Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3246

Уязвимости в MySQL, Gitorious, PowerDNS, Suhosin PHP, OpenSSL, Moodle, VirtualBox, Solaris, Wireshark, Glibc, DragonFly BSD, Asterisk


Несколько недавно найденных уязвимостей:
Компания Oracle сообщила об исправлении в MySQL 27 уязвимостей, большинство из которых позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Одна DoS-уязвимость позволяет вызвать отказ в обслуживании не аутентифицированным пользователем. Две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным. Одна уязвимость позволяет локальному пользователю поднять свои привилегии. Подробности о сути уязвимостей не сообщаются, но судя по всему они уже исправлены в Community-версиях MySQL;
В Gitorious, открытом web-интерфейсе для управления исходным кодом, развиваемым одноимённым хостингом открытых проектов, найдена уязвимость (эксплоит), позволяющая выполнить на сервере произвольную shell-команду, путём формирования специально оформленного запроса ("/api/проект/репозиторий/log/graph/%60команда%60"). Пока нет никакой информации о том, пострадал ли сервис gitorious.org от данной уязвимости;
В DNS-сервере PowerDNS 2.9.22.5 и 3.0.1 устранена уязвимость, позволяющая блокировать работу сервера (зацикливание) через отправку специально оформленного потока UDP-пакетов;
В PHP-дополнении Suhosin (не путать с Suhosin-патчем к PHP) найдена уязвимость в реализации прозрачного шифрования Cookie, позволяющая злоумышленнику выполнить свой код на сервере. Уязвимость проявляется только при активации поддержки прозрачного шифрования Cookie в сочетании с отключением некоторых проверок в Suhosin и наличием PHP-приложения для которого можно добиться помещения данных атакующего в HTTP-заголовок Set-Cookie. Уязвимость не проявляется при сборке дополнения Suhosin с опцией FORTIFY_SOURCE. Проблема устранена в Suhosin Extension 0.9.33;
В OpenSSL 0.9.8t и 1.0.0g устранена уязвимость, которую можно использовать для удалённого совершения DoS-атаки на приложения, использующие режим DTLS (Datagram Transport Layer Security);
В свободной обучающей среде Moodle 2.2.1, 2.1.4 и 2.0.7 устранены три уязвимости, позволяющие осуществить подстановку заголовка при отправке email, обойти механизм аутентификации и повысить права учителя до менеджера;
В VirtualBox найдены две уязвимости, позволяющие локальному злоумышленнику получить доступ к данным виртуальных окружений, доступных через Shared Folders;
В последнем обновлении к ОС Solaris 8, 9, 10 и 11 устранено 8 уязвимостей, среди которых DoS-уязвимость в стеке TCP/IP, локальное повышение привилегий через Kerberos и DoS-уязвимость в ядре;
В анализаторе трафика Wireshark 1.4.11 и 1.6.5 исправлена уязвимость которая может привести к выполнению кода в процессе обработки специально оформленных RLC-пакетов;
В библиотеке Glibc найдена уязвимость, позволяющая совершить DoS-атаку (создание большой нагрузки на CPU) через манипуляции с функциями "rendezvous_request()" и "svcudp_recv()";
В операционной системе DragonFly BSD выявлена проблема с хэшированием паролей, которая делает созданные в DragonFly BSD хэши SHA-2 менее стойкими для атак по словарному подбору паролей;
В Asterisk 10.0.1 и 1.8.8.2 устранена уязвимость, дающая возможность инициирования отказа в обслуживании при обработке специально оформленного SRTP-потока. Для успешной эксплуатации должен быть загружен модуль res_srtp, но в настойках не должна быть активирована поддержка видео.


Источник: opennet.ru

  23 января 2012 637
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 7 и 14*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 20 и 7*:


Яндекс цитирования
сообщить о неточности