https://www.opennet.me/openforum/vsluhforumID3/113751.html Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней:<br><br><br>- 5 уязвимостей (http://blog.clamav.net/2018/03/clamav-0994-has-been-released.html) в свободном антивирусном пакете ClamAV, которые могут потенциально привести в выполнению кода атакующего при проверке специально оформленных файлов PDF (CVE-2018-0202), XAR (CVE-2018-1000085), CHM (CVE-2017-6419) и CAB (CVE-2017-11423). Уязвимости устранены в обновлении ClamAV 0.99.4;<br>- Уязвимость (https://www.postgresql.org/about/news/1834/) в СУБД PostgreSQL (CVE-2018-1058), позволяющая непривилегированным пользователям создать объекты в разных схемах определения данных (https://www.postgresql.org/docs/current/static/ddl-schemas.html) (областях видимости), которые могут (https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path) влиять на запросы других пользователей. Схема public имеет более высокий приоритет, чем pg_catalog, поэтому при совместном доступе к базе, один из пользователей может создать свою реали https://www.opennet.me/openforum/vsluhforumID3/113751.html#18 Sat, 10 Mar 2018 11:23:39 GMT &gt; Вот как можно писать систему, безалаберно надеясь на "хорошие" данные? Дилетантщина.<br><br>Можно элементарно. Либо не было понимания, либо желания, либо программист выполнял формальные требования. Например, реализовать функцию за Х минут.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#17 Sat, 10 Mar 2018 11:19:09 GMT Подумаешь, почта не работает. Админа локалхоста такие мелочи не могут беспокоить.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#16 Wed, 07 Mar 2018 07:59:09 GMT &gt; соединение передается другому процессу (не pop3-login/imap-login). Так что максимум некоторые <br>&gt; неудобства у части клиентов.<br><br>В результате атакующий сможет или некий аналог форкбомбы или перезапуск на скорость упрется в лимиты и возникнет отказ в обслуживании. Вы как предпочитаете - ковровые форкбомбардировки, или отсутствие логин-процессов?<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#15 Wed, 07 Mar 2018 07:57:29 GMT Что ты хотел, если заниматься всякими TLS-SNI? Наворотили кода - так извольте и багов огрести.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#14 Mon, 05 Mar 2018 20:18:10 GMT CVE-2017-14461 - огромный косяк, CVE-2017-15130 и CVE-2017-15132 - небольшие косяки, ибо голой задницей в интернет выставлять голубятню это такое себе, знаете.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#13 Mon, 05 Mar 2018 18:08:51 GMT DDoS и Hijacking по BGP процветает<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#12 Mon, 05 Mar 2018 17:34:51 GMT &gt; крах или утечка содержимого памяти процесса при обработке некорректно оформленных адресов email<br><br>Вот как можно писать систему, безалаберно надеясь на "хорошие" данные? Дилетантщина.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#11 Mon, 05 Mar 2018 15:05:15 GMT ХренDOS.<br><br>Логин-процессов несколько, они автоматически перезапускаются и после того как клиент авторизовался, соединение передается другому процессу (не pop3-login/imap-login). Так что максимум некоторые неудобства у части клиентов.<br> https://www.opennet.me/openforum/vsluhforumID3/113751.html#10 Mon, 05 Mar 2018 13:45:22 GMT DoS же.<br>