Удаленный DoS против HTTPSTK и Отказ в обслуживании iChain

[Михаил Григорьев]

Удаленный DoS против Novell HTTPSTK

Отказ в обслуживании обнаружен в Novell HTTPSTK. Удаленный пользователь может аварийно завершить работу Web сервера.
Удаленный пользователь может послать измененный keep-alive пакет, чтобы аварийно завершить работу HTTP сервера.

Novell выпустил патч, который устраняет обнаруженную уязвимость. Патч можно скачать отсюда:
http://support.novell.com/servlet/filedownload/ftf/httpstk3.exe/
Инструкцию по установке можно просмотреть здесь:
http://support.novell.com/servlet/tidfinder/2966181


Отказ в обслуживании и доступ к защищенным страницам в Novell iChain
Две уязвимости обнаружены в Novell's iChain. Удаленный пользователь может аварийно завершить работу сервера. Удаленный пользователь может получить доступ к защищенным страницам.
Сообщается, что удаленный пользователь может запустить специальный сценарий против сценария входа в системы, чтобы вызвать переполнение буфера и аварийно завершить работу службы.
Сообщается, что в версии 2.1, удаленный пользователь может эксплуатировать переполнение буфера ( и аварийно завершить работу сервиса), когда имя для входа в систему равно 230 символам.
Также сообщается, что в версии 2.2, удаленный пользователь может получить доступ к "restricted secure" страницам без авторизации. Уязвимость обнаружена в Novell iChain 2.1, 2.2

Novell выпустил патчи, устраняющие обнаруженные уязвимости:
Для версии 2.1:
http://support.novell.com/servlet/filedownload/ftf/ic21fp3.exe/
Для версии 2.2:
http://support.novell.com/servlet/filedownload/ftf/ic22fp1a.exe/