Linkit

CERT-FI Haavoittuvuudet

Seuranta

Uutiset tarjoaa:
http://www.cert.fi

015/2012: Apple päivitti Mac OS X -käyttöjärjestelmää
Thu, 2 Feb 2012 13:57:00 +0200
Apple on julkaissut päivityksen 2012-001 Mac OS X -käyttöjärjestelmäympäristöön. Päivityksellä korjataan lukuisia haavoittuvuuksia Mac OS X -käyttöjärjestelmän komponenteista ja sen mukana toimitettavista ohjelmistoista. Seuraavat komponentit ja ohjelmistot ovat saaneet korjauksen: Address Book Apache ATS CFNetwork ColorSync CoreAudio CoreMedia CoreText CoreUI curl Data Security dovecot filecmds ImageIO Internet Sharing Libinfo libresolv libsecurity OpenGL PHP QuickTime SquirrelMail Subversion Time Machine Tomcat WebDAV Sharing Webmail X11Päivitetty 5.2.2012: Päivityspaketista on julkaistu Mac OS X 10.6.8 (Snow Leopard) -käyttöjärjestelmälle korjattu versio 1.1 ImageIO-päivitysten kanssa ilmenneiden ongelmien takia.

016/2012: Haavoittuvuus PHP-kielessä
Thu, 2 Feb 2012 21:45:00 +0200
PHP-kielestä on löytynyt hyökkääjän ohjelmankoodin suorittamisen mahdollistava toteutusvirhe. Haavoittuvuutta voi hyväksikäyttää tietyllä tavalla muotoillun url-parametrin avulla. PHP 5.3.9:ää aikaisemmat versiot eivät ole haavoittuvia, ellei asennuksia ole erikseen korjattu aikaisemmin löytyneen CVE-2011-4885 -haavoittuvuuden varalta.

014/2012: Korjauspäivityksiä VMware ESX- ja ESXi-alustoihin
Wed, 1 Feb 2012 13:05:00 +0200
Päivityksissä tuli korjauksia palvelukonsolissa (Service Console) käytettyyn ytimeen, Xen hypervisor-toteutukseen ja sen mukana tukeviin curl-, rpm-, nsr-, nspr-, samba- ja python-versioihin. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omaa ohjelmakoodiaan, päästä käsiksi luottamukselliseen tietoon tai aiheuttaa palvelunestotila tai jopa kaataa isäntäkone virtuaalikoneesta käsin.

013/2012: Mozillan tuotteissa haavoittuvuuksia
Wed, 1 Feb 2012 10:39:00 +0200
Mozilla on julkaissut 9 korjauspäivitystä tuotteisiinsa. Ne korjaavat haavoittuvuuksia muistinkäsittelyssä, www-sivustojen sisällön välisissä suojauksissa, kehyksissä ajettavien skriptien suojauksissa ja Ogg Vorbis- ja kuvaketiedostojen käsittelyssä. Vakavimmat haavoittuvuuksista saattavat mahdollistaa hyökkääjän koodin suorittamisen käyttäjän koneella.

012/2012: Haavoittuvuus sudo-toiminnallisuudessa
Tue, 31 Jan 2012 11:46:00 +0200
Sudo on sovellus, jonka avulla määritellyille käyttäjille voi antaa mahdollisuuden ajaa tiettyjä komentoja pääkäyttäjäoikeuksin. Sen debug-toiminnallisuudesta on löytynyt toteutusvirhe, jota hyväksikäyttämällä kenen tahansa käyttäjän on mahdollista suorittaa haluamiansa komentoja pääkäyttäjän (root) oikeuksin. Debug-toiminnallisuus on tullut vasta versiossa 1.8.0., joten tätä vanhemmat versiot eivät ole haavoittuvia.

011/2012: Symantec pcAnywhere -ohjelmiston haavoittuvuuksia korjattu
Wed, 25 Jan 2012 14:45:00 +0200
Symantec pcAnywhere on PC-koneiden etähallintaan tarkoitettu työkalu. Ohjelmistosta on löytynyt kaksi haavoittuvuutta, joista toinen voi mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvuus johtuu puutteelliseesta syötteentarkistuksesta käyttäjätodennuksen toteutuksessa. Toinen haavoittuvuus voi mahdollistaa paikallisesti kirjautuneen käyttäjän käyttövaltuuksien korottamisen.

010/2012: Haavoittuvuus Linux-ytimen prosessirajapinnassa
Wed, 25 Jan 2012 14:40:00 +0200
Linux-ytimestä on löytynyt haavoittuvuus joka voi mahdollistaa käyttövaltuuksien korottamisen pääkäyttäjän (root) tasolle. Haavoittuvuus liittyy käyttöjärjestelmän tapaan käsitellä prosessien muistialuetta /proc/pid/mem -rajapinnan kautta. Useita haavoittuvuutta hyväksi käyttäviä hyökkäysmenetelmiä on julkaistu. Hyväksikäyttö edellyttää että hyökkääjällä on toimiva käyttäjätunnus kohdejärjestelmään.

