The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от opennews (ok) on 10-Окт-12, 13:36 
Несколько недавно обнаруженных уязвимостей:

-  В DNS-сервере BIND обнаружена уязвимость (https://kb.isc.org/article/AA-00801), проявляющаяся в зависании серверного процесса при обработке набора записей с определённым образом оформленным полем RDATA. Рекурсивные DNS-серверы могут быть эксплуатированы удалённо при инициировании их обращения к подконтрольному злоумышленнику авторитативному серверу. Проблема устранена (http://www.isc.org/downloads/all) в версиях 9.7.7, 9.7.6-P4, BIND 9.6-ESV-R8, 9.6-ESV-R7-P4,9.8.4, 9.8.3-P4, 9.9.2 и 9.9.1-P4. Обходным способом решения проблемы является включение опции 'minimal-responses';

-  Компания Adobe выпустила очередное обновление Flash, в котором устранено 25 уязвимостей (http://www.adobe.com/support/security/bulletins/apsb12-22.html), большинство из которых позволяют организовать выполнение кода злоумышленника при открытии специально оформленного контента. Проблемы устранены в выпусках 10.3.183.29, 11.2.202.243, 11.4.402.287, 11.4.31.110;-  В RADIUS-сервере FreeRADIUS выявлена уязвимость (http://freeradius.org/security.html), позволяющая организовать выполнение кода при проверке специально оформленных сертификатов. Для успешной эксплуатауии во FreeRADIUS должна быть включена поддержка базирующихся на TLS методов EAP (EAP-TLS, EAP-TTLS, PEAP). Проблема устранена (http://freeradius.org/) в версии 2.2.0;
-  В libxslt устранена серия критических уязвимостей (http://secunia.com/advisories/50864/), дающих возможность инициировать выполнение кода при открытии специально оформленного контента в использующих данную библиотеку приложениях. Уязвимости пока устранены только в Git-репозитории (http://git.gnome.org/browse/libxslt/) проекта;-  В сетевом анализаторе Wireshark  1.8.3 исправлены  три уязвимости (1 (http://www.wireshark.org/security/wnpa-sec-2012-26.html), 2 (http://www.wireshark.org/security/wnpa-sec-2012-27.html), 3 (http://www.wireshark.org/security/wnpa-sec-2012-29.html)), позволяющие организовать выполнение кода при попытке разбора специально оформленных пакетов  при помощи дисекторов HSRP, PPP и LDP;-  В системе для организации резервного копирования Bacula обнаружена (http://sourceforge.net/projects/bacula/files/bacula/5.2.11/R...) уязвимость, позволяющая обойти ограничения, заданные через ACL. Например нипривилегированный пользователь может сформировать дамп для закрытых ресурсов. Проблема устранена (http://sourceforge.net/projects/bacula/) в версии  5.2.11;-  В hostapd (http://hostap.epitest.fi/hostapd/) выявлена уязвимость (http://www.pre-cert.de/advisories/PRE-SA-2012-07.txt), позволяющая вывести из строя точку беспроводного доступа через отправку специально оформленного сообщения EAP-TLS. Для успешной эксплуатации в hostapd должен быть включен встроенный сервер  EAP-аутентификации. Проблема устранена в Git-репозитории проекта;-  В почтовом клиенте claws-mail найдена уязвимость (http://permalink.gmane.org/gmane.comp.security.oss.general/8561), приводящая к разыменованию NULL-указателя при разборе специально оформленных писем;
-  В ядре Linux найдена уязвимость (http://permalink.gmane.org/gmane.comp.security.oss.general/8562), позволяющая получить доступ к части содержимого стека ядра через манипуляции с вызовом uname() с опцией UNAME26. Для решения проблемы подготовлен патч (https://lkml.org/lkml/2012/10/9/550).-  В обновлении ядра Linux 2.6.32.60 устранена уязвимость (http://secunia.com/advisories/50849/), позволяющая повысить свои привилегии в системе при монтировании специально скомпонованной файловой системы HFS+.


URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=35045

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +3 +/
Сообщение от нано анон on 10-Окт-12, 13:37 
специально скомпонованной файловой системы HFS+... мда.. надо же так извратиться...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от ананим on 10-Окт-12, 14:58 
Ну почему же?
Я как-то (и относительно недавно) восстанавливал винт с мака на машине с линухом.
И успешно кстати.
Перерыл все форумы и методы, убедился какая древняя и костыльная эта хыфс.
Проблема в том, что если эта фс заполнена процентов на 75, то штатными средствами и не восстановишь.
Предлогали купить чудопрограмму за $99,95.
Решил попробовать вытащить данные в лине. И если не получится, тогда уж...
Получилось.
Кстати, поддержка в лине один в один как в дарвине (тот что открыт). Так что трабл может быть и там тоже.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 16:18 
Вы, очевидно, не знаете как скомпоновать файловую систему? Это очень просто.

dd if=/dev/zero of=/tmp/disk-image count=20480
mkfs.hfs -q /tmp/disk-image

Дальше файл можно монтировать, носить с собой и делать что угодно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 11:09 
И как происходит повышение прав при такой компоновке?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +1 +/
Сообщение от rew (??) on 10-Окт-12, 18:01 
да ладно. приходите к своему админу с флешечкой. просите отчет скопировать :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +9 +/
Сообщение от Аноним (??) on 10-Окт-12, 13:37 
> Flash, в котором устранено 25 уязвимостей, большинство из которых позволяют
> организовать выполнение кода злоумышленника

Вот это я понимаю! Учитесь как работать надо! 25 дыр в одном релизе - такое может сделать не каждый. Учитесь как надо дырявый код писать :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Клыкастый (ok) on 10-Окт-12, 13:48 
Парни в топе!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от BratSinot on 10-Окт-12, 15:51 
В Linux их больше обнаруживается.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +1 +/
Сообщение от ананим on 10-Окт-12, 15:55 
хм, сабж говорит об обратном.
или вы будете и с этим спорить?

к тому же, в Linux они не просто обнаруживаются, но ещё и гораздо оперативней исправляются.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 19:07 
> В Linux их больше обнаруживается.

Странно, а в новости говорится про 2 какие-то не больно страшные дыры в лине vs 25 где большинство ведет к выполнению кода. Что-то факты не подтверждают теорию.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 19:41 
2 - это не в одном релизе, а за 2 дня с выхода прошлого минорного апдейта.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 11:10 
> 2 - это не в одном релизе, а за 2 дня с выхода прошлого минорного апдейта.

А у адобы 25 с моменты выхода "прошлого минорного апдейта" :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 18:50 
Он два дня назад был?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 19:03 
> Он два дня назад был?

Сомнительно. Для слоупочной адобы это было бы слишком уж оперативно.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

5. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  –1 +/
Сообщение от Zenitur (ok) on 10-Окт-12, 14:03 
> Проблемы устранены в выпусках 10.3.183.29, 11.2.202.243, 11.4.402.287, 11.4.31.110

А у меня Flash Player 11.4.31.108. А вот и обновление для Google Chrome unstable. http://pkgs.org/google-chrome-for-linux/download/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 19:11 
> А у меня Flash Player 11.4.31.108.

Да тебя вечно на всякий буллшит тянет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +3 +/
Сообщение от ram_scan on 10-Окт-12, 14:37 
Блин да когда-ж с биндом эта свистопляска то кончится...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Клыкастый (ok) on 10-Окт-12, 15:42 
можно переждать на MaraDNS если немного зон.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от ram_scan on 10-Окт-12, 18:15 
Зон то немного. И на бинде переживу. Только вот что-то со split-brain фичей кроме бинда у серверов как-то не густо, а мне она надо. В доку на мару глянул, фак прочел, не раздуплился как там реализуется, похоже что таки никак.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 21:03 
чем powerdns не устраивает?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 23:36 
Две киллер-антифичи - нет синхронизации мастер-слейв через AXFR, и нет поддержки DDNS (RFC 2136).

// Конечно, если здесь найдутся упоротые фанаты powerdns, они сейчас начнут доказывать, что эти фичи и не нужны. Верю, верю. При желании они могут доказать даже ненужность поддержки DNS в DNS-сервере. Но лично для меня их аргументация не выглядит убедительной.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

18. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 10-Окт-12, 19:42 
> Блин да когда-ж с биндом эта свистопляска то кончится...

Никогда. Рукожoпость индусов из ISC не лечится.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Уязвимости в BIND, Flash, FreeRADIUS, libxslt, Wireshark, Ba..."  +/
Сообщение от Аноним (??) on 11-Окт-12, 11:11 
> Блин да когда-ж с биндом эта свистопляска то кончится...

Здоровенному коду - здоровенные баги. Ну а чего вы хотели то от этой ынтырпрайзятины?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру