Новости IT, хостинга
Новость от 23.03.2012

Адрес в интернете:
https://news.hostdb.ru/index/show/id/5887

Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspIRCd, Quagga, Gnash и LibreOffice


Несколько недавно найденных уязвимостей:
Компания Google представила корректирующий выпуск web-браузера Chrome 17.0.963.83, в котором устранено 9 уязвимостей, из которых 6 помечены как опасные. В рамках программы выплаты вознаграждений за выявленные уязвимости исследователям безопасности выплачено тысяч долларов: три премии по 5.5 тыс. долларов, одна премия 2000$, одна 500$ и три премий по 1000$;
Сообщается о наличии в свободном антивирусном пакете ClamAV пяти опасных уязвимостей, которые остаются неисправленными в недавно выпущенном релизе ClamAV 0.96.4. Уязвимости позволяют совершить атаку на сервер путем отправки специальным образом оформленных файлов TAR, RAR и CHM;
В Asterisk найдена опасная уязвимость в коде управляющего web-интерфейса, успешная эксплуатация которой может привести к выполнению кода злоумышленника на сервере при отправке специально оформленного "HTTP Digest" запроса аутентификации. Проблема наблюдается в ветках 1.8.x и 1.10.x и исправлена в релизах 1.8.10.1 и 10.2.1;
В релизах пакета GnuTLS 2.12.18 и 3.0.16 устранено две уязвимости. Уязвимость в коде расшифровки блочных шифров при обработке TLS-записей может привести к выполнению кода злоумышленника при отправке специально оформленной структуры "GenericBlockCipher". Вторая проблема присутствует в библиотеке libtasn1 и может привести к выполнению кода при обработке специально оформленного сертификата X.509;
В библиотеке libzip 0.10.1 устранены две уязвимости, каждая из которых может привести к переполнению буфера и выполнению кода злоумышленника при обработке специально скомпонованных ZIP-файлов;
В IRC-сервере InspIRCd найдена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику выполнить свой код на сервере путем манипуляции c DNS. Проблема присутствует в последнем выпуске 2.0.5. Проблема исправлена в GIT-репозитории проекта;
В свободном пакете с реализацией протоколов маршрутизации Quagga 0.99.20.1 устранено 3 уязвимости, две в ospfd и одна в bgpd. Подробности об опасности проблем не сообщаются, но не исключена возможность удалённой эксплуатации уязвимостей;
В свободном Flash-плеере GNU Gnash выявлена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла. Проблема подтверждена в версии 0.8.10 и пока устранена только в Git-репозитории проекта;
В вышедшем сегодня корректирующем выпуске LibreOffice 3.4.6 устранена потенциальная уязвимость, подробности о которой пока не афишируются. Судя по списку изменений в новой версии устранено несколько крахов, которые могут быть инициированы через открытие специально оформленных документов или при обработке XML-данных. Возможно проблема имеет связь с недавно устранённой уязвимостью в Apache OpenOffice, позволяющей организовать утечку содержимого ODF-документов при запуске специально сформированных внешних XML компонентов.


Распечатано с HostDB.ru.