آسیب پذیری های جدی در دو ابزار اطلاعاتی
مترجم: اسماعیل ذبیحی - IBM و SUN، دو شرکت بزرگ فن آوری اطلاعات، با انتشار اطلاعیه ای، کشف نقص های امنیتی جدید در برخی از محصولات خود را تأیید کردند.
بنا به گزارش Panda Software، حفره امنیتی نخست که در نرم افزار IBM WebSphere 6.0.2، کشف شده است، به خرابکاران اینترنتی و هکرها مکان میدهد تا بنوانند حملاتی را از طریق تفکیک پاسخ های HTTP، در سیستم های آسیب پذیر انجام دهند.
ارسال یک URL مخرب با طراحی ویژه، به سرورهای مورد حمله، باعث ایجاد تفکیک در پاسخ های HTTP آن ها گردیده که همین مسئله به نوبه خود سبب از بین رفتن صحت و اعتبار اطلاعات موجود در این سرورها، آلودگی web cache های رابط و ایجاد شرایط حمله هایی از نوع cross-site cripting می شود.
برای ترمیم این حفره امنیتی، به کاربران WebSphere 6.0.2، توصیه شده است که با مراجعه به آدرس http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980 ، اصلاحیه های مربوط به آن را دانلود کرده و یا از نسخه 6.1.0 آن استفاده نمایند.
طبق همین گزارش، یک نقص امنیتی مهم، در نرم افزار پرکاربرد Java System Directory Server 5.2، ردیابی شده که دارای قابلیت ایجاد شرایط DoS در سیستم های آسیب پذیر می باشد. این نقص به علت اشکال در عملکرد کد clean-up، پس از عدم موفقیت سرور در پاسخ به برخی از درخواست هاست. این شرایط می تواند به فراخوانی دستور free() توسط سرور و بر روی یک آدرس خاص، ایجاد یک مرجع نامعتبر در حافظه و در نتیجه بروز شرایط DoS در برابر سرور مورد حمله منجر گردد.
در برخی از موارد نیز امکان نفوذ هکرها از این حفره و اجرای کدهای مخرب دلخواه توسط آنها در سیستم وجود دارد. شرکت Sun، با انتشار اصلاحیه امنیتی شماره 5 برای Java System Directory Server، به کاربران آن توصیه کرده است که برای بروز رسانی امنیتی این نرم افزار به آدرس ذیل مراجعه نمایند: http://sunsolve.sun.com/search/document.do?assetkey=1-26-102853-1
منبع خبر: Panda Software
www.mec-security.com
- ۸۶/۰۱/۰۸