CERT-FI Haavoittuvuudet http://www.cert.fi FI Copyright @ 2002-2007 CERT-FI/FICORA Fri, 3 Feb 2012 09:28:52 +0200 Fri, 3 Feb 2012 09:28:53 +0200 CERT-FI http://www.ficora.fi/suomi/pics/CERT-FI_rss.gif http://www.cert.fi http://www.cert.fi/seuranta.html.stx?NetaPath=/channels/public/www/cert/fi/index/rss/haavoittuvuudet.xml&NetaUserId=&NetaSiteName=" http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-016.html PHP-kielestä on löytynyt hyökkääjän ohjelmankoodin suorittamisen mahdollistava toteutusvirhe. Haavoittuvuutta voi hyväksikäyttää tietyllä tavalla muotoillun url-parametrin avulla. PHP 5.3.9:ää aikaisemmat versiot eivät ole haavoittuvia, ellei asennuksia ole erikseen korjattu aikaisemmin löytyneen CVE-2011-4885 -haavoittuvuuden varalta. Thu, 2 Feb 2012 21:45:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-014.html Päivityksissä tuli korjauksia palvelukonsolissa (Service Console) käytettyyn ytimeen, Xen hypervisor-toteutukseen ja sen mukana tukeviin curl-, rpm-, nsr-, nspr-, samba- ja python-versioihin. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omaa ohjelmakoodiaan, päästä käsiksi luottamukselliseen tietoon tai aiheuttaa palvelunestotila tai jopa kaataa isäntäkone virtuaalikoneesta käsin. Wed, 1 Feb 2012 13:05:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-015.html Apple on julkaissut päivityksen 2012-001 Mac OS X -käyttöjärjestelmäympäristöön. Päivityksellä korjataan lukuisia haavoittuvuuksia Mac OS X -käyttöjärjestelmän komponenteista ja sen mukana toimitettavista ohjelmistoista. Seuraavat komponentit ja ohjelmistot ovat saaneet korjauksen: Address Book Apache ATS CFNetwork ColorSync CoreAudio CoreMedia CoreText CoreUI curl Data Security dovecot filecmds ImageIO Internet Sharing Libinfo libresolv libsecurity OpenGL PHP QuickTime SquirrelMail Subversion Time Machine Tomcat WebDAV Sharing Webmail X11 Thu, 2 Feb 2012 13:57:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-013.html Mozilla on julkaissut 9 korjauspäivitystä tuotteisiinsa. Ne korjaavat haavoittuvuuksia muistinkäsittelyssä, www-sivustojen sisällön välisissä suojauksissa, kehyksissä ajettavien skriptien suojauksissa ja Ogg Vorbis- ja kuvaketiedostojen käsittelyssä. Vakavimmat haavoittuvuuksista saattavat mahdollistaa hyökkääjän koodin suorittamisen käyttäjän koneella. Wed, 1 Feb 2012 10:39:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-012.html Sudo on sovellus, jonka avulla määritellyille käyttäjille voi antaa mahdollisuuden ajaa tiettyjä komentoja pääkäyttäjäoikeuksin. Sen debug-toiminnallisuudesta on löytynyt toteutusvirhe, jota hyväksikäyttämällä kenen tahansa käyttäjän on mahdollista suorittaa haluamiansa komentoja pääkäyttäjän (root) oikeuksin. Debug-toiminnallisuus on tullut vasta versiossa 1.8.0., joten tätä vanhemmat versiot eivät ole haavoittuvia. Tue, 31 Jan 2012 11:46:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-011.html Symantec pcAnywhere on PC-koneiden etähallintaan tarkoitettu työkalu. Ohjelmistosta on löytynyt kaksi haavoittuvuutta, joista toinen voi mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvuus johtuu puutteelliseesta syötteentarkistuksesta käyttäjätodennuksen toteutuksessa. Toinen haavoittuvuus voi mahdollistaa paikallisesti kirjautuneen käyttäjän käyttövaltuuksien korottamisen. Wed, 25 Jan 2012 14:45:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-010.html Linux-ytimestä on löytynyt haavoittuvuus joka voi mahdollistaa käyttövaltuuksien korottamisen pääkäyttäjän (root) tasolle. Haavoittuvuus liittyy käyttöjärjestelmän tapaan käsitellä prosessien muistialuetta /proc/pid/mem -rajapinnan kautta. Useita haavoittuvuutta hyväksi käyttäviä hyökkäysmenetelmiä on julkaistu. Hyväksikäyttö edellyttää että hyökkääjällä on toimiva käyttäjätunnus kohdejärjestelmään. Wed, 25 Jan 2012 14:40:00 +0200 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-009.html Oracle on julkaissut ohjelmistopäivitykset 78 haavoittuvuuteen, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen kohteena olevassa järjestelmässä.Oracle Database ServerOracle Database Server -ohjelmiston päivitykset sisältävät korjaukset kahteen haavoittuvuuteen, joista toista voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Core RDBMS (CVE-2012-0082)Listener (CVE-2012-0072)Oracle Fusion MiddlewareOracle Fusion Middleware -ohjelmiston päivitykset sisältävät korjaukset yhteentoista haavoittuvuuteen, joista viittä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle Outside In Technology (CVE-2011-4516, CVE-2011-4517, CVE-2012-0110)Oracle Web Services Manager (CVE-2011-3531, CVE-2011-3568, CVE-2011-3569)Oracle WebCenter Content (CVE-2012-0083, CVE-2012-0084, CVE-2012-0085)Oracle WebLogic Server (CVE-2011-3566, CVE-2012-0077)Oracle E-Business SuiteOracle E-Business Suite -ohjelmiston päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle Application Object Library (CVE-2012-0073, CVE-2012-0078)Oracle Forms (CVE-2011-2271)Oracle Supply ChainOracle Supply Chain -tuotteiden päivitys sisältää korjauksen yhteen haavoittuvuuteen, jota voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitys koskee seuraavia ohjelmistokomponentteja: Oracle Transportation Management (CVE-2011-3192)Oracle PeopleSoftOracle PeopleSoft -tuotteiden päivitykset sisältävät korjaukset kuuteen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: PeopleSoft Enterprise CRM (CVE-2012-0074)PeopleSoft Enterprise HCM (CVE-2012-0076, CVE-2012-0080, CVE-2012-0088, CVE-2012-0089)PeopleSoft Enterprise PeopleTools (CVE-2012-0091)Oracle JD EdwardsOracle JD Edwards -tuotteiden päivitykset sisältävät korjaukset kahdeksaan haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: JD Edwards EnterpriseOne Tools (CVE-2011-2317, CVE-2011-2021, CVE-2011-2024, CVE-2011-2025, CVE-2011-2026, CVE-2011-3509, CVE-2011-3514, CVE-2011-3524)Oracle Sun Products SuiteOracle Sun -tuotteiden päivitykset sisältävät korjaukset seitsemääntoista haavoittuvuuteen, joista kuutta voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: GlassFish Enterprise Server (CVE-2011-3564, CVE-2011-5035, CVE-2012-0081, CVE-2012-0104)Oracle Communications Unified (CVE-2011-3565, CVE-2011-3570, CVE-2011-3573, CVE-2011-3574)Oracle OpenSSO (CVE-2012-0079)Solaris (CVE-2012-0094, CVE-2012-0096, CVE-2012-0097, CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0103, CVE-2012-0109)Oracle VirtualizationOracle Virtualization -tuotteiden päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: Oracle VM VirtualBox (CVE-2012-0105, CVE-2012-0111)Virtual Desktop Infrastructure (VDI) (CVE-2011-3571)Oracle MySQLOracle MySQL -ohjelmiston päivitykset sisältävtät korjaukset 27 haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista. Päivitykset koskevat seuraavia ohjelmistokomponentteja: MySQL Server (CVE-2011-2262, CVE-2012-0075, CVE-2012-0087, CVE-2012-0101, CVE-2012-0102, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118, CVE-2012-0119, CVE-2012-0120, CVE-2012-0484, CVE-2012-0485, CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493, CVE-2012-0494, CVE-2012-0495, CVE-2012-0496) Wed, 18 Jan 2012 11:53:00 +0200 http://www.cert.fi/haavoittuvuudet/2011/haavoittuvuus-2011-130.html Oracle on julkaissut kriittiseksi luokiteltuja päivityksiä Java -ohjelmointikielen kehitys- ja ajoympäristöihin. Päivitykset korjaavat yhteensä 20 haavoittuvuutta, joista 9 voivat mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Haavoittuvuudet liittyvät muun muassa etäkutsuihin, grafiikan, käyttöliittymien ja äänien käsittelyyn, ajoympäristöön, sovelmien käyttöön saattamiseen ja verkkotoimintoihin. Oracle ei ole julkaissut yksityiskohtaisempia tietoja haavoittuvuuksista.Päivitys sisältää lisäksi toiminnallisia parannuksia, sekä lisäyksiä turvattomiksi havaittujen JAR-tiedostojen listaan, eli ns. JAR blacklisting-toimintoon, jonka avulla estetään turvattomien allekirjoitettujen JAR-ohjelmien ajaminen. Thu, 20 Oct 2011 14:13:00 +0300 http://www.cert.fi/haavoittuvuudet/2012/haavoittuvuus-2012-008.html Wiresharkista on löytynyt kolme haavoittuvuutta. Haavoittuvuuksia voi käyttää hyväksi houkuttelemalla käyttäjän avaamaan tallennettua liikennettä sisältävän tiedoston, jota hyökkääjä on muokannut. Yksi haavoittuvuuksista (wnpa-sec-2012-03) voi myös mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen järjestelmässä jossa käytetään Wiresharkia. Haavoittuvuutta voi käyttää hyväksi myös syöttämällä hyökkäystarkoituksessa muokattu tietoliikennepaketti wiresharkilla analysoitavan tietoliikenteen sekaan. Wed, 11 Jan 2012 12:35:00 +0200