Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10357
  комментариев: 2245

Уязвимости во FreeBSD mountd, RT, Joomla, MyBB, Thunar, Wireshark, СУБД Oracle и PolicyKit


Несколько новых уязвимостей:
Во FreeBSD найдена недоработка в реализации демона mountd, используемого при монтировании NFS-разделов. Суть проблемы в том, что при указании в файле exports в блоке "-network=сеть/префикс" маски не кратной 8, итоговая подсеть рассчитывается с ошибкой. Например, при указании "-network 192.0.2.0/23" вычисляется маска 255.255.127.0 вместо 255.255.254.0. В итоге клиентская машина из другого сегмента подсети может получить доступ к NFS. Проблема не проявляется при использовании опции "-netmask";
В релизах RT (Request Traсker) 3.6.11 и 3.8.10 исправлено 6 опасных уязвимостей, среди которых присутствуют ошибки способные привести к выполнению кода на сервере, подстановке SQL-запросов, доступу к файлам за пределами рабочей директории и утечке закрытой информации, такой как хэши паролей пользователей;
В системе управления web-контентом Joomla 1.6.2 исправлено 8 уязвимостей, большинство из которых связано с возможностью подстановки JavaScript-кода на страницы (XSS). Две уязвимости можно отнести к категории опасных: возможность подстановки SQL-кода и получение неавторизированного доступа к системе;
В web-форуме MyBB 1.6.3 и 1.4.16 исправлены две уязвимости, которые могли привести к подстановке SQL-кода (через форму поиска и через параметр cookie "mybb[forumread">" в showthread.php);
В файловом менеджере Thunar, используемом в окружении Xfce, найдена уязвимость, которая может привести к выполнению кода злоумышленника при копировании специально файла, в имени которого содержатся специальные символы, используемые в функциях форматирования срок. Исправление пока доступно только в виде патча;
В анализаторе трафика Wireshark 1.2.16 и 1.4.5 устранены 3 уязвимости, которые могут привести к переполнению буфера и теоретической возможности выполнения кода в системе при анализе специально оформленных сетевых пакетов с использованием диссекторов NFS, X.509if и DECT;
В очередном обновлении СУБД Oracle устранено 8 уязвимостей, среди которых присутствуют проблем, которые могут привести к утечке закрытой информации, манипулированию некоторыми видами служебных данных (через C Oracle SSL API, а также компоненты Oracle Help, Database Vault и Application Service Level Management) и организации выполнения кода на сервере (через компонент Oracle Warehouse Builder);
В системе PolicyKit, используемой в большинстве Linux-дистрибутивов для предоставления расширенных прав доступа, найдена уязвимость, которая позволяет локальному пользователю повысить свои привилегии в системе при определенном стечении обстоятельств (эффект гонки в момент определения привилегий родительского процесса, через запуск suid-приложения из этого процесса). Исправление пока доступно в виде патча.


Источник: opennet.ru

  21 апреля 2011 736
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 5 и 18*:            


Хостеры (2445)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 39 и 0*:


Яндекс цитирования
сообщить о неточности