Postřehy z bezpečnosti: VMware, Cisco a ASUS opravují chyby

Lukáš Malý 20. 1. 2014

Chyby se objevují, ale naštěstí také opravují. Cisco potvrdilo přítomnost backdooru ve small business zařízeních. Routery ASUS s USB úložištěm ve výchozím stavu vystavují zpřístupňují obsah. Chyba v BIND může způsobit pád serveru. VMware opravuje několik bezpečnostních problémů. SCADA opravuje produkt HMI.

Cisco potvrdilo přítomnost backdooru ve small business zařízeních. Backdoor objevil před týdnem francouzský hacker Eloi Vanderbeken. Oprava by měla být vydána do konce ledna 2014. Podrobnosti v Cisco Security Advisory – Advisory ID: cisco-sa-20140110-sbd.

Nastavení routeů ASUS může vystavit data uživatelů do Internetu. Výchozí nastavení v routerech ASUS umožňuje útočníkům vzdáleně přistupovat k datům na USB discích připojených k routeru. Je uvedeno několik modelů, které jsou touto vlastností vybaveny.

Byla nalezena chyba v DNS serveru BIND. Specifický dotaz proti NSEC3 u podepsané zóny může způsobit pád BIND. Podrobnosti v Knowledge Base ISCCVE-2014–0591. Opravy již vydaly OS Ubuntu, RedHat, FreeBSD.

VMware Workstation, Player, Fusion, ESXi, ESX a vCloud Director řeší několik bezpečnostních problémů.
VMware ESXi a ESX NFC NULL pointer dereference. Využití tohoto problému může vést k odmítnutí služby. Chcete-li snížit pravděpodobnost zneužití, měly by být vSphere komponenty rozmístěny v izolované síti.

VMware VMX proces odmítnutí služby zranitelnosti. Chyba v manipulaci neplatných portů, může způsobit, že proces VMX selže. Tato chyba zabezpečení může umožnit uživateli ovlivnit proces VMX. Výsledkem je částečné odmítnutí služby na hostitele.

VMware vCloud Director Cross Site Request Forgery (CSRF). VMware vCloud Director obsahuje zranitelnost v Hyper Text Transfer Protokolu při řízení relací. Útočník může svést ověřené uživatele ke klepnutí na nebezpečný (podvrhnutý) odkaz, což by vedlo k odhlášení uživatele. Uživatel je poté schopen se znovu přihlásit do systému.

widgety

SCADA opravuje HMI. Společnost Ecava vydala opravu na zero-day zranitelnost ve svém produktu Human Machine Interface (HMI). Software HMI poskytuje vizualizaci průmyslového řízení a výrobních procesů. Toto rozhraní komunikuje s programovatelnými automaty a řídí procesy z centrálního rozhraní. Tyto postupy mohou zahrnovat otáčky čerpadel a jejich vypnutí nebo zapnutí, nebo regulaci teploty a mnoho dalších činností. Analytik z týmu ReVuln uveřejnil zranitelnost nultého dne spočívající v přetečení zásobníku.

Ve zkratce

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: O2 Sport zbrojí na derby pražských S

O2 Sport zbrojí na derby pražských S

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích