The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, GraphicsMagick и Apache Synapse

16.12.2017 23:50

Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней:

  • Уязвимость (CVE-2017-17670) в мультимедийном проигрывателе VLC, вызванная некорректным приведением типов и потенциально способная привести к выполнению кода при распаковке специально оформленных файлов в формате MP4. Проблема пока исправлена только в ветке master;
  • Уязвимость в PowerDNS Recursor, позволяющая инициировать крах процесса при обработке ответа DNS-сервера, содержащего некорректное значение поля CNAME. Проблема проявляется только в ветке 4.0.x и устранена в обновлении 4.0.8;
  • Уязвимость в системе непрерывной интеграции Jenkins, вызванная состоянием гонки в процессе выполнения команд инициализации при запуске, из-за чего могут быть не выставлены некоторые важные ограничения, необходимые для обеспечения безопасности, и вовремя не включена защита от CSRF-атак. Проблема устранена в выпусках Jenkins 2.95 и 2.89.2;
  • Четыре уязвимости в гипервизоре Xen, позволяющие гостевому окружению получить доступ к внутренним страницам памяти гипервизора, вызвать крах гипервизора и поднять свои привилегии;
  • В модуле Net::FTP, поставляемом в базовом наборе языка Ruby, устранена уязвимость (CVE-2017-17405), позволяющая выполнить произвольный shell-код через указание имени файла, начинающегося с символа "|". Проблема устранена в выпусках Ruby 2.3.6 и 2.2.9;
  • В RTP-стеке коммуникационной платформы Asterisk исправлена уязвимость, позволяющая без аутентификации вызвать крах серверного процесса через отправку специально оформленного RTCP-пакета. Проблема устранена в выпусках Asterisk 13.18.4, 14.7.4, 15.1.4;
  • В пакете GraphicsMagick устранено 29 уязвимостей, в основном связанных с переполнением буфера при обработке различных форматов. Проблемы устранены в GraphicsMagick 1.3.27;
  • В Apache Synapse устранена удалённо эксплуатируемая уязвимость (CVE-2017-15708), которая может привести к выполнению кода на сервере через подстановку специально оформленных сериализированных объектов. Проблема устранена в выпуске Apache Synapse 3.0.1, а также в Apache Commons Collections 3.2.2 и 4.1;
  • В Apache Fineract исправлена возможность подстановки SQL-кода (CVE-2017-5663) через отправку специально оформленного параметра sqlSearch в REST-запросе (например, "https://DomainName/api/v1/clients?sqlSearch=or (1==1)"). Проблема устранена в выпуске Apache Fineract 1.0.0.


  1. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  2. OpenNews: Серия критических уязвимостей в Intel Management Engine
  3. OpenNews: 77% из 433 тысяч изученных сайтов используют уязвимые версии JavaScript-библиотек
  4. OpenNews: Уязвимость в Exim, позволяющая выполнить код на сервере
  5. OpenNews: Неявные свойства языков программирования, которые могут привести к уязвимостям
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47754-vlc
Ключевые слова: vlc, powerdns, jenkins, xen, ruby, asterisk, graphicsmagick
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:04, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Apache прекрасен:

    Reported to security team 02 April 2017
    Update Released                 01 Jun 2017
    Issue public                 13 December 2017

     
  • 1.4, Аноним (-), 00:25, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ImageTragick ничему не научил?
    Помнится, GM именно из-за него форкнули...
     
     
  • 2.5, Аноним (-), 00:31, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ага, предвидели. За 15 лет.
     
  • 2.9, Борщдрайвен бигдата (?), 02:34, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так. В ряд причин для форка вошли и разногласия с подходом к разработке, и желание зафиксировать ряд фич, работающих быстро (вместо встраивания в библиотеку всего что только можно).
    Ну и на то время IM по памяти очень сильно протекал.
     

  • 1.7, optical character recognition (?), 01:00, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    Жизнь курильщика без Раста.
     
     
  • 2.8, Борщдрайвен бигдата (?), 02:30, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Хватит. Слишком толсто.
    Rust сам по себе не «серебряная пуля», как и другой, произвольно взятый язык. Даже с гарантиями безопасности в самом языке можно отстрелить себе не то, что ноги, но и яйца.

    Pro tip: на следующий раз лучше набросить не про Rust, а про формальную верификацию.

     
  • 2.12, key (??), 06:33, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чз как этот ваш раст, руки не дошли еще, да мозилла онли отпугивает.
    Но сейчас бы взять софт с древними корнями времен делфи и сравнивать его с новосозданными поделками на пару строчек, а потом говорить что раст круче.
    Так и калькулятор на С++98 от страуструпа не утекал.
     
  • 2.14, Аноним (-), 10:02, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Несомненно, раст поможет рубистам от имен файлов начинающихся с | :)
     
  • 2.19, Аноним (-), 12:46, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Зато в Руби нет уязвимостей, там же нет указателей и память регулируется VM!!!11" - говорили они. Тоже самое и с твоим растом.
     

  • 1.10, Аноним (-), 02:37, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Теперь VLC теперь не только MKV в квадраты крошит...
     
     
  • 2.13, Аноним (-), 09:59, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну справедливости ради, демуксеры потока, да и декодеры - это поле непаханное багов, в том числе и уязвимостей. Тут бы регулярный fuzzing сильно раскрыл глаза.
    Но да, видео смотреть только через mpv.
     
     
  • 3.15, Аноним (-), 10:04, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну справедливости ради, демуксеры потока, да и декодеры - это поле непаханное
    > багов, в том числе и уязвимостей. Тут бы регулярный fuzzing сильно раскрыл глаза.

    Так фуззят. Но форматов много и они сложные, так что сюрпризы иногда будут, увы.

    > Но да, видео смотреть только через mpv.

    Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

     
     
  • 4.16, Аноним (-), 10:55, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да нахрен эту хипстоту.

    WHAT?!
    > На него к тому же вроде как подзабили авторы.

    Ага, последний коммит аж вчера.

     
  • 4.17, anonymous (??), 10:56, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Но да, видео смотреть только через mpv.
    >Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

    Коммиты каждый день не похоже на "подзабили": https://github.com/mpv-player/mpv/commits/master

     
  • 4.18, Аноним (-), 11:42, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

    Подзабили разве что на тебя.

     
     
  • 5.21, Аноним (-), 14:29, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Подзабили разве что на тебя.

    Я не сильно расстроен, мне плеер с чокнутой билдсистемой не требуется.

     
     
  • 6.22, Аноним (-), 15:40, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А-а-а, так тебе пособирать…
     
     
  • 7.23, Аноним (-), 17:47, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А-а-а, так тебе пособирать…

    Ну как бы да, возможность сборки - одно из основных требований к софту. Даже более важное, чем отсутствие багов или низкая производительность и высокая ресурсоёмкость.

    Но вы можете продолжать сидеть на винде, где о сборке слышали лишь то, что она где-то существует.

    -- другой аноним

     
     
  • 8.26, Анонимм (??), 19:13, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то вас не туда понесло Вы уж определитесь - принципиальная возможность сбор... текст свёрнут, показать
     
     
  • 9.28, paulus (ok), 23:20, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    mplayer меньше ... текст свёрнут, показать
     
     
  • 10.30, Анонимм (??), 01:21, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ютуб и прочее к нему _нормально_ прикрутить можно ... текст свёрнут, показать
     
     
  • 11.33, Ю.Т. (?), 08:21, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну я так понял, что и к mpv ютуб не прикручен, а наоборот, mpv прикручен к качал... текст свёрнут, показать
     
     
  • 12.42, Анонимм (??), 18:28, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, прикручено взаимодействие mpv с качалкой Видео играть будет и без качалки ... текст свёрнут, показать
     
     
  • 13.43, Ю.Т. (?), 18:46, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, что-то не очень я понял а mpv вообще ни разу не использовал Я бы про... текст свёрнут, показать
     
  • 10.38, Аноним (-), 14:48, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И пересобирается проще, без каких-то там левых WAFель ... текст свёрнут, показать
     
  • 8.40, Аноним (-), 17:47, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу Потому как не сижу Впрочем, если человек ниасилил bootstrap py ... текст свёрнут, показать
     
  • 7.37, Аноним (-), 14:47, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >  А-а-а, так тебе пособирать…

    В том числе и это. Знаешь, не надо мне на машине дырявую самбу, например. А майнтайнеры вот считали что качать с windows shares видео - это круто, и собрали с ней. Я их мнение по этому поводу не разделяю.

     
     
  • 8.41, Аноним (-), 17:50, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В чем проблема написать e 124 pkg guild ... текст свёрнут, показать
     
     
  • 9.49, Аноним (-), 10:39, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял, в чью гильдию писать Может лучше сразу в ООН ... текст свёрнут, показать
     
  • 2.29, 0x0 (?), 00:15, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Специально только-что .mkv запустил, но (даж и не знаю, к радости это или сожалению) кроме пикселей никаких квадратов больше не обнаружилось.
     
     
  • 3.31, Шварцнигер (?), 01:34, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Было бы странно, если бы 100% mkv рипов, запущенных на VLC сыпались в квадраты, не находишь? Тогда бы этим плеером никто бы не пользовался. Но то что 30% всех HD mkv рