How to Download QTP/UFT Patches from HP
Hewlett-Packard je izdao brojne zakrpe za komponentu u svojoj Softverski paket OpenView. Tvrtka savjetuje administratorima da odmah primijene zakrpe, s obzirom na težinu ranjivosti.
HP OpenView Network Node Manager (OV NNM) ima 12 ranjivosti prekoračenja međuspremnika koje napadač može iskoristiti za izvršavanje proizvoljnog koda i čak i kontrolu nad sustavom.
"Tehničke karakteristike tih ranjivosti (jednostavni preljev s podacima kontroliranim napadačima) čine ih glavnim ciljevima eksploatacije", rekao je Aaron Portnoy, istraživač tvrtke TippingPoint za mrežnu sigurnost, koji je pronašao neke od ranjivosti. TippingPoint je podjela tvrtke 3Com.
Samo OV NNM verzije 7.01, 7.51 i 7.53 koje se pokreću na HP-UX, Linuxu, Solarisu ili Microsoft Windowsu.[Pročitajte sljedeće: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows su ranjivi. Tvrtka je izdala zakrpu za verziju 7.53 softvera. Korisnici starijih pogođenih verzija softvera potiču se na nadogradnju na 7.53 i primjenjuju se zakrpa.
TippingPoint otkriva HP-u 11 od 12 ranjivosti. Portnoy, koji radi na TippingPointovim DVLabovima, otkrio je 7 takvih ranjivosti, a drugi 4 dolaze iz programa Zero Day Initiative tvrtke suradnika. IBM-ov tim za istraživanje sigurnosti X-Force pronašao je preostalu ranjivost.
Svaka od ranjivosti dobila je ocjenu 10 na ljestvici Sustav bodovanja s najčešćim ranjivosti, što je najbrojnije moguće. Sve ranjivosti dodijeljene su zajedničkim ranjivima i ekspozicijama, a trenutno ih pregledava uredništvo CVE.
Sve utvrđene ranjivosti TippingPoint nalaze se u različitim komponentama OV NMM-a koji koriste Common Gateway Interface (CGI), Portnoy objasnio je. "Napadač može iskoristiti bilo koji od ovih nedostataka za daljinsko izvršavanje proizvoljnog koda na zahvaćenom sustavu", rekao je, putem e-maila. Ovaj skup ranjivosti, svi oni vrste međuspremnika, omogućuju zlonamjernom korisniku da dostavi niz nizova koda izvršnoj osobi. Takav kôd mogao bi prebrisati memoriju sustava koja nije dodijeljena programu i mogla bi uključivati zlonamjerne naredbe koje bi uređaj izvršio.
"Većina ranjivosti o kojima govorimo ovdje je zbog toga što CGI ne provjerava duljinu nekih od ovih [ulaza] i kopira ih u pufere s fiksnom duljinom", Portnoy objasnio je. "Slanjem zahtjeva HTTP-a s dovoljno velikim nizom možemo prenijeti buffer i prebrisati unutarnje varijable, što će dovesti do daljinskog izvršavanja koda."
Ranjivost koju je X-Force otkrila također je preljev međuspremnika, koji omogućuje zlonamjernom korisniku za slanje HTTP poruke koja bi mogla prepuniti tampon. OV NNM "dopušta neautentificiranim korisnicima slanje proizvoljnih HTTP zahtjeva", izjavio je IBM savjetnik.
Network Node Manager, dio HP-ovog programa OpenView alata za upravljanje mrežom, olakšava otkrivanje čvorova na mreži, kao i mapiranje i praćenje mreža.
Dizajnerske nedostatke, osim ranjivosti, štetnih web stranica banaka
Bankarske web stranice pate od nedostataka u dizajnu koji mogu ugroziti njihovu sigurnost isključujući softverske ranjivosti prema ...
Adobe Patches Flash ranjivosti za tri platforme
Adobe je ažurirao Flash multimedijski softver kako bi uklonio pet propusta koji utječu na Windows, OS X i Linux sustave.
Ažuriranja će se baviti 64 ranjivosti u Microsoft Windowsu, Microsoft Officeu, Internet Exploreru, Visual Studiou, .NET Frameworku i GDI +. Svi kritični nedostaci s 6 značajnih ocijenjenih ranjivosti imaju rizik od daljinskog izvršavanja koda, a jedna važna ocijenjena ranjivost dopušta povisivanje privilegija, a drugi uzrokuje otkrivanje informacija.
Pogledajte tablicu u nastavku za više detalja.