The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от opennews on 04-Дек-12, 10:42 
Несколько недавно обнаруженных уязвимостей:


-  Опубликована (http://lists.xen.org/archives/html/xen-announce/2012-12/) информация об исправлении в Xen  семи уязвимостей ("XSA-26 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-27 (http://permalink.gmane.org/gmane.comp.security.oss.general/8924)", "XSA-28 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-29 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-30 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-31 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-32 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)" ), которые могут привести к инициированию отказа в обслуживании хост-системы из гостевого окружения. Для двух уязвимостей (XSA-32 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...), XSA-29 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)) не исключается возможность инициирования администратором гостевого PV-окружения выполнения кода на стороне хост-системы. Исправления пока доступны в виде патчей;


-  В системе для блокирования спама Bogofilter 1.2.3 (http://bogofilter.sourceforge.net) устранена уязвимость (http://bogofilter.sourceforge.net/security/bogofilter-SA-201...) в компоненте bogolexer, которая может привести к переполнению кучи при обработке специально оформленной в обрабатываемом сообщении вставки в формате base64;

-  В корректирующих выпусках открытой платформы для организации хранения, синхронизации и обмена данными ownCloud (http://owncloud.org/) 4.5.2 и 4.0.9 устранено несколько уязвимостей (http://permalink.gmane.org/gmane.comp.security.oss.general/8901), две из которых могут привести к организации выполнения кода через манипуляции с /lib/migrate.php и  /lib/filesystem.php;
-  В MediaWiki 1.18.6, 1.19.3 и 1.20.1 устранены две уязвимости (1 (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...), 2 (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...)). Первая проблема позволяет организовать перехват сессионных данных, если пользователь осуществил вход, перейдя по специально оформленной злоумышленником ссылке. Вторая проблема даёт возможность заблокировать доступ к странице с последними изменениями ("Special:RecentChanges");
-  В IMAP-сервере Dovecot устранена уязвимость (http://www.dovecot.org/list/dovecot-news/2012-November/00023...), которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.

URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=35493

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +1 +/
Сообщение от ананим on 04-Дек-12, 10:42 
>В IMAP-сервере Dovecot устранена уязвимость, которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.

дык уже и 2.1.12 относительно давно есть…
если уж сидишь на 2.1 версии, то обновляйся

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 19:14 
Что плохого скажете о Zimbra? Выбираем сейчас.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от commiethebeastie (ok) on 04-Дек-12, 19:45 
Клиент тяжелый, а MAPI платный.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 20:21 
Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ... Или web.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  –1 +/
Сообщение от Andrey Mitrofanov on 04-Дек-12, 20:31 
> Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ...

Можно.... Если Сверхчеловеки и Высокие Профессоналы, которые его админят, соизволят "запустить" на нём imap _и smtp, _и дать тебе доступ, и если _потом, не найдётся какая-нибудь причина их снова отключить совсем и навсегда. Вирусы, например, да.

> Или web.

OWA, да, это серьёзно. Почти как "чтоб тебе жить на одну зарплату".

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от ананим on 05-Дек-12, 03:58 
Э-э-э... человек про зимбру говорил, а не про эксченч.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от ананим on 05-Дек-12, 05:25 
>Что плохого скажете о Zimbra? Выбираем сейчас.

ничего плохого не скажу.
кроме того, что коннектор к оутлуку платный.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от zystem (ok) on 05-Дек-12, 15:50 
> Что плохого скажете о Zimbra? Выбираем сейчас.

Клиент лучше вообще не использовать. Он почти идентичен web-интерфейсу но тяжелее.
Нормально прикручивается тот-же thunderbird. Причем возможно прикрутить Lightning для задач и календарей. И Contacts Sidebar для общей адресной книги из ldap.
MAPI только в платной версии.
Сам сервер тяжелый. Пришлось выделить отдельный сервер под zimbra.
Задачи и календари реализованы по минимуму. До функционала exchange не дотягивают. Для групповой работы лучше смотреть какое нибудь groupware.
Как именно почтовый сервер очень неплох. Основное достоинство GUI. В смысле web интерфейс для администрирования.
Ничего более близкого по функционалу к exchange найти не удалось.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

2. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  –1 +/
Сообщение от Аноним (??) on 04-Дек-12, 11:12 
Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за всем... А уже четвёртая версия...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  –1 +/
Сообщение от savant (ok) on 04-Дек-12, 11:37 
Всё потому, что пишут на Си.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +3 +/
Сообщение от Аноним (??) on 04-Дек-12, 12:43 
Вы так говорите как будто делать баги - привиления сишных программеров :). А медиа-вики на пыхе, что им почему-то не помешало. Да даже вон питонисты со своей Zope-ой баги сажают.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от ананим on 04-Дек-12, 13:00 
Ага.
И даже новости про то, что плагин жабы стал основным средством распространенич вирусти таким троллям тоже не помеха.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от pavel_simple (ok) on 04-Дек-12, 14:33 
> Ага.
> И даже новости про то, что плагин жабы стал основным средством распространенич
> вирусти таким троллям тоже не помеха.

а на чём написан плагин ?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 14:40 
На С.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 14:43 
>> Ага.
>> И даже новости про то, что плагин жабы стал основным средством распространенич
>> вирусти таким троллям тоже не помеха.
> а на чём написан плагин ?

Подойдем с другой стороны: на чем написана эта вирусня?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от ананим on 04-Дек-12, 14:54 
>а на чём написан плагин ?

мне в общем пофигу на чём вы словите эпикфэйл — на том что «жаба дырявая» или на том что «жаба дырявая, т.к. написана на С».

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +2 +/
Сообщение от Аноним (??) on 04-Дек-12, 14:40 
> Всё потому, что пишут на Си.

Точно. А надо - на баше. Прозрачно, удобно, безопасно.
Аналогично, и в ядре Linux дыр так много, потому что на сях, а не на баше.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 19:16 
От Паскаля прешься?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от savant (ok) on 05-Дек-12, 01:13 
> От Паскаля прешься?

От Scheme. Но на си таки писать приходится.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 05-Дек-12, 04:28 
> От Scheme.

Ну так ты же не переписал на нем ядро, драйвера и системные программы. Да и не факт что это тебе понравилось бы. А что, в scheme уже можно напрямую записать нечто в конкретный адрес памяти? Драйверам это надо буквально каждому первому. Да, это - потенциально опасная операция. Но оборудование работает вот так. Или еще как, например получая адрес буфера в DMA и драйвер оттуда потом вытаскивает. Опять же, работая с вполне конкретными адресами. Эту операцию кто-то должен делать. Чем прямее, тем лучше. Си с этим справляется.

А еще если взять пистолет, зарядить и стрельнуть себе в пятку - говорят что будет больно. Но пистолет в данном поступке вообще не виноват.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

13. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 04-Дек-12, 14:42 
> Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за
> всем... А уже четвёртая версия...

KVM to the rescue! Это модуль еще меньшего размера, который является просто интерфейсом к аппаратным функциям.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Аноним (??) on 05-Дек-12, 20:10 
В котором также нашли уязвимость, лол.
А вообще он не нужен, потому что linux-only.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Уязвимости в Xen, Bogofilter, ownCloud, MediaWiki и Dovecot"  +/
Сообщение от Motif email(ok) on 04-Дек-12, 19:30 
Порядок в стране определяется не наличием воров, а умением властей их обезвреживать! (с)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +/
Сообщение от pavlinux (ok) on 04-Дек-12, 13:27 
> устранена уязвимость в механизме виртуализации KVM (CVE-2012-4461),

Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
хотя КВМ всунули в ядро только в версии 2.6.17!!!  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +/
Сообщение от Andrey Mitrofanov on 04-Дек-12, 14:24 
> хотя КВМ всунули в ядро только в версии 2.6.17!!!

А не в .6.20? Впрочем, это совершенно не важно.

Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +/
Сообщение от Ytch on 04-Дек-12, 20:58 
> Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.

Кто управляет прошлым, тот управляет будущим: кто управляет настоящим, управляет прошлым? Где-то я это уже слышал.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +1 +/
Сообщение от Andrey Mitrofanov on 04-Дек-12, 21:34 
> Где-то я это уже слышал.

Ну да, вот он :( я, поселивший ложь в истории. Я УПРАВЛЯ-А-А-А-Ю!!!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +/
Сообщение от Аноним (??) on 04-Дек-12, 21:48 
> Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
> хотя КВМ всунули в ядро только в версии 2.6.17!!!

Ты никогда не видел http://lurkmore.to/%D0%92%D0%B7%D0&... ? :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dov..."  +1 +/
Сообщение от Andrey Mitrofanov on 04-Дек-12, 21:50 
>lurkmore.to

Полиция! Экстремизм!!!

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру