Hlavní navigace

Postřehy z bezpečnosti: VMware, Cisco a ASUS opravují chyby

Lukáš Malý

Chyby se objevují, ale naštěstí také opravují. Cisco potvrdilo přítomnost backdooru ve small business zařízeních. Routery ASUS s USB úložištěm ve výchozím stavu vystavují zpřístupňují obsah. Chyba v BIND může způsobit pád serveru. VMware opravuje několik bezpečnostních problémů. SCADA opravuje produkt HMI.

Cisco potvrdilo přítomnost backdooru ve small business zařízeních. Backdoor objevil před týdnem francouzský hacker Eloi Vanderbeken. Oprava by měla být vydána do konce ledna 2014. Podrobnosti v Cisco Security Advisory – Advisory ID: cisco-sa-20140110-sbd.

Nastavení routeů ASUS může vystavit data uživatelů do Internetu. Výchozí nastavení v routerech ASUS umožňuje útočníkům vzdáleně přistupovat k datům na USB discích připojených k routeru. Je uvedeno několik modelů, které jsou touto vlastností vybaveny.

Byla nalezena chyba v DNS serveru BIND. Specifický dotaz proti NSEC3 u podepsané zóny může způsobit pád BIND. Podrobnosti v Knowledge Base ISCCVE-2014–0591. Opravy již vydaly OS Ubuntu, RedHat, FreeBSD.

VMware Workstation, Player, Fusion, ESXi, ESX a vCloud Director řeší několik bezpečnostních problémů.
VMware ESXi a ESX NFC NULL pointer dereference. Využití tohoto problému může vést k odmítnutí služby. Chcete-li snížit pravděpodobnost zneužití, měly by být vSphere komponenty rozmístěny v izolované síti.

VMware VMX proces odmítnutí služby zranitelnosti. Chyba v manipulaci neplatných portů, může způsobit, že proces VMX selže. Tato chyba zabezpečení může umožnit uživateli ovlivnit proces VMX. Výsledkem je částečné odmítnutí služby na hostitele.

VMware vCloud Director Cross Site Request Forgery (CSRF). VMware vCloud Director obsahuje zranitelnost v Hyper Text Transfer Protokolu při řízení relací. Útočník může svést ověřené uživatele ke klepnutí na nebezpečný (podvrhnutý) odkaz, což by vedlo k odhlášení uživatele. Uživatel je poté schopen se znovu přihlásit do systému.

SCADA opravuje HMI. Společnost Ecava vydala opravu na zero-day zranitelnost ve svém produktu Human Machine Interface (HMI). Software HMI poskytuje vizualizaci průmyslového řízení a výrobních procesů. Toto rozhraní komunikuje s programovatelnými automaty a řídí procesy z centrálního rozhraní. Tyto postupy mohou zahrnovat otáčky čerpadel a jejich vypnutí nebo zapnutí, nebo regulaci teploty a mnoho dalších činností. Analytik z týmu ReVuln uveřejnil zranitelnost nultého dne spočívající v přetečení zásobníku.

Ve zkratce

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

20. 1. 2014 23:15

ehiker (neregistrovaný)

Souhlas, ono je vsechno v tom clanku, jen se musi precist cely:)

V clanku je napsano, ze firma se jmenuje Ecava jeji HMI software se jmenuje IntegraXor. Je pravda, ze tam neni rozvinuta zkratka SCADA.

SCADA je jen zkratka pro kategorii systemu a HMI je podmozina, viz

http://en.wikipedia.org/wiki/SCADA

http://en.wikipedia.org/wiki/User_interface

Je to neco jako kdyz napisete, ze IT opravuje PC:)

Tyto postupy... me taky prastily do oci, pokud je v originale processes, tak preklad je procesy.…

20. 1. 2014 0:40

Jenda (neregistrovaný)

VMware VMX proces odmítnutí služby zranitelnosti. Chyba v manipulaci neplatných portů, může způsobit, že proces VMX selže. Tato chyba zabezpečení může umožnit uživateli ovlivnit proces VMX. Výsledkem je částečné odmítnutí služby na hostitele.

To jako fakt?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Komu musí od ledna zvýšit mzdu?

Komu musí od ledna zvýšit mzdu?

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu