Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3249

Критические уязвимости в PostgreSQL, BIND, ядре Linux и Asterisk


Опубликовано уведомление об обнаружении критической уязвимости в СУБД PostgreSQL. Никаких подробностей и данных о характере проблемы не сообщается до выпуска официальных обновлений, которые запланированы на 4 апреля. Судя по всему уязвимость очень опасная, так как впервые в истории проекта доступ к репозиториям будет ограничен, а обновления будут готовиться к выпуску и тестироваться в условиях повышенной секретности в узком кругу коммитеров, с целью избежания преждевременной утечки информации. Пользователям PostgreSQL рекомендуется подготовиться к выполнению 4 апреля внепланового обновления своих систем. Проблема затрагивает все поддерживаемые выпуски PostgreSQL.

Дополнительно можно отметить сведения об исправлении трех опасных уязвимостей:
В корректирующих выпусках DNS-сервера BIND 9.9.2-P2 и 9.8.4-P2 устранена уязвимость (CVE-2013-2266), позволяющая удалённо вывести из строя рекурсивные и авторитативные DNS-серверы, путем отправки специально оформленных запросов. Проблема вызвана утечкой памяти и проявляется в исчерпании всей доступной процессу named памяти. Проблема затрагивает только ветки BIND 9.7, 9.8 и 9.9. Пользователям ветки 9.7, которая уже не поддерживается, для решения проблемы рекомендуется пересобрать BIND без поддержки регулярных выражений (найти файл с "#define HAVE_REGEX_H 1" и поменять данную строку на "#undef HAVE_REGEX_H"). Проблему усугубляет достаточно простой метод эксплуатации.
В обновлениях ядра Linux 3.8.5, 3.4.38, 3.2.42 и 3.0.71 устранена уязвимость (CVE-2013-0913) в drm-драйвере i915 для видеокарт Intel. Уязвимость позволяет записать данные за пределы кучи и инициировать выполнение кода с правами ядра. Проблема была продемонстрирована на конкурсе Pwnium, в рамках которого был подготовлен частично работающий эксплоит для атаки на ChromeOS.
В платформе телефонии Asterisk 11.2.2 исправлены три уязвимости, позволяющие определить наличие имён пользователей, осуществить DoS-атаку через отправку специального HTTP POST-запроса и выполнить код на сервере через передачу специально подготовленных атрибутов ресурсов в заголовке SDP.


Источник: opennet.ru

  1 апреля 2013 619
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 1 и 15*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 19 и 8*:


Яндекс цитирования
сообщить о неточности