-2014-0224


 

Решение: В настоящий момент обновления отсутсвуют.


 

 Xen


 

Уязвимость
  позволяет локальному пользователю получить доступ к определенной
  конфиденциальной информации.


 

Уязвимость
  существует из-за недостаточной обработки входных данных в параметре
  "alloc_domain_struct()" в сценарии xen/arch/arm/domain.c. Локальный
  пользователь может получить доступ к определенной конфиденциальной информации
  из памяти других гостевых.  


 

Ссылка на сайт разработчика:  


 

http://xenbits.xenproject.org/xsa/advisory-101.html


 

Версии: Xen 4.4 работающие на ARM, возможно более ранние
  версии


 

Опасность: критическая


 

Операционные системы: 


 

ID в базе CVE:  


 

Решение: Установить обновления с сайта
  производителя.


 

 


 

 

Linux Kernel


 

Уязвимость позволяет локальному пользователю получить доступ к
  определенной конфиденциальной информации.


 

 


 

Уязвимость существует из-за ошибки в функции
  "aio_read_events_ring()" в файле fs/aio.c. Локальный пользователь
  может получить доступ к определенной конфиденциальной информации из ядра
  памяти.  


 

 


 

Ссылки на сайт разработчика: 


 

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=edfbbf388f29


 

 


 

Версии: Linux
  Kernel 3.10.44, 3.12.23, 3.14.8 и 3.15.1,
  возможно более ранние версии


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0206


 

Решение: Установить обновления с сайта
  производителя.  


 

 

 


 

Intel


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь может
  раскрыть содержимое памяти подключенного клиента или сервера. Уязвимость
  позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации. 


 

Ссылки на сайт разработчика:    


 

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00037&languageid=en-fr
 

  http://blogs.intel.com/application-security/2014/04/10/intelr-expressway-service-gateway-heartbleed-security-update/


 

 


 

Версии:  Intel AMT Software Development Kit (SDK) 10.0.0.18


 

Intel Setup and Configuration Software (SCS)
  9.1.0.123


 

Intel Expressway Service Gateway R3.4, R4.5, R5.1,
  R5.5 и R6.1


 

Intel Expressway Tokenization Broker R3.4, R4.5,
  R5.1, R5.5 и R6.1


 

Intel Cache Acceleration Software 2.5.1, возможно
  более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее обновление с сайта производителя    


 

 


 

PHP


 

Уязвимость
  позволяет удаленному пользователю выполнить произвольный код на целевой
  системе.


 

Уязвимость
  существует из-за ошибки в файле ext/xml/xml.c при обработке данных XML.
  Удаленный пользователь может вызвать переполнение буфера памяти.  


 

Ссылки на сайт разработчика:    


 

https://bugs.php.net/bug.php?id=65236
 

  http://www.php.net/ChangeLog-5.php#5.3.27
 

  http://php.net/archive/2013.php#id2013-07-18-1


 

Версии: PHP
  5.3.x, PHP 5.5.x, возможно более ранние версии


 

 


 

Опасность: высокая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-4113


 

Решение: Установить соответствующее обновление с сайта производителя  


 

 


 

Metasploit Framework


 

Из-за ошибки
  проверки границ данных при обработке расширения TLS. Удаленный пользователь
  может раскрыть содержимое памяти подключенного клиента или сервера.
  Уязвимость позволяет удаленному пользователю получить доступ к определенной
  конфиденциальной информации.   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Metasploit Framework 4.x, возможно более
  ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2014-0160


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

Oracle Java


 

Обнаруженные
  уязвимости позволяют удаленному пользователю манипулировать важными данными,
  получить доступ к определенной конфиденциальной информации, вызвать отказ в
  обслуживании, выполнить произвольный код на целевой системе и локальный
  пользователь может манипулировать важными данными.


 

1. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

2. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера. Удаленный пользователь может выполнить произвольный код на целевой
  системе.


 

3. Уязвимость
  существует из-за ошибки в подкомпоненте Hotspot при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

4. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

5. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

6. Уязвимость
  существует из-за ошибки в подкомпоненте Hotspot при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

7. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

8. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

9. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

10. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

11. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java выполнить произвольный код на целевой системе.


 

12. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

13. Уязвимость
  существует из-за ошибки в подкомпоненте AWT при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

14. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

15. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные
  данные и вызвать отказ в обслуживании приложения.


