Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10356
  комментариев: 2242

Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Glibc, Adobe Reader, lighttpd, Traq, ISC DHCP


Несколько недавно обнаруженных уязвимостей:
В MVC-фреймворке для разработки WEB-приложений Apache Struts 2.2.3.1 устранена уязвимость, используя которую удалённый злоумышленник может выполнить свой код на сервере через подстановку выражения OGNL;
В Asterisk 1.4.43, 1.6.2.21 и 1.8.7.2 устранена уязвимость, приводящая к разыменованию указателя NULL и вызову отказа в обслуживании через отправку специально оформленных SIP-пакетов при включенной в настойках опции "automon";
Для Adobe Flash Player представлен 0-day эксплоит, позволяющий организовать выполнение кода при просмотре специально сформированного контента. Проблема пока остаётся неисправленной;
В корректирующем выпуске SSH-клиента PuTTY 0.62 устранена уязвимость, связанная с сохранением в памяти процесса паролей, введённых в режиме интерактивного ввода пароля при соединении с сервером SSH-2. (например, можно проанализировать память процесса; инициировать крах PuTTY и выделить пароли из core dump; вытеснить процесс в раздел подкачки и проанализировать swap-файл);
В функции "__tzfile_read()" из состава Glibc найдено переполнение буфера, которое может быть использовано при загрузке специально оформленных файлов с параметрами часового пояса, загружаемых в процессе запуска приложений (возможность подстановки подобного файла может появиться у непривилегированного пользователя при использовании chroot в доступную на запись директорию). Проблема подтверждена в версии Glibc 2.14.1;
В Adobe Reader выявлена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных PDF-файлов. Исправление планируется выпустить сегодня;
В http-сервере lighttpd найдена уязвимость, позволяющая инициировать крах процесса при передаче в процессе аутентификации некорректных символов в блоке, закодированном методом base64 (при использовании символов с кодом больше 0x7f). Исправление пока доступно в виде патча;
В системе управления проектами Traq 2.3.1 устранена уязвимость, позволяющая обойти механизмы аутентификации и выполнить свой PHP-код на сервере;
В ISC DHCP 4.1-ESV-R4 и 4.2.3-P1 устранена уязвимость, позволяющая осуществить отказ в обслуживании, через отправку DHCP-запроса, в случае использования в настойках регулярных выражений "~=" или "~~";

Дополнительно можно отметить отчет с анализом уязвимостей, исправленных с момента выхода Red Hat Enterprise Linux 6.1. В отчете анализируется степень риска при игнорировании обновлений с устранением проблем безопасности. Например, было выпущено 10 обновлений, охватывающих 31 критическую уязвимость, связанную с 3 продуктами: OpenJDK 6, Firefox и Thunderbird.


Источник: opennet.ru

  13 декабря 2011 1262
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 1 и 15*:            


Хостеры (2444)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 13 и 2*:


Яндекс цитирования
сообщить о неточности