Возможные уязвимости веб-сервера

09.05.2012

Портал SecurityLab.ru опубликовал 76 уведомлений безопасности, в которых было описано 123 уязвимости. Эти уязвимости в основном затронули пользовательские программы и софт, но есть некоторые уязвимости, через которые может быть нарушена работа сайта и вебсервера

 

В марте были описаны множественные уязвимости в MySQL, с помощью которой можно было обойти ограничение безопасности, проблему можно решить установкой MYSQL версии 5.5.22, которую можно скачать с сайта производителя.

 

Повышение привилегий в Zend Optimizer. Уязвимые версии Zend Optimizer 3.3.3 для виндовз и более ранние версии. Уязвимость появляется из-за установки небезопасных системных разрешений библиотекам ZendExtensionManager.dll и ZendOptimizer.dll. Пользователь может повысить свои привилегии на системе. Чтобы устранить уязвимость надо скачать с сайта производителя исправление.

 

Уязвимые vBulletin 4.1.11 и более ранние версии. С помощью уязвимости удаленный пользователь может произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в сценариях clientscript/ckeplugins/bbcode/plugin.js и clientscript/ckeditor/ckeditor.js. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Данная проблема решается установкой обновления, которое можно скачать с сайта производителя.

 

Уязвимые версии nginx 1.1.3 - 1.1.18, 1.0.7 - 1.0.14. Уязвимость позволяет удаленному пользователю выполнить произвольный код на сервере. Уязвимость существует из-за ошибки в модуле ngx_http_mp4_module при обработке определенных атомов. Удаленный пользователь может с помощью специально сформированного MP4 файла вызвать переполнение буфера и выполнить произвольный код на сервере. Успешная эксплуатация уязвимости требует, чтобы модуль ngx_http_mp4_module был включен, а директива mp4 была настроена. Данную уязвимость можно устранить установив исправление с сайта производителя.

 



Оставить комментарий...

Добавить комментарий


Защитный код
Обновить