Четыре новых уязвимостей в RPC/DCOM в Microsoft WIndows 4.0/2000/XP/2003
Мicrosoft опубликовал исправление, которое устраняет несколько недавно обнаруженных уязвимостей в RPC/DCOM. Удаленный атакующий может получить полный контроль над системой, включая установку программ, просмотр, чтение или удаление данных или создание новых учетных записей.
1. RPC Runtime Library Vulnerability (CAN-2003-0813) —уязвимость состояния операции обнаружена в Windows RPC DCOM (эксплоит был впервые опубликован на форуме SecurityLab в октябре 2003 года, http://www.securitylab.ru/40754.html). Удаленный атакующий может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. Как сообщает Microsoft, уязвимость может использоваться для выполнения произвольного кода на уязвимой системе. Microsoft оценила риск этой уязвимости как “критическая”.
2. RPCSS Service Vulnerability (CAN-2004-0116) —удаленный атакующий может послать специально обработанный запрос к службе RPCSS чтобы вызвать условия отказа в обслуживании. Microsoft оценила риск этой уязвимости как “Важная”.
3. COM Internet Services (CIS) —RPC over HTTP Vulnerability (CAN-2003-0807). Отказ в обслуживании обнаружен в компонентах CIS и RPC over HTTP Proxy. Когда перенаправляется запрос к внутреннему интерфейсу системы, нападающий может ответить на запрос, используя специально обработанное сообщение, которое может заставить уязвимые компоненты перестать обрабатывать последующие запросы. Microsoft оценила риск этой уязвимости как “Низкая”.
4. Object Identity Vulnerability (CAN-2004-0124). Уязвимость раскрытия информации обнаружена в пути, которым создается тождественный объект. Эта уязвимость позволяет атакующему разрешить приложениям открыть сетевые коммуникационные порты. Хотя уязвимость не позволяет атакующему напрямую скомпрометировать систему, однако она может использоваться для открытия сетевых подключений через “неожиданные” коммуникационные порты. Microsoft оценила риск этой уязвимости как “Низкая”.
удаленное переполнение буфера в Microsoft Jet Database Engine (Jet)
Переполнение буфера обнаружено в Microsoft Jet Database Engine (Jet), работающем на Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP, Windows Server 2003. Удаленный атакующий может получить полный контроль над уязвимой системой.
Удаленный атакующий может создать специально обработанный запрос к базе данных и послать его через приложение, которое использует Jet на уязвимой системе. В результате удаенный атакующий может получить полный контроль над уязвимой системой.
утечка исходного кода CiSCO IOS
Российский портал по информационной безопасности SecurityLab.ru сообщает, что 13 мая 2004 года были украдены все исходные коды операционной системы CISCO IOS 12.3, 12.3t, которая используется в большинстве сетевых устройств компании CISCO. Полный объем украденной информации составляет около 800Мб в архиве.
По имеющейся информации, утечка фрагментов исходного кода произошла из-за взлома корпоративной сети Cisco System.
Информация утекла от некого человека под ником franz на #darknet@EFnet IRC где он и предоставил небольшую часть исходных кодов (около 2.5 Мб) в качестве доказательства.
Представители Cisco сообщили, что в настоящее время компания проводит внутреннее расследование инцидента, пытаясь установить объемы украденной информации и потенциальную опасность, которая грозит сетевым устройствам в результате ее использования злоумышленниками.
1. RPC Runtime Library Vulnerability (CAN-2003-0813) —уязвимость состояния операции обнаружена в Windows RPC DCOM (эксплоит был впервые опубликован на форуме SecurityLab в октябре 2003 года, http://www.securitylab.ru/40754.html). Удаленный атакующий может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. Как сообщает Microsoft, уязвимость может использоваться для выполнения произвольного кода на уязвимой системе. Microsoft оценила риск этой уязвимости как “критическая”.
2. RPCSS Service Vulnerability (CAN-2004-0116) —удаленный атакующий может послать специально обработанный запрос к службе RPCSS чтобы вызвать условия отказа в обслуживании. Microsoft оценила риск этой уязвимости как “Важная”.
3. COM Internet Services (CIS) —RPC over HTTP Vulnerability (CAN-2003-0807). Отказ в обслуживании обнаружен в компонентах CIS и RPC over HTTP Proxy. Когда перенаправляется запрос к внутреннему интерфейсу системы, нападающий может ответить на запрос, используя специально обработанное сообщение, которое может заставить уязвимые компоненты перестать обрабатывать последующие запросы. Microsoft оценила риск этой уязвимости как “Низкая”.
4. Object Identity Vulnerability (CAN-2004-0124). Уязвимость раскрытия информации обнаружена в пути, которым создается тождественный объект. Эта уязвимость позволяет атакующему разрешить приложениям открыть сетевые коммуникационные порты. Хотя уязвимость не позволяет атакующему напрямую скомпрометировать систему, однако она может использоваться для открытия сетевых подключений через “неожиданные” коммуникационные порты. Microsoft оценила риск этой уязвимости как “Низкая”.
удаленное переполнение буфера в Microsoft Jet Database Engine (Jet)
Переполнение буфера обнаружено в Microsoft Jet Database Engine (Jet), работающем на Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP, Windows Server 2003. Удаленный атакующий может получить полный контроль над уязвимой системой.
Удаленный атакующий может создать специально обработанный запрос к базе данных и послать его через приложение, которое использует Jet на уязвимой системе. В результате удаенный атакующий может получить полный контроль над уязвимой системой.
утечка исходного кода CiSCO IOS
Российский портал по информационной безопасности SecurityLab.ru сообщает, что 13 мая 2004 года были украдены все исходные коды операционной системы CISCO IOS 12.3, 12.3t, которая используется в большинстве сетевых устройств компании CISCO. Полный объем украденной информации составляет около 800Мб в архиве.
По имеющейся информации, утечка фрагментов исходного кода произошла из-за взлома корпоративной сети Cisco System.
Информация утекла от некого человека под ником franz на #darknet@EFnet IRC где он и предоставил небольшую часть исходных кодов (около 2.5 Мб) в качестве доказательства.
Представители Cisco сообщили, что в настоящее время компания проводит внутреннее расследование инцидента, пытаясь установить объемы украденной информации и потенциальную опасность, которая грозит сетевым устройствам в результате ее использования злоумышленниками.
Сетевые решения. Статья была опубликована в номере 05 за 2004 год в рубрике sotfware