|
CERT-SPC016-09: Disponibilità di software correttivo per il protocollo NTP |
|
Venerdì 22 Maggio 2009 15:55 |
Si segnala inoltre una nuova versione del protocollo NTP (Network Time Protocol) che risolve numerose vulnerabilità in grado di consentire attacchi di tipo Denial of Service ed esecuzione di codice mediante la diffusione di pacchetti appositamente predisposti da un attaccante.
Si raccomanda l’aggiornamento alla versione 4.2.4p7. Ulteriori dettagli sono disponibili presso le seguenti URL:
https://lists.ntp.org/pipermail/announce/2009-May/000062.html <https://lists.ntp.org/pipermail/announce/2009-May/000062.html>
http://secunia.com/advisories/35130/ <http://secunia.com/advisories/35130/> |
|
|
Adobe: nuove modalità di rilascio degli aggiornamenti di sicurezza |
|
Venerdì 22 Maggio 2009 15:48 |
Adobe ha annunciato l'avvio di una pianificazione trimestrale del programma di rilascio degli aggiornamenti di sicurezza per i propri prodotti. La pubblicazione trimestrale sarà sempre prevista per il secondo martedì del mese di rilascio, in coincidenza parziale con quella mensile attuata da Microsoft.
L'annuncio di Adobe di un incremento degli sforzi di ricerca sulla sicurezza dei propri prodotti, segue la recente diffusione della vulnerabilità di tipo zeroDay relativa a Acrobat Reader. |
|
CERT-SPC014-09: Disponibilità di software correttivo per la tecnologia Cisco |
|
Venerdì 22 Maggio 2009 15:47 |
Cisco ha pubblicato un Security Advisory per risolvere una vulnerabilità in CiscoWorks (tftp directory traversal vulnerabilità); questa vulnerabilità, se sfruttata da un attaccante, può consentire accessi non autorizzati ai file. Il software di aggiornamento è scaricabile al seguente link:
http://www.cisco.com/warp/public/707/cisco-sa-20090520-cw.shtml |
|
Microsoft: strategie per mitigare l'impatto della vulnerabilità su IIS |
|
Venerdì 22 Maggio 2009 15:46 |
|
Microsoft ha realizzato un Security Advisory per illustrare alcune strategie utili per ridurre gli effetti conseguenti allo sfruttamento della vulnerabilità, già segnalata dal CERT-SPC, e relativa a Internet Information Server (IIS). Microsoft potrebbe realizzare un aggiornamento out-of-cycle rispetto al consueto rilascio mensile del software correttivo previsto il prossimo 9 Giugno (secondo martedì del mese).
Dettagli alla url:
http://www.microsoft.com/technet/security/advisory/971492.mspx <http://www.microsoft.com/technet/security/advisory/971492.mspx> |
|
CERT-SPC012-09: Vulnerabilità in Microsoft Internet Information Server 6 |
|
Venerdì 22 Maggio 2009 15:45 |
Alcune fonti segnalano una vulnerabilità che interessa il processo di autenticazione in Microsoft Internet Information Server 6 con WebDav attivo. La vulnerabilità indicata è simile a quella corretta con il bollettino MS01-026 nel Maggio del 2001 sfruttata dai malware Code Red e Nimda. WebDav non è attivo per impostazione predefinita sui sistemi interessati e può essere utilizzata, ad esempio, anche da Microsoft SharePoint. Al momento non sono disponibili ulteriori dettagli. Alcuni approfondimenti sono disponibili presso le seguenti URL:
http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html <http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html>
http://isc.sans.org/diary.html?storyid=6397 <http://isc.sans.org/diary.html?storyid=6397>
http://www.milw0rm.com/exploits/8704 <http://www.milw0rm.com/exploits/8704>
|
|
|
CERT-SPC011-09: disponibilità di software correttivo per la tecnologia IBM |
|
Venerdì 22 Maggio 2009 15:43 |
IBM ha rilasciato un aggiornamento di sicurezza che interessa OpenSSL incluso in AIX. Il software correttivo è relativo ad alcune vulnerabilità che consentirebbero ad un attaccante di eludere talune misure di sicurezza o causare condizioni di Denial of Service. Le versioni di AIX interessate dall'aggiornamento sono:
AIX 6.1: all versions less than 0.9.8.803
AIX 5.3: all versions less than 0.9.8.803
AIX 5.2: all versions less than 0.9.8.803
Ulteriori dettagli e software correttivo sono disponibili presso la seguente URL: http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc
http://secunia.com/advisories/35070/2/ |
|
CERT-SPC010-09: Aggiornamaento vulnerabiltià di Adobe Acrobat e Reader |
|
Venerdì 22 Maggio 2009 15:41 |
Come annunciato nei precedenti bollettini, Adobe ha reso disponibile l'aggiornamento di sicurezza per correggere la vulnerabilità, già segnalata dal CERT-SPC, relativa alla funzione "getAnnots Doc" e "customDictionaryOpen" in JavaScript API (CVE-2009-1492 e CVE-2009-1493). Entrambe le vulnerabilità consentono ad un attaccante di eseguire da remoto codice arbitrario o causare condizioni di denial of service sfruttando un errore nell'allocazione della memoria. Lo scenario d'attacco consiste nell'indurre un utente ad aprire un file PDF appositamente predisposto per sfruttare le vulnerabilità indicate. Si raccomanda gli utenti di installare tempestivamente l'aggiornamento proposto nei link seguenti dove è possibile trovare ulteriori dettagli oltre quelli già forniti nelle precedenti informative del CERT-SPC
http://www.adobe.com/support/security/advisories/apsa09-02.html
http://www.adobe.com/support/security/bulletins/apsb09-06.html
http://secunia.com/advisories/cve_reference/CVE-2009-1492
http://secunia.com/advisories/cve_reference/CVE-2009-1493 |
|
CERT-SPC009-09: Disponibilità di software correttivo per la tcnologia Microsoft |
211
(1 voto, media 2.00 di 5)
|
Venerdì 22 Maggio 2009 15:39 |
Nell'ambito del programma mensile di rilascio del software correttivo, come precedentemente annunciato dal CERT-SPC, Microsoft ha rilasciato il seguente bollettino di sicurezza:
* MS09-017 corregge 14 vulnerabilità che interessano Microsoft PowerPoint (CVE-2009-0220, CVE-2009-0221, CVE-2009-0222, CVE-2009-0223, CVE-2009-0224, CVE-2009-0225, CVE-2009-0226, CVE-2009-0227, CVE-2009-0556, CVE-2009-1128, CVE-2009-1129, CVE-2009-1130, CVE-2009-1131, CVE-2009-1137) relative al processo di allocazione della memoria (KB967340). Le vulnerabilità segnalate, se sfruttate con successo da un attaccante, consentono l'esecuzione di codice arbitrario sul sistema interessato. Tra le vulnerabilità corrette in questo aggiornamento risulta anche quella di tipo "zero-day" precedentemente segnalata dal CERT-SPC. Le vulnerabilità indicate richiedono l'interazione dell'utente per essere sfruttate. L'utente, infatti, è indotto da un attaccante ad aprire un file PPT appositamente predisposto attraverso allegati a messaggi di posta elettronica, programmi di chat e condivisone file, reti P2P o collegamenti a siti web "malevoli". Si raccomanda gli utenti di installare il software correttivo proposto anche in considerazione del fatto che è disponibile in rete l'exploit per alcune delle vulnerabilità segnalate. Ulteriori dettagli e l'elenco dei software interessati sono disponibili presso la seguente URL:
http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx |
|
|
<< Inizio < Prec. 11 12 13 14 15 16 17 18 19 20 Succ. > Fine >>
|
|
Pagina 19 di 21 |
Sottoscrivi il canale RSS del CERT-SPC