22 мая, 2008

Программа: IBM Lotus Sametime 7.5.1

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки границ данных в Community Services Multiplexer (StMux.exe) при обработке URL. Удаленный пользователь может с помощью слишком длинного HTTP запроса, отправленного Sametime серверу, вызвать переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www-142.ibm.com/software/sw-lotus/sametime

Решение: Установите исправление с сайта производителя.

Источники:
ZDI-08-028: IBM Lotus Sametime Community Services Multiplexer Stack Overflow Vulnerability

04 апреля, 2008

Программа: Novell Kerberos KDC 1.x

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

Подробное описание уязвимостей:
www.securitylab.ru/vulnerability/348764.php

URL производителя: www.novell.com/documentation/kdc/index.html

Решение: Установите последнюю версию с сайта производителя.
x86 platform:
http://download.novell.com/Download?buildid=yEhbIVtcB40~

x86-64 platform:
http://download.novell.com/Download?buildid=lEcyePhCocw~

CVE:
CVE-2008-0062
CVE-2008-0063
CVE-2008-0947
CVE-2008-0948

Secunia ID:
29663

Bugtraq ID:
28303
28302

17 марта, 2008

Программа:
BrightStor ARCServe Backup for Laptops and Desktops r11.5
CA Desktop Management Suite r11.2 C1
CA Desktop Management Suite r11.2a
CA Desktop Management Suite r11.2
CA Desktop Management Suite r11.1 (GA, a, C1)
Unicenter Desktop Management Bundle r11.2 C1
Unicenter Desktop Management Bundle r11.2a
Unicenter Desktop Management Bundle r11.2
Unicenter Desktop Management Bundle r11.1 (GA, a, C1)
Unicenter Asset Management r11.2 C1
Unicenter Asset Management r11.2a
Unicenter Asset Management r11.2
Unicenter Asset Management r11.1 (GA, a, C1)
Unicenter Software Delivery r11.2 C1
Unicenter Software Delivery r11.2a
Unicenter Software Delivery r11.2
Unicenter Software Delivery r11.1 (GA, a, C1)
Unicenter Remote Control r11.2 C1
Unicenter Remote Control r11.2a
Unicenter Remote Control r11.2
Unicenter Remote Control r11.1 (GA, a, C1)

Опасность: Высокая

... Читать дальше »

Множественные уязвимости в WinRAR

20 марта, 2008

Программа: WinRAR версии до 3.71

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Уязвимости существуют из-за неизвестных ошибок при обработке архивов. Удаленный пользователь может с помощью специально сформированного архива вызвать повреждение динамической памяти или переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www.rarlabs.com

Решение: Установите последнюю версию 3.71 с сайта производителя.

Secunia ID:
29407

14 марта, 2008

Программа: Invision Power Board 2.3.4, возможно более ранние версии

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в BBCodes тегах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.invisionboard.com

Решение: Установите последнюю версию 2.3.4 от 12.03.2008 с сайта производителя.

Secunia ID:
29378

29 февраля, 2008

Программа: NetBSD 3.1

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Подробное описание уязвимости:
www.securitylab.ru/vulnerability/293063.php

URL производителя: www.netbsd.org

Решение: Установите последнюю версию с сайта производителя.

CVE:
CVE-2007-1536

Secunia ID:
29179

19 февраля, 2008

Программа: Kerio MailServer версии до 6.5.0

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в Visnetic anti-virus плагине. Удаленный пользователь может вызвать переполнение буфера.

2. Уязвимость существует из-за ошибки во время uudecode декодирования. Удаленный пользователь может вызвать повреждение памяти.

3. Уязвимость существует из-за наличия NULL DACL в AVG плагине.

URL производителя: www.kerio.com/kms_home.html

Решение: Установите последнюю версию 6.5.0 с сайта производителя.

Secunia ID:
29021

08 февраля, 2008

Программа: UltraVNC 102 и 1.0.4 до 04.02.2008, возможно другие версии

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимости существуют из-за различных ошибок проверки границ данных в файле vncviewer/FileTransfer.cpp. Злоумышленник может обманом заставить пользователя подключится к злонамеренному VNC серверу, отправить vncviewer в режиме "LISTENING" специально сформированные данные и выполнить произвольный код на целевой системе.

URL производителя: ultravnc.sourceforge.net

Решение: Установите последнюю версию с сайта производителя.

Secunia ID:
28804

05 февраля, 2008
Программа: SAP GUI 7.10 (SAPLPD 6.28.0.1), возможно более ранние версии

Опасность: Средняя

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за различных проверки границ данных в SAPLPD сервере при обработке LPD команд. Удаленный пользователь может передать слишком длинные аргументы LPD командам 0x01, 0x02, 0x03, 0x04, 0x05, 0x31, 0x32, 0x33, 0x34 и 0x35, вызвать переполнение буфера и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в SAPLPD при обработке LPD команды 0x53. Удаленный пользователь может аварийно завершить работу приложения.

URL производителя: www.sap.com

Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется запретить доступ к порту 515/TCP.

... Читать дальше »

31 января, 2008
Программа: Drupal Project Issue Tracking Module версии до 5.x-2.0, 5.x-1.3, 4.7.x-2.7 и 4.7.x-1.7

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки расширений загружаемых файлов. Удаленный пользователь может выполнить произвольный PHP код на целевой системе с привилегиями Web сервера.

2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: drupal.org/project/project_issue

Решение: Установите последнюю версию 5.x-2.0, 5.x-1.3, 4.7.x-2.7 или 4.7.x-1.7 с сайта производителя.

Ключевые слова: XSS Drupal Project Issue Tracking Module