 

16. Уязвимость
  существует из-за ошибки в подкомпоненте JAX-WS при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

17. Уязвимость
  существует из-за ошибки в подкомпоненте JAXB при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

18. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

19. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

20. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

21. Уязвимость
  существует из-за ошибки в подкомпоненте Sound при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

22. Уязвимость
  существует из-за ошибки в подкомпоненте JavaFX при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные и вызвать отказ в обслуживании приложения.


 

23. Уязвимость существует из-за ошибки в подкомпоненте Deployment при развертывании клиента. Удаленный пользователь может с помощью ненадежных приложений Java Web Start и ненадежных апплетов Java раскрыть, обновить, вставить или удалить определенные данные и вызвать отказ в обслуживании приложения.


 

24. Уязвимость
  существует из-за ошибки в подкомпоненте JNDI при развертывании клиента и
  сервера. Удаленный пользователь может раскрыть, обновить, вставить или
  удалить определенные данные и вызвать отказ в обслуживании приложения.


 

25. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

26. Уязвимость
  существует из-за ошибки в подкомпоненте JAXP при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

27. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

28. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

29. Уязвимость
  существует из-за ошибки в подкомпоненте Scripting при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java получить доступ к определенной конфиденциальной
  информации.


 

30. Уязвимость
  существует из-за ошибки в подкомпоненте 2D при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java и вызвать отказ в обслуживании приложения.


 

31. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные.


 

32. Уязвимость
  существует из-за ошибки в подкомпоненте Security при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

33. Уязвимость
  существует из-за ошибки в подкомпоненте Javadoc при развертывании клиента.
  Удаленный пользователь может раскрыть, обновить, вставить или удалить
  определенные данные.


 

34. Уязвимость
  существует из-за ошибки в подкомпоненте Libraries при развертывании клиента и
  сервера связанных с unpack200.Удаленный пользователь может раскрыть,
  обновить, вставить или удалить определенные данные и вызвать отказ в
  обслуживании приложения.


 

35. Уязвимость
  существует из-за ошибки в подкомпоненте Deployment при развертывании клиента.
  Удаленный пользователь может с помощью ненадежных приложений Java Web Start и
  ненадежных апплетов Java раскрыть, обновить, вставить или удалить
  определенные данные..   


 

Ссылки на сайт разработчика:    


 

https://community.rapid7.com/docs/DOC-2736


 

Версии: Oracle Java JDK 1.5.x / 5.x


 

Oracle Java JDK 1.6.x / 6.x


 

Oracle Java JDK 1.7.x / 7.x


 

Oracle Java JDK 1.8.x / 8.x


 

Oracle Java JRE 1.5.x / 5.x


 

Oracle Java JRE 1.6.x / 6.x


 

Oracle Java JRE 1.7.x / 7.x


 

Oracle
  Java JRE 1.8.x / 8.x, возможно более ранние версии


 

 


 

Опасность: критическая


 

Операционные системы: 


 

 


 

ID в базе CVE: CVE-2013-6629


 

CVE-2013-6954


 

CVE-2014-0429


 

CVE-2014-0432


 

CVE-2014-0446


 

CVE-2014-0448


 

CVE-2014-0449


 

CVE-2014-0451


 

CVE-2014-0452


 

CVE-2014-0453


 

CVE-2014-0454


 

CVE-2014-0455


 

CVE-2014-0456


 

CVE-2014-0457


 

CVE-2014-0458


 

CVE-2014-0459


 

CVE-2014-0460


 

CVE-2014-0461


 

CVE-2014-0463


 

CVE-2014-0464


 

CVE-2014-1876


 

CVE-2014-2397


 

CVE-2014-2398


 

CVE-2014-2401


 

CVE-2014-2402


 

CVE-2014-2403


 

CVE-2014-2409


 

CVE-2014-2410


 

CVE-2014-2412


 

CVE-2014-2413


 

CVE-2014-2414


 

CVE-2014-2420


 

CVE-2014-2421


 

CVE-2014-2422


 

CVE-2014-2423


 

CVE-2014-2427


 

CVE-2014-2428


 

 


 

Решение: Установить соответствующее
  обновление с сайта производителя.  


 

 


 

 


 

Использованные
  источники:


 

  1.   Securitytracker.com

  2.   Securitylab.ru

 
 

 


 

 


 

 


 

 


 

 


 

 


 



 

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru