Kaspersky Threats

Detekováno

?

05/05/2016

Míra zranitelnosti

?

Varování

Popis

V Apache Subversion bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tyto chyby zabezpečení zneužít, aby způsobili odmítnutí služby nebo obejít bezpečnostní omezení.

Níže je uveden úplný seznam chyb zabezpečení

Dereference s nulovým ukazatelem může být zneužitím ověřeným útočníkem způsobit odmítnutí služby prostřednictvím speciálně navržených požadavků MOVE nebo COPY;
Nesprávná manipulace s názvy oblastí může být vzdáleně využívána speciálně navrženou autentizační žádostí o vynechání omezení autentizace.

Technické údaje

Chyba zabezpečení (1) týkající se modulu mod_authz_svn. Tuto chybu zabezpečení lze využít prostřednictvím speciálně navržených záhlaví. Úspěšný útok vyžaduje, aby byl na cílovém serveru ověřen škodlivý uživatel, ale není třeba mít přístup k úložištím na serveru.

Chyba zabezpečení (2) související s knihovnou autentizace Cyrus SASL. Chyba při manipulaci s názvem oblasti vede k situaci, kdy uživatel autentizovaný do oblasti realm, který je předponou dvou reálných názvů, bude autentizován i do reálné oblasti 2. (například uživatel "jrandom" v říši "foo" může úspěšně autentizovat do úložiště, jehož sféra je "foobar").

Pokyny k ověření, zda jste postiženi těmito zranitelnostmi, chyby zabezpečení nebo záplatami, které lze uplatnit, najdete na původních doporučeních uvedených v odpovídající části tohoto poradenství.

Zasažené produkty

Apache verze Subversions starší než 1.8.16
Apache Subversions verze 1.9 dříve než 1.9.4

Řešení

Aktualizace na nejnovější verzi
Apache Subversion download page

Oficiální doporučení

Apache advisory 2168
Apache advisory 2167

Dopad

?

SB

[?]

DoS

[?]

Související produkty

Apache Subversion

CVE-IDS

?

CVE-2016-2168
CVE-2016-2167

Odkaz na originál

Zjistěte statistiky zranitelností šířících se ve vaší oblasti

Detekováno ?	05/05/2016
Míra zranitelnosti ?	Varování
Popis	V Apache Subversion bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tyto chyby zabezpečení zneužít, aby způsobili odmítnutí služby nebo obejít bezpečnostní omezení. Níže je uveden úplný seznam chyb zabezpečení Dereference s nulovým ukazatelem může být zneužitím ověřeným útočníkem způsobit odmítnutí služby prostřednictvím speciálně navržených požadavků MOVE nebo COPY; Nesprávná manipulace s názvy oblastí může být vzdáleně využívána speciálně navrženou autentizační žádostí o vynechání omezení autentizace. Technické údaje Chyba zabezpečení (1) týkající se modulu mod_authz_svn. Tuto chybu zabezpečení lze využít prostřednictvím speciálně navržených záhlaví. Úspěšný útok vyžaduje, aby byl na cílovém serveru ověřen škodlivý uživatel, ale není třeba mít přístup k úložištím na serveru. Chyba zabezpečení (2) související s knihovnou autentizace Cyrus SASL. Chyba při manipulaci s názvem oblasti vede k situaci, kdy uživatel autentizovaný do oblasti realm, který je předponou dvou reálných názvů, bude autentizován i do reálné oblasti 2. (například uživatel "jrandom" v říši "foo" může úspěšně autentizovat do úložiště, jehož sféra je "foobar"). Pokyny k ověření, zda jste postiženi těmito zranitelnostmi, chyby zabezpečení nebo záplatami, které lze uplatnit, najdete na původních doporučeních uvedených v odpovídající části tohoto poradenství.
Zasažené produkty	Apache verze Subversions starší než 1.8.16 Apache Subversions verze 1.9 dříve než 1.9.4
Řešení	Aktualizace na nejnovější verzi Apache Subversion download page
Oficiální doporučení	Apache advisory 2168 Apache advisory 2167
Dopad ?	SB [?] DoS [?]
Související produkty	Apache Subversion
CVE-IDS ?	CVE-2016-2168 CVE-2016-2167
	Odkaz na originál
	Zjistěte statistiky zranitelností šířících se ve vaší oblasti

KLA10808Vícenásobná chyba zabezpečení v aplikaci Subversion Apache

KLA10808
Vícenásobná chyba zabezpečení v aplikaci Subversion Apache