Cross Site Scripting
Openfire'da çeşitli güvenlik açıkları tespit edildi. Kötü amaçlı kişiler bu açıklardan yararlanarak çapraz-site betik çalıştırma saldırısı gerçekleştirebiliyor ve önemli bilgileri görüntüleyebiliyorlar.
Güvenlik açıklarının 3.6.2 sürümünde olduğu doğrulanmış fakat diğer sürümler de etkileniyor olabilir.
Çözüm:
Movable Type yazılımında cross site scripting saldırıları yapılabilmesini sağlayan bir açık olduğu rapor edildi.
Açığın hangi parametrelerde olduğu açıklanmadı. Aşağaıdaki sürümlerin etkilendiği rapor edildi fakat diğer sürümler de etkileniyor olabilir:
- Movable Type 4
- Movable Type 4 Enterprise
- Movable Type 4 Community Edition
- Movable Type 4 (Open Source)
- Movable Type 3
- Movable Type Enterprise 1.5
Default olarak /assets/snippets/reflect/snippet.reflect.php altında olan Reflect snippet referans kopyası ile, belirli konfigürasyonlardaki siteler, XSS ve uzaktan dosya dahil etme açıklarından etkileniyor.
Kalıcı bir çözüm olarak bu dosyanın uzantısını .txt olarak değiştirebilir veya tamamen silebilirsiniz. Referans olarak dahil edilmişti ve şu an indirilebilen dağıtımda bu dosya kaldırılmış.
Açığın MODx CMS 0.9.6.2 sürümünü etkilediği rapor edildi.
Sun Java System mesajlaşma sunucusunda, kullanıcı tarafından girilen verileri doğru olarak filtrelemediği için XSS (Cross Site Scripting) güvenlik açığı olduğu rapor edildi.
Açığın 6.2 ve 6.3 sürümlerini etkilediği rapor edildi.
Açığın giderildiği yamaları indirmek için: http://sunsolve.sun.com/search/document.do?assetkey=1-66-242186-1
ZoRLu tarafından tespit edilen XSS ve SQL Injection açıkları, full_txt.php dosyasında id parametresine geçirilen verilerin SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesinden kaynaklanıyor. Bu açıklardan yararlanarak kullanıcının browser oturumunda istenilen HTML ve script kodu çalıştırmak veya istenilen SQL kodlarını SQL sorgularına eklemek mümkün olabiliyor.
Açığın 1.5 sürümünde olduğu rapor edilmiş. Diğer sürümlerde etkileniyor olabilir.
Çözüm:
Novell eDirectory kullanıcı tarafından sağlanan girdilerde doğru olarak sınır kontrolü yapmadığı için 4 tane heap tabanlı hafıza taşması açığından etkileniyor.
Novell eDirectory yazılımının 8.8 SP3 öncesi sürümlerinin bu açıktan etkilendiği rapor edildi.
Kaynak: http://www.novell.com/support/viewContent.do?externalId=3426981
web tabanlı içerik yönetimi sistemi (CMS) myPHPNuke yazılımında çeşitli giriş kontrol problemleri tespit edildi.
Saldırganlar SQL Injection açığından yararlanarak verilere erişebilir veya değiştirebilir veya veritabanı sunucusunda komutlar çalıştırabilirler.
1.8.8_8rc2 öncesi sürümlerin etkilendiği rapor edilmiş. Açıkları kapatmak için en son sürüme güncellemek gerekiyor.
Kaynak: http://www.securityfocus.com/bid/30942
IBM Lotus Connections ürününün xss, SQL Injection, bilgi görüntüleme ve diğer henüz açıklanmayan güvenlik açıklarından etkilendiği rapor edildi.
Bu açıklardan yararlanan bir saldırgan önemli bilgilere erişebilir, çerez-tabanlı kimlik doğrulama bilgilerini ele geçirebilir, uygulamayı ele geçirebilir, verilere erişebilir veya değiştirebilir veya veritabanında komutlar çalıştırabilir.
2.0.1 sürümü öncesi bu açıklardan etkileniyor.
TYPO3'de kötü amaçlı kişilerin cross site scripting saldırıları gerçekleştirebilmelerine izin veren bir güvenlik açığı olduğu rapor edildi.
file backend modülüne geçirilen bir girdi kullanıcıya dönülmeden önce doğru olarak filtrelenmiyor. Bu sayede istenilen HTML ve script kodları çalıştırılabiliyor.
Açığın TYPO3 4.2.2 sürümünde olduğu rapor edildi.
Çözüm: 4.2.3 veya üzeri bir sürüme güncelleyin.
Mozilla Firefox da kötü amaçlı kişilerin önemli bilgileri görebilmelerine, güvenlik kısıtlamalarını aşabilmelerine ve kullanıcı sistemine sızabilmelerine yol açan güvenlik açıkları olduğu rapor edildi.
Son yorumlar
2 hafta 4 gün önce
3 hafta 1 gün önce
3 hafta 4 gün önce
28 hafta 7 saat önce
29 hafta 2 gün önce
31 hafta 4 gün önce
31 hafta 4 gün önce
34 hafta 3 gün önce
34 hafta 3 gün önce
37 hafta 2 gün önce