 |
|
|
|
Отчет по уязвимостям с 6 по 19 октября
Еженедельный отчет содержит описания восьми уязвимостей в наиболее распространенных приложениях и устройствах. Отчет по уязвимостям с 6 по 19 октября Еженедельный отчет содержит описания четырех уязвимостей в наиболее распространенных приложениях и устройствах. iOS Уязвимость существует из-за того, что ошибки в функционале приложения App Store. Локальный пользователь может установить нелегитимное приложение. Ссылка на сайт разработчика: http://gba4ios.mithical.com/post/98838453124/apple-is-slowly-killing-everything-we-love Версии: iOS версии до 8.1 beta 2 Опасность: критическая Операционные системы: iOS ID в базе CVE: Решение: Установить соответствующее обновление с сайта производителя. Debian GNU/Linux Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему. Уязвимость существует из-за неизвестной ошибки при обработке определенных HTTP URL. Удаленный пользователь может выполнить произвольный код на целевой системе. Ссылка на сайт разработчика: http://www.us.debian.org/security/2014/dsa-3031 Версии: Debian GNU/Linux 7.x. Опасность: высокая Операционные системы: ID в базе CVE: CVE-2013-1231 Решение: Установить соответствующее обновление с сайта производителя Microsoft Windows Уязвимость позволяет удаленному пользователю обойти ограничений безопасности. Уязвимость существует из-за неизвестной ошибки. Подробности не разглашаются. Уязвимость активно эксплуатируется в настоящий момент. Ссылки на сайт разработчика: http://www.isightpartners.com/2014/10/cve-2014-4114/ Версии: Microsoft Windows 7 Microsoft Windows 8 Microsoft Windows 8.1 Microsoft Windows Server 2008 Microsoft Windows Server 2012. Опасность: критическая Операционные системы: ID в базе CVE: CVE-2014-4114 Решение: Установить соответствующее обновление с сайта производителя. D-Link Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к определенной конфиденциальной информации, манипулировать важными данными, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе. 1. Уязвимость существует из-за ошибки при обработке рукопожатий SSL/TLS. Удаленный пользователь может с помощью специально сформированного рукопожатия использовать слабость данных ключей и в последствии совершать атаку «человек посередине». 2. Уязвимость существует из-за ошибки в клиенте DTLS OpenSSL. Удаленный пользователь может с помощью специально сформированного DTLS рукопожатия вызвать рекурсию и аварийно завершить работу приложения. 3. Уязвимость существует из-за ошибки в реализации DTLS OpenSSL. Удаленный пользователь может с помощью специально сформированных фрагментов DTLS. Удаленный пользователь может вызвать переполнение буфера. Для успешной эксплуатации уязвимости пользователь может выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за ошибки разыменования нулевого указателя в функции "do_ssl3_write()".Удаленный пользователь может аварийно завершить работу приложения. Для успешной эксплуатации уязвимости требуется чтоб SSL_MODE_RELEASE_BUFFERS был включен. Эта уязвимость присутствует в версии 1.x до 1.0.0m и до 1.0.1h. 5. Уязвимость существует из-за ошибки в неизвестных шифрах ECDH. Удаленный пользователь может вызвать отказ в обслуживании в клиенте OpenSSL. Уязвимости №1-№3 и №5 представлены в версиях до 0.9.8za, 1.0.0m и до 1.0.1h. Ссылки на сайт разработчика: http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10045 Версии: D-Link DSR-1000 Router D-Link DSR-1000N Router D-Link DSR-500 Router D-Link DSR-500N Router. Опасность: критическая Операционные системы: ID в базе CVE: CVE-2014-0224 Решение: Установить соответствующее обновление с сайта производителя. SSL Уязвимость позволяет удаленному пользователю получить доступ к зашифрованным соединениям. Уязвимость существует из-за ошибки в реализации протокола. Удаленный пользователь может путем осуществления MitM-атаки получить доступ к зашифрованным соединениям.. Ссылки на сайт разработчика: https://technet.microsoft.com/library/security/3009008 http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html Версии: SSL 3.х. Опасность: критическая Операционные системы: ID в базе CVE: CVE-2014-3566 Решение: Установить соответствующее обновление с сайта производителя. Cisco IOS XE Уязвимость позволяет удаленному пользователю совершить спуфинг атаку. Уязвимость существует из-за ошибки, возникающей при обработке сертификатов безопасности. Удаленный пользователь может с помощью специально сформированных сообщений, отправленных к Autonomic Networking Infrastructure (ANI), осуществить спуфинг атаку на сетевые устройства... Ссылки на сайт разработчика: http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3403 http://tools.cisco.com/security/center/viewAlert.x?alertId=36032 Версии: Cisco IOS XE 3.13S, возможно другие версии. Опасность: критическая Операционные системы: ID в базе CVE: CVE-2014-3403 Решение: Установить соответствующее обновление с сайта производителя. Opera Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за наличия встроенной уязвимой версии Chromium. Подробности не разглашаются. Ссылки на сайт разработчика: http://www.opera.com/docs/changelogs/unified/2500/ Версии: Opera 24.x. Опасность: критическая Операционные системы: ID в базе CVE: Решение: Установить соответствующее обновление с сайта производителя. PHP Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему. 1. Уязвимость существует из-за ошибки в функции "mkgmtime()". Удаленный пользователь может вызвать отказ в обслуживании. 2. Уязвимость существует из-за ошибки в функции "unserialize()". Удаленный пользователь может скомпрометировать целевую систему. 3. Уязвимость существует из-за ошибки в функции "exif_thumbnail()". Удаленный пользователь может вызвать отказ в обслуживании. Ссылки на сайт разработчика: PHP версии до 5.6.2 PHP версии до 5.5.18 PHP версии до 5.4.34 Версии: PHP 5.4.x. Опасность: критическая Операционные системы: ID в базе CVE: CVE-2014-3668 CVE-2014-3669 CVE-2014-3670 Решение: Установить соответствующее обновление с сайта производителя. Использованные источники: 1. Securitytracker.com 2. Securitylab.ru |
Комментарии отсутствуют
|
