ot Zerg(8-09-2006)

reiting (13)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

TSel na dadenata statiia e da predostavi statisticheski danni za kolichestvoto otkriti i otstraneni uiazvimosti v populiarnite operatsioni sistemi prez avgust 2006 godina i ot nachaloto na godinata, a sushto taka nakratko da razgleda stepenta im na vuzdeistvie vurhu uiazvimata sistema. Triabva da se otchita, che priakoto sravnenie na tsifrite ne e korektno, tui kato za pravilonoto sravnenie na bezopasntostta na operatsionnite sistemi e neobhodimo da se otchetat razprostranenieto na izpolzvanite uiazvimi prilozheniia, konfiguratsiiata po podrazbirane, skorosta na otstraniavane na uiazvimostta ot momenta na otkrivaneto i, i t.n. Triabva sushto da se otchita, che bolshinstvoto proizvoditeli na Linux sistemi vklyuchvat ogromnoe kolichestvo prilozheniia v svoite distributivi, mnogo ot koito se izpolzvat kraino malko v malkite instalatsii.

Sushto taka triabva da se vzeme pod vnimanie, che v niakoi operatsionni sistemi (naprimer v SuSe Linux) za udobstvo na potrebitelite v edin patch prisustvat popravki za niakolko uiazvimosti, koeto chesto v statistikata se otraziava kato otstraniavane na edna uiazvimost. Predostavena e informatsiia samo za poslednite versii na OS, makar i mnogo ot proizvoditelite da poddurzhat i obnoviavat starite versii na svoite OS. Za prostota opastnostta se deli na 3 grupi – kritichni, sredni i nekritichni.

Apple Macintosh OS X

Prez Avgust 2006 g. kompaniiata Apple e publikuvala 1 popravka, otstraniavashta 25 razlichni uiazvimosti, mnogo ot koito kritichni. Vsichko ot nachaloto na godinata sa poblikuvani 9 popravki, otsraniavashti 60 razlichni uiazvimosti, 39 ot koito sa kritichni, 8 ot sredna stepen na opasnost i 13 neopasni uiazvimosti. 47 ot otkritite uiazvimosti sa mozheli da se izpolzvato ot otdalechen potrebitel i 19 ot tiah sa mozheli da dovedat do poluchavane na pulen kontrol nad sistemata. V nastoiashtiiat moment ne e izvestno za nalichie na neotstraneni uiazvimosti v Apple Macintosh OS X.

Debian Linux 3.1

Prez avgust 2006 g. proizvoditelite na Debial Linux sa publikuvali 34 uvedomleniia, popraviashti uiazvimosti v sendmail, gtetrinet, libmusicbrainz, Ruby, KDE, Wiki, streamripper, ClamAV, heartbeat, shadow, ncompress, MIT Kerberos 5, Drupal, gallery, chmlib, freeradius, freeciv, gnupg, DHCP, GNUPG, xpdf, CFS, TIFF, libtunepimp, Mozilla Thunderbird, Mantis, Apache, Ethereal i drugi prilozheniia, dostaviani s operatsionata sistema Debian Linux. Vsichko ot nachaloto na godinata sa izdadeni 223 uvedomleniia, koito sa otstranili 33 kritichni uiazvimosti, 116 uiazvimosi ot sredna stepen na opasnost, 74 neopasni uiazvimosti. 180 ot otstranenite uiazvimosti sa mozheli da se izpolzvat ot otdalechen atakuvasht, 33 ot lokalnata mrezha i 10 ot lokalen potrebitel. V nastoiashtiia moment ne e otstranena uiazvimostta – nebezopasni razresheniia v /var/log/debian-installer/cdebconf (CVE-2006-1376) – i za 18 uiazvimosti sa predlozheni vremenni ili chastichni resheniia.

FreeBSD 6.x

Prez avgust 2006 g FreeBSD sa poblikuvali informatsiia za edna uiazvimost v sppp draivera pri obrabotka na LCP paketi. Vsichko ot nachaloto na godinata vuv FreeBSD sa otkriti 16 uiazvimosti, 1 ot koito kritichna (v sendmail), 6 ot sredna stepen na opasnost i 9 neopasni uiazvimosti. 9 ot otkritite uiazvimost mogat da se izpolzvat ot otdalechen potrebitel, 2 ot lokalnata mrezha i 5 samo ot lokalen potrebitel. 2 uiazvimosti mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 4 kum DoS ataka, ostalite do osushtestiavane na drugi tipove napadenie. V nastoiashtiiat moment ne e izvestno za nalichie na neotstraneni uiazvimosti v FreeBSD.

Gentoo Linux 1.x

Prez avgust 2006 g Gentoo sa poblikuvali 28 uvedomleniia, v koito se suobshtava za otstraniavane na uiazvimostei v motor, wireshark, php, heimdal, heartbeat, rails, wordpress, libwmf, net-server, mit-krb5, dumb, clamav, x11vnc, webmin/usermin, gnupg, tiff, pike i niakoi drugi prilozheniia. Vsichko ot nachaloto na godinata Gentoo sa poblikuvali 159 popravki, otstraniavashti 40 kritichni uiazvimosti, 80 uiazvimosti ot sredna stepen na opasnost i 39 neopasni uiazvimosti, 127 ot koito mogat da se izpolzvat ot otdalechen potrebitel. 56 ot otkritite uiazvimosti mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 44 do DoS ataki, ostalite do drugi tipove napadeniia. V nastoiashtiiat moment v Gentoo Linux ne sa otstraneni 3 uiazvimosti – v alsaplayer (CVE-2006-4089), warzone2100(CVE-2006-3849) i tunepimp (CVE-2006-3600).

HP-UX 11.x

Prez avgust 2006 g v HP-UX be suobshteno za nalichieto na 5 uiazvimosti v trusted mode, Support Tools Manager, LP Subsystem, Xserver i Sendmail Vsichko ot nachaloto na godinata sa publikuvani 21 popravki, otstraniavashti 2 kritichni uiazvimosti, 4 uiazvimosti ot sredna stepen i 15 nekritichni dupki, ot koito 5 e vuzmozhno da se izpolzvat ot otdalechen potrebitel. 2 ot otkritite uiazvimosti sa mozheli da dovedat do poluchavane na pulen kontrol na uiazvimata sistema, 8 do osushtestviavane na DoS ataki, ostalite do drugi tipove napadeniia. V nastoiashtiia moment ne e izvestno za nalichie na nezatvoreni uiazvimosti v HP-UX 11.x.

Mandriva Linux 2006

Prez avgust 2006 g be suobshteno za nalichie na 3 uiazvimosti v Mandriva Linux 2006 -DoS ataka v MySQL, niakolko uiazvimosti v sudo i niakolko uiazvimosti v xorg-x11. Ot april 2006 goda (ot purvata versiia na Mandriva Linux) sa poblikuvani 78 uvedomleniia, otstraniavashti 15 kritichni uiazvimosti, 37 uiazvimosti ot sredna stepen i 26 nekritichni uiazvimosti, 58 ot koito mogat da se izpolzvat ot otdalechen potrebitel. 25 ot tiah mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 28 do DoS ataki, ostalite do osushtestviavane na drugi tipove napadeniia. V nastoiashtiiat moment ne e izvestno za nalichie na nezatvoreni uiazvimosti v Mandriva Linux 2006.

Microsoft Windows XP Professional

Prez avgust 2006 g biaha otkriti 4 novi uiazvimosti v Windows XP – v sluzhbite Winlogon, Server, v Winsock API i pri obrabotkata na WMF faile , i otstraneni niakolko uiazvimosti otkriti po rano. Ot nachaloto na godinata sa otkriti 26 uiazvimosti, 10 ot koito imat kritichna stepen na opasnost, 8 sredna stepen i 8 neopasni uiazvimosti. 15 ot otkritite uiazvimosti mogat da se izpolzvat ot otdalechen atakuvasht, 8 ot lokalnata mrezha i 3 samo ot lokalen potrebitel. 16 ot otkritite uiazvimosti mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 4 do DoS ataki, ostanalite do drugi vidove napadenie. V nastoiashtiiat moment e izvestno za 3 nezatvoreni uiazvimosti v operatsionnata sistema Windows XP – DoS ataka pri obrabotka na WMF fail (CVE-2006-4071), DoS ataka pri obrabotka na SMB suobshteniia (CVE-2006-3942) i DoS ataka pri obrabotka na CMH failove (CVE-2006-2297).

Microsoft Windows Server 2003

Prez avgust 2006 g kompaniiata Microsoft suobshti za otstraniavane na 4 uiazvimosti v Microsoft Windows Server 2003. Vsichko ot nachaloto na godinata sa otkriti 24 uiazvimosti v Windows 2003, 9 ot koito kritichni, 8 ot sredna stepen i 7 neopasni uiazvimosti. 13 ot otkritite dupki mogat da se izpolzvat otdalecheno, 8 ot lokalnata mrezha i 2 samo ot lokalen potrebitel. 14 ot otkritite uiazvimosti mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 5 do DoS ataki, ostalite do drugi vidove napadeniia. V nastoiashtiiat moment e izvestno za 2 nezatvoreni uiazvimosti v operatsionnata sistema Microsoft Windows Server 2003 – DoS ataka pri obrabotka na WMF failove (CVE-2006-4071) i DoS ataka pri obrabotka na SMB suobshteniia (CVE-2006-3942) v sluzhbata Server.

RedHat Enterprise Linux

Prez avgust 2006 g Red Hat publikuva 13 uvedomleniia, otstraniavashti razlichni uiazvimosti v libtiff, gnupg, seamonkey, krb5, apache, krb5, ntp, krb5, perl, ethereal, xorg-x11, kernel, ImageMagick. Vsichko ot nachaloto na godinata sa izdadeni 74 popravki, otstraniavashti 14 kritichni uiazvimosti, 44 uiazvimosti ot srednei stepen na opasnost, 16 uiazvimosti s niska opasnost. 60 ot otstranenite uiazvimosti mogat da se izpolzvat otdalecheno, 3 ot lokalnata mrezha i 11 ot lokalen potrebitel. 21 ot zatvorenite dupki mogat da se izpolzvat za poluchavane na pulen kontrol nad uiazvimata sistema, 25 za DoS ataki i 5 za povishavane na lokalnite prava. . V nastoiashtiiat moment v RedHat Enterprise Linux 4 napulno sa otstraneni vsichki izvestvi do momenta uiazvimosti.

Slackware Linux 10.x

Prez avgust 2006 g be suobshteno za nalichie na 2 uiazvimosti v Slackware Linux 10.x – mnozhestveni uiazvimosti v LibTIFF i otkaz ot obsluzhivane v GnuPG. Vsichko ot nachaloto na godinata sa izdadeni 20 popravki, koito otstraniavat 4 kritichni uiazvimosti, 9 uiazvimosti ot sredna opasnost i 7 nekritichni uiazvimosti, 14 ot koito mogat da se izpolzvat ot otdalechen potrebitel. 5 ot otkritite uiazvimosti mogat da dovedat do poluchavane na pulen kontrol nad uiazvimata sistema, 8 do DoS ataki, ostalite do drugi tipove napadaniia. V nastoiashtiiat moment ne e izvestno za nalichie na otvoreni uiazvimosti v Slackware Linux 10.x.

Sun Solaris 10

Prez avgust 2006 g be suobshteno za 6 dupki v operatsionnata sistema Sun Solaris 10 – nebezopasni razresheniia v pkgadd, niakolko uiazvimosti v Mozilla, vdigane na pravata v RBAC, lokalen DoS pri obrabotkata na netstat ili SNMP zapitvaniia i DoS pri intenziva mrezhova aktivnost. Vsichko ot nachaloto na godinata v Sun Solaris 10 sa otkriti 30 uiazvimosti, 12 ot koito mogat da se izpolzvat ot otdalechen potrebitel, 2 ot lokalnata mrezha i 16 ot lokalen potrebitel. 2 uiazvimosti sa kritichni, 6 uiazvimosti ot sredna stepen i 22 neopasni uiazvimosti. 3 ot otkritite uiazvimosti mogat da se izpolzvat za poluchavane na pulen kontrol nad uiazvimata sistema, 13 za DoS ataki, 2 za povishavane na lokalnite prava, a ostanalite za osushtestviavane na drugi tipove napadenie. V nastoiashtiiat moment napulno sa otstraneni 26 uiazvimosti, a 4 uiazvimosti sa otstraneni chastichno, ili e predlozheno vremenno reshenie za tiahnoto otstraniavane.

SUSE Linux 10.1

Prez avgust 2006 g Novell publikuva informatsiia za 6 patcha v SuSe Linux 10 – mnozhestveni greshki v razlichnite produkti na Mozilla, 11 uiazvimosti v razlichni paketi (CVE-2006-1168, CVE-2006-3083, CVE-2006-3084, CVE-2006-3627, CVE-2006-3628, CVE-2006-3629, CVE-2006-3630, CVE-2006-3631, CVE-2006-3632, CVE-2006-3746, CVE-2006-4020), 7 uiazvimosti v razlichni paketi (CVE-2006-1695, CVE-2006-3119, CVE-2006-3376, CVE-2006-3404, CVE-2006-3458, CVE-2006-3548, CVE-2006-3549), kritichna uiazvimost v clamav, prepulvane na bufera v libtiff i prepulvane na bufera v freetype2. Vsichko ot iyuli 2006 g (purvata versiia na SUSE Linux 10.1) sa publikuvani 14 uvedomleniia, 5 ot koito otstraniavat kritichni uiazvimosti, 8 uiazvimosti ot sredna opastnost i 1 neopasna uiazvimost. 13 ot tiah mogat da se izpolzvat otdalecheno i 1 ot lokalen potrebitel. 4 ot tiah mogat da dovedat do poluchavane na pulen dostup do sistemata, 5 do DoS ataka, ostanalite do drugi tipove napadenie. V nastoiashtiiat moment v SUSE Linux 10.1 napulno sa otstraneni vsichki izvestni do sega uiazvimosti, spetsifichni za tazi operatsionna sistema.

Kakto se vizhda ot predostavenite danni, ne sushtestvuva absolyutno bezopasna operatsionna sistema. Dori edna nezatvorena navreme uiazvimost mozhe da dovede do pechalni posledstviia, poradi koeto e neobhodimo reguliarno da se sledi za izlizaneto na novi obnoviavaniia na operatsionnata sistema i da se postaviat neobhodimite popravki. Istochnik: SecurityLab

Statiiata e prevod ot Gazeta InfoSecurity.ru

Molia ako otkriete netochnosti da gi pusnete kato komentar.


<< Linuks universitetski tsentrove za obuchenie | XMMS - nov oblik >>