Vulnerabilità
Oracle: aggiornamenti del mese di Luglio
Mercoledì 14 Luglio 2010 09:44

Come annunciato in precedenza dal CERT-SPC, nella tarda serata di ieri sono stati rilasciati da Oracle gli aggiornamenti di sicurezza, nell'ambito del programma semestrale di correzione del software, per correggere 59 vulnerabilità che interessano i prodotti di seguito indicati:

• 6 for Oracle Database Server

• 2 for TimesTen In-Memory Database

• 5 for Oracle Secure Backup

• 7 for Oracle Fusion Middleware

• 1 for Oracle Enterprise Manager

• 7 for Oracle E-Business Suite

• 2 for Oracle Supply Chain Products Suite

• 8 for Oracle PeopleSoft and JDEdwards Suite

• 21 for Oracle Sun Products Suite

In particolare le versioni dei prodotti interessati dagli aggiornamenti di sicurezza sono: Oracle Database 11g Release 1, version 11.1.0.7 Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 Oracle Database 10g, version 10.1.0.5 Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV Oracle TimesTen In-Memory Database, versions 7.0.5.1.0, 7.0.5.2.0, 7.0.5.3.0, 7.0.5.4.0 Oracle Secure Backup version 10.3.0.1 Oracle Application Server, 10gR2, version 10.1.2.3.0 Oracle Identity Management 10g, version 10.1.4.0.1 Oracle WebLogic Server 11gR1 releases (10.3.1, 10.3.2 and 10.3.3) Oracle WebLogic Server 10gR3 release (10.3.0) Oracle WebLogic Server 10.0 through MP2 Oracle WebLogic Server 9.0, 9.1, 9.2 through MP3 Oracle WebLogic Server 8.1 through SP6 Oracle WebLogic Server 7.0 through SP7 Oracle JRockit R28.0.0 and earlier (JDK/JRE 5 and 6) Oracle JRockit R27.6.6 and earlier (JDK/JRE 1.4.2, 5 and 6) Oracle Business Process Management, versions 5.7.3, 6.0.5, 10.3.1, 10.3.2 Oracle Enterprise Manager Grid Control 10g Release 5, version 10.2.0.5 Oracle Enterprise Manager Grid Control 10g Release 1, version 10.1.0.6 Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 and 12.1.2 Oracle E-Business Suite Release 11i, versions 11.5.10, 11.5.10.2 Oracle Transportation Manager, Versions: 5.5.05.07, 5.5.06.00, 6.0.03 PeopleSoft Enterprise Campus Solutions, version 9.0 PeopleSoft Enterprise CRM, versions 9.0 and 9.1 PeopleSoft Enterprise FSCM, versions 8.9, 9.0 and 9.1 PeopleSoft Enterprise HCM, versions 8.9, 9.0 and 9.1 PeopleSoft Enterprise PeopleTools, versions 8.49 and 8.50 Oracle Sun Product Suite

L'impatto stimato per le vulnerabilità indicate è variabile e dipende molto dalla configurazione dei prodotti. Le potenziali conseguenze, almeno quelle più gravi, contemplano l'esecuzione di codice e comandi da remoto da parte di attaccanti non autenticati, compromissione della riservatezza delle informazioni oltre a creare condizioni di denial-of-service.

I dettagli dei numerosi aggiornamenti con le indicazioni per accedere al software correttivo sono disponibili presso la seguente URL: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html

 
Microsoft: aggiornamenti di sicurezza per il mese di Luglio
Mercoledì 14 Luglio 2010 08:29

Come precedentemente annunciato dal CERT-SPC, Microsoft ha reso disponibile nella tarda serata di ieri 4 bollettini di sicurezza, di cui 3 classificati come livello di pericolosità critico ed uno come importante, rilasciati nell'ambito del programma mensile di aggiornamento del software.
Leggi tutto...
 
Exploit per Microsoft Exchange Server 2007
Martedì 13 Luglio 2010 09:49

Alcune fonti monitorate dal CERT-SPC riportano la notizia della disponibilità in Rete di un exploit, di tipo Proof-of-Concept (PoF) che interessa il servizio di web mail - Outllook Web Access (OWA) - di Microsoft Exchange Server 2007 e probabilmente anche della verisone 2003. La vulnerabilità è causata da un errore nella validazione di alcuni dati fornti all'applicazione da un utnete malintenzioanto. Un' attaccante può sfruttarela vulnerabilità da remoto inducendo in utente a connettersi ad una pagina web appositamente predisposta. Secondo quanto indicato dall'autore dell'exploit la vulnerabilità è stata corretta e quindi non sfrutabile nel Service Pack 3 di Exchange Server 2007 mentre Exchenge server 2003 non è più supportato. Si consiglia gli amministratori di sistema di installare gli aggiornamenti più importanti relativamente alle versioni interessate.

Ulteriori dettagli sono disponibili presso le seguneti URL:
http://sites.google.com/site/tentacoloviola/pwning-corporate-webmails
http://www.securityfocus.com/bid/41462/
http://www.exploit-db.com/exploits/14285/ 

 
Adobe: disponibilità di software correttivo per Adobe Acrobat e Reader
(1 voto, media 3.00 di 5)
Lunedì 05 Luglio 2010 10:41

Adobe ha pubblicato lo scorso 29 Luglio un aggiornamento di sicurezza (APSB10-15) ritenuto critico per correggere molteplici vulnerabilità che interessano tutte le versioni di Adobe Reader fino alla 9.3.2 per i sistemi Windows, Macintosh e UNIX. L'aggiornamento di sicurezza interessa, altresì, anche tutte le versioni precedenti di Adobe Acrobat fino alla 9.3.2 inclusa per i sistemi Windows e Macintosh.

L'aggiornamento cumulativo di sicurezza corregge anche la vulnerabilità CVE-2010-1297 precedentemente segnalata dal CERT-SPC ed annunciata da Adobe nell'aggiornamento APSA10-01. Adobe raccomanda di aggiornare i propri sistemi alle versioni più recenti rilasciate quale correttivo alle vulnerabilità segnalate diffidando di link proposti in messaggi di posta elettronica sospetti o tramite ricerche in Rete. Si raccomanda di collegarsi direttamente al sito web della Adobe per installare le ultime versioni dei prodotti interessati dall'aggiornamento di sicurezza.

 
Mozilla Firefox: aggiornamento alla versione 3.6.4
(1 voto, media 5.00 di 5)
Giovedì 24 Giugno 2010 12:18
Mozilla ha rilasciato la versione 3.6.4 di Firefox per correggere molteplici vulnerabilità ritenute critiche che possono consentire ad un attaccante remoto di eludere talune misure di sicurezza del browser e compromettere la sicurezza del sistema sul quale è installata la versione vulnerabile del software. Le vulnerabilità segnalate nei link indicati di seguito, interessano sia le versioni 3.5 che 3.6 del browser open source.Tra le caratteristiche recentemente introdotte volte a migliorare la sicurezza nel browser di Mozilla si segnala "out-of-process plug-in" ovvero l'esecuzione di specifiche estensioni in processi separati ed isolati, come ad esempio Flash e Java, in modo da migliorare la sicurezza e l'affidabilità durante la visualizzazione di contenuti che fanno uso di particolari tecnologie. Ulteriori dettagli sono disponibili presso le seguenti URL:

http://www.mozilla.com/en-US/firefox/3.6.4/releasenotes/
http://www.mozilla.org/security/announce/2010/mfsa2010-26.html
http://www.mozilla.org/security/announce/2010/mfsa2010-27.html
http://www.mozilla.org/security/announce/2010/mfsa2010-28.html
http://www.mozilla.org/security/announce/2010/mfsa2010-29.html
http://www.mozilla.org/security/announce/2010/mfsa2010-30.html
http://www.mozilla.org/security/announce/2010/mfsa2010-31.html
http://www.mozilla.org/security/announce/2010/mfsa2010-32.html
http://www.mozilla.org/security/announce/2010/mfsa2010-33.html
http://secunia.com/advisories/40309/
http://threatpost.com/en_us/blogs/new-firefox-flaw-enables-url-spoofing-code-injection-062210 

 
Adobe: aggiornamento di sicurezza per flash
(1 voto, media 4.00 di 5)
Venerdì 11 Giugno 2010 17:40
Come indicato dal CERT-SPC, Adobe ha pubblicato l'aggiornamento di sicurezza per Flash Player. Oltre a correggere la vulnerabilità di tipo zero-day, precedentmente segnalata dal CERT-SPC, l'aggiornamento di sicurezza corregge molteplici vulnerabilità relative ad una errata allocazione della memoria nel riproduttore di contenuti multimediali flash di Adobe. Si raccomandano gli utenti, pertanto, di provvedere al tempestivo aggiornamento del software interessato seguendo le indicazioni disponibili presso le seguenti URL:

http://www.adobe.com/support/security/bulletins/apsb10-14.html
http://www.adobe.com/support/security/advisories/apsa10-01.html
http://blogs.adobe.com/asset/2010/06/background_on_apsa10-01_patch.html 

 
Microsoft: vulnerabilità in Help Center
Venerdì 11 Giugno 2010 09:37

Alcune fonti monitorate dal CERT-SPC segnalano una vulnerabilità nel servizio di guida in linea e supporto tecnico offerto da Microsoft. Tale servizio è l'applicazione predefinita per accedere on-line alla documentazione per Microsoft Windows. Microsoft supporta l'accesso ai documenti di aiuto direttamente tramite gli URL con l'installazione di un gestore di protocollo "hcp". La vulnerabilità segnalata interessa la gestione di valori anomali del protocollo hcp://. Un attaccante remoto può sfruttare questa vulnerabilità, non ancora confermata da Microsoft, per eseguire comandi arbitrari se l'utente visita una url appositamente predisposta. E' necessaria, pertanto, l'interazione dell'utente affinché la vulnerabilità sia sfruttata con successo. Raccomandiamo, come sempre, agli utenti di prestare la massima attenzione quando si accedono a siti web o servizi on-line sconosciuti o suggeriti tramite link contenuti in messaggi di posta elettronica sosptetti o quale risultato di ricerche sul web.

Ulteriori dettagli tecnici sono disponibili alla seguente URL: http://seclists.org/fulldisclosure/2010/Jun/205

 

Aggiornamento

Ancora oggi permane un livello di attenzione elevato in ordine a questa vulnerabilità che, non essendo ancora risolta dalla MIcrosoft, puo essere sfruttata per l'esecuzione di codice da remoto. Pur non essendo ancora noti exploit in grado di sfruttarla, si ha notizia di diversi proof of concept reperibili in Rete. Fino a che non sarà realizzato l'aggiornamento di sicurezza, si raccomanda di fare riferimento, oltre alla url sopra riportata, anche Security advisory realizzato da Microsoft ed aggiornato lo scorso venerdì:

http://www.microsoft.com/technet/security/advisory/2219475.mspx

Ultimo aggiornamento Lunedì 14 Giugno 2010 15:09
 
Altri Articoli...
<< Inizio < Prec. 1 2 3 4 5 6 7 8 9 10 Succ. > Fine >>

Pagina 1 di 16