009/2012: Oracle korjasi 78 haavoittuvuutta
Wed, 18 Jan 2012 11:53:00 +0200
Oracle on julkaissut ohjelmistopäivitykset 78 haavoittuvuuteen, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen kohteena olevassa järjestelmässä.Oracle Database ServerOracle Database Server -ohjelmiston päivitykset sisältävät korjaukset kahteen haavoittuvuuteen, joista toista voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Core RDBMS (CVE-2012-0082)Listener (CVE-2012-0072)Oracle Fusion MiddlewareOracle Fusion Middleware -ohjelmiston päivitykset sisältävät korjaukset yhteentoista haavoittuvuuteen, joista viittä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle Outside In Technology (CVE-2011-4516, CVE-2011-4517, CVE-2012-0110)Oracle Web Services Manager (CVE-2011-3531, CVE-2011-3568, CVE-2011-3569)Oracle WebCenter Content (CVE-2012-0083, CVE-2012-0084, CVE-2012-0085)Oracle WebLogic Server (CVE-2011-3566, CVE-2012-0077)Oracle E-Business SuiteOracle E-Business Suite -ohjelmiston päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle Application Object Library (CVE-2012-0073, CVE-2012-0078)Oracle Forms (CVE-2011-2271)Oracle Supply ChainOracle Supply Chain -tuotteiden päivitys sisältää korjauksen yhteen haavoittuvuuteen, jota voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitys koskee seuraavia ohjelmistokomponentteja: Oracle Transportation Management (CVE-2011-3192)Oracle PeopleSoftOracle PeopleSoft -tuotteiden päivitykset sisältävät korjaukset kuuteen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: PeopleSoft Enterprise CRM (CVE-2012-0074)PeopleSoft Enterprise HCM (CVE-2012-0076, CVE-2012-0080, CVE-2012-0088, CVE-2012-0089)PeopleSoft Enterprise PeopleTools (CVE-2012-0091)Oracle JD EdwardsOracle JD Edwards -tuotteiden päivitykset sisältävät korjaukset kahdeksaan haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: JD Edwards EnterpriseOne Tools (CVE-2011-2317, CVE-2011-2021, CVE-2011-2024, CVE-2011-2025, CVE-2011-2026, CVE-2011-3509, CVE-2011-3514, CVE-2011-3524)Oracle Sun Products SuiteOracle Sun -tuotteiden päivitykset sisältävät korjaukset seitsemääntoista haavoittuvuuteen, joista kuutta voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: GlassFish Enterprise Server (CVE-2011-3564, CVE-2011-5035, CVE-2012-0081, CVE-2012-0104)Oracle Communications Unified (CVE-2011-3565, CVE-2011-3570, CVE-2011-3573, CVE-2011-3574)Oracle OpenSSO (CVE-2012-0079)Solaris (CVE-2012-0094, CVE-2012-0096, CVE-2012-0097, CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0103, CVE-2012-0109)Oracle VirtualizationOracle Virtualization -tuotteiden päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle VM VirtualBox (CVE-2012-0105, CVE-2012-0111)Virtual Desktop Infrastructure (VDI) (CVE-2011-3571)Oracle MySQLOracle MySQL -ohjelmiston päivitykset sisältävtät korjaukset 27 haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: MySQL Server (CVE-2011-2262, CVE-2012-0075, CVE-2012-0087, CVE-2012-0101, CVE-2012-0102, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118, CVE-2012-0119, CVE-2012-0120, CVE-2012-0484, CVE-2012-0485, CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493, CVE-2012-0494, CVE-2012-0495, CVE-2012-0496)

130/2011: Oraclen Java-päivitys korjaa useita haavoittuvuuksia
Thu, 20 Oct 2011 14:13:00 +0300
Oracle on julkaissut kriittiseksi luokiteltuja päivityksiä Java -ohjelmointikielen kehitys- ja ajoympäristöihin. Päivitykset korjaavat yhteensä 20 haavoittuvuutta, joista 9 voivat mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Haavoittuvuudet liittyvät muun muassa etäkutsuihin, grafiikan, käyttöliittymien ja äänien käsittelyyn, ajoympäristöön, sovelmien käyttöön saattamiseen ja verkkotoimintoihin. Oracle ei ole julkaissut yksityiskohtaisempia tietoja haavoittuvuuksista.Päivitys sisältää lisäksi toiminnallisia parannuksia, sekä lisäyksiä turvattomiksi havaittujen JAR-tiedostojen listaan, eli ns. JAR blacklisting-toimintoon, jonka avulla estetään turvattomien allekirjoitettujen JAR-ohjelmien ajaminen.

008/2012: Wiresharkin päivitys korjaa kolme haavoittuvuutta
Wed, 11 Jan 2012 12:35:00 +0200
Wiresharkista on löytynyt kolme haavoittuvuutta. Haavoittuvuuksia voi käyttää hyväksi houkuttelemalla käyttäjän avaamaan tallennettua liikennettä sisältävän tiedoston, jota hyökkääjä on muokannut. Yksi haavoittuvuuksista (wnpa-sec-2012-03) voi myös mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen järjestelmässä jossa käytetään Wiresharkia. Haavoittuvuutta voi käyttää hyväksi myös syöttämällä hyökkäystarkoituksessa muokattu tietoliikennepaketti wiresharkilla analysoitavan tietoliikenteen sekaan.

HUOMIO! Sivuston artikkelien tarkoituksena on saada lukijat parantamaan lähiverkkojen ja tietokoneiden suojausta näyttämällä miten helppoa on murtaa heikot suojaukset tai hyödyntää tunnettuja haavoittuvuuksia. Artikkelien tarkoituksena ei ole rohkaista ketään tunkeutumaan muiden ihmisten lähiverkkoihin tai tietokoneisiin. Sivustolla esitettyjä asioita saa kokeilla vain omaan lähiverkkoon tai tietokoneeseen. Salauksen murtamista tai tunkeutumista ei saa kokeilla toisten ihmisten lähiverkkoihin tai tietokoneisiin, koska se on laitonta. Tietomurron yritys on rangaistava teko kuten esimerkiksi porttiskannaus kts. KKO:n ennakkopäätös.