Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot
Несколько недавно обнаруженных уязвимостей:
Опубликована информация об исправлении в Xen семи уязвимостей ("XSA-26", "XSA-27", "XSA-28", "XSA-29", "XSA-30", "XSA-31", "XSA-32" ), которые могут привести к инициированию отказа в обслуживании хост-системы из гостевого окружения. Для двух уязвимостей (XSA-32, XSA-29) не исключается возможность инициирования администратором гостевого PV-окружения выполнения кода на стороне хост-системы. Исправления пока доступны в виде патчей;
В системе для блокирования спама Bogofilter 1.2.3 устранена уязвимость в компоненте bogolexer, которая может привести к переполнению кучи при обработке специально оформленной в обрабатываемом сообщении вставки в формате base64;
В корректирующих выпусках открытой платформы для организации хранения, синхронизации и обмена данными ownCloud 4.5.2 и 4.0.9 устранено несколько уязвимостей, две из которых могут привести к организации выполнения кода через манипуляции с /lib/migrate.php и /lib/filesystem.php;
В MediaWiki 1.18.6, 1.19.3 и 1.20.1 устранены две уязвимости (1, 2). Первая проблема позволяет организовать перехват сессионных данных, если пользователь осуществил вход, перейдя по специально оформленной злоумышленником ссылке. Вторая проблема даёт возможность заблокировать доступ к странице с последними изменениями ("Special:RecentChanges");
В IMAP-сервере Dovecot устранена уязвимость, которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.