The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасные уязвимости в Apache Struts, Django и Adobe Flash Player"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасные уязвимости в Apache Struts, Django и Adobe Flash Player"  +/
Сообщение от opennews (??) on 29-Апр-14, 14:30 
Исправлено несколько опасных уязвимостей:

-  Компания Adobe выпустила (http://helpx.adobe.com/security/products/flash-player/apsb14...) внеплановое обновление Flash-плагина, в котором устранена критическая уязвимость (CVE-2014-0515), позволяющая организовать выполнение кода злоумышленника при обработке специально оформленного контента. Опасность проблемы усугубляется тем, что эксплуатирующее данную уязвимость вредоносное ПО зафиксировано ещё до выпуска исправления (0-day). При этом уязвимость проявляется (http://arstechnica.com/security/2014/04/windows-0day-flash-b.../) не только в Windows, но и на платформах Linux и OS X. Проблема исправлена в выпуске  Adobe Flash Player  11.2.202.356 для Linux, а также в свежем обновлении к браузеру Google Chrome. Всем пользователям рекомендуется срочно установить обновление (http://get.adobe.com/flashplayer/).

-  В новых выпусках web-фреймворка Django 1.4.11, 1.5.6 и 1.6.3 устранены (https://www.djangoproject.com/weblog/2014/apr/21/security/) три уязвимости, две из которых являются опасными. Первая проблема позволяет выполнить загрузку произвольного Python-модуля и организовать выполнение своего кода в программах, использующих обработчик "django.core.urlresolvers.reverse()". Вторая проблема позволяет манипулировать SQL-запросами из-за ошибки в классах обработки полей  FilePathField, GenericIPAddressField и IPAddressField.

-  В web-фреймворке  Apache Struts 2.3.16.2 устранена (http://struts.apache.org/announce.html#a20140424) уязвимость (http://struts.apache.org/development/2.x/docs/s2-021.html), позволяющая через входные параметры манипулировать работой ClassLoader для обхода ограничений доступа. Примечательно, что исправление проблемы было представлено ещё в марте в выпуске 2.3.16.1, но уязвимость была устранена не полностью, что привело к появлению вредоносного ПО, осуществляющего атаку обходным путём.

URL:
Новость: http://www.opennet.dev/opennews/art.shtml?num=39666

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  –1 +/
Сообщение от Demo (??) on 29-Апр-14, 14:30 
> Adobe Flash

Hе нyжeн.

P. S. "Для сообщений данного типа требуется..." И давно это?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от Аноним (??) on 30-Апр-14, 22:42 
Не все же над "анонимусами" издеваться. Зарегистрированные юзеры пишут всякую фигню не реже (пример чуть выше). Предлагаю запретить публиковать бред непрошедший "словофильтр" также как и анонимусам.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  –5 +/
Сообщение от Аноним (??) on 29-Апр-14, 14:33 
> загрузку произвольного Python-модуля и организовать выполнение своего кода

Питон, говорите, безопаснее пыха? Оно и видно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +2 +/
Сообщение от 1 (??) on 29-Апр-14, 14:53 
Phpnuke, говорите, безопаснее ruby? Оно и видно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +1 +/
Сообщение от Аноним (??) on 29-Апр-14, 16:29 
> Phpnuke, говорите, безопаснее ruby? Оно и видно.

А ruby - неуловимый джо :).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +1 +/
Сообщение от rob pike on 29-Апр-14, 19:09 
Но полезный.
>This issue has been assigned the CVE identifier CVE-2014-0474.
>Thanks to the Ruby on Rails team, and specifically Michael Koziarski, for providing information regarding this issue.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +3 +/
Сообщение от Xasd (ok) on 29-Апр-14, 17:05 
> Питон, говорите, безопаснее пыха? Оно и видно.

а между прочим Django навязывает аспекты безопасности -- в тех местах о которых некоторые PHP-программисты могут даже особо и не знать.

взять к примеру хотя бы тот факт что шаблонизатор Django поумолчанию экранирует все строки (нужно указывать спец-тег для отключения экранизации)...

а ещё Django поумолчанию проверяет CSRF для всех POST-запросов. (а все PHP-программисты проверяют CSRF?)

и про Clickjacking -- тоже в Django не забыли. (некоторые люди и знать не знают про Clickjacking).

и допустить SQL-инъекцию внутри Django-проекта -- тоже сложнова-то было бы..

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  –2 +/
Сообщение от umbr (ok) on 29-Апр-14, 17:59 
Позволю себе преположение, что существуют движки, где этих проблем просто нет, by design.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от Аноним (??) on 30-Апр-14, 05:18 
Но мы вам о них не расскажем! (С)

PS: И да - нет таких. Я видишь ли седожопЫй старЫй 0дмин, я ЭНИАК тюбетейка хакал!, так вот - дыры были везде. Ибо "сделано людьми"(С) ...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +1 +/
Сообщение от йцу on 30-Апр-14, 09:02 
>> Питон, говорите, безопаснее пыха? Оно и видно.
> а между прочим Django навязывает аспекты безопасности -- в тех местах о которых некоторые PHP-программисты могут даже особо и не знать.

И вновь, в ответ на толстый вброс мы сравниваем язык с фреймворком. Любой PHP-фреймворк делает ровно тоже самое, иногда практически точно так же (например, Twig).

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от Аноним (??) on 30-Апр-14, 11:54 
PHP фреймворками пользуются единицы, чаще движками где о безопасности тоже вспоминают в последний момент, чего стоит wp который постоянно ломают, то из-за уязвимости php то из-за косяков в коде.
Twig - не фреймворк, а шаблонизатор. Так что сравнение не верно.

К тому же чтобы использовать уязвимость нужны специфичные условия.


One or more views are present which construct a URL based on user input (commonly, a "next" parameter in a querystring indicating where to redirect upon successful completion of an action).

One or more modules are known to an attacker to exist on the server's Python import path, which perform code execution with side effects on importing.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от йцу on 01-Май-14, 10:38 
видимо, это ответ на мой коммент в другой ветке. Ну да ладно.

> PHP фреймворками пользуются единицы,

лолшто?

> чаще движками где о безопасности тоже вспоминают в последний момент, чего стоит wp который постоянно ломают, то из-за уязвимости php то из-за косяков в коде.

проблемы идейцев...

> взять к примеру хотя бы тот факт что шаблонизатор Django поумолчанию экранирует все строки (нужно указывать спец-тег для отключения экранизации)...
> Twig - не фреймворк, а шаблонизатор. Так что сравнение не верно.

Я в курсе. Twig я привел только в ответ на
> взять к примеру хотя бы тот факт что шаблонизатор Django поумолчанию экранирует все строки (нужно указывать спец-тег для отключения экранизации)...

И если присмотритесь, обнаружите что Twig вообще практически копия шаблонизатора из Django.
А если хотите сравнений в целом - Symfony2, ZF2, Yii2, Laravel, etc.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от Baz on 30-Апр-14, 17:14 
читая новости про Flash в котором очередная специально оформленная страница позволяет выполнить код злоумышленника невольно приходишь к выводу, что на это способен почти каждый рандомный набор символов...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Опасные уязвимости в Apache Struts, Django и Adobe Flash Pla..."  +/
Сообщение от Аноним (??) on 30-Апр-14, 21:16 
Интересно, если флэш по запросу, уязвимость сработает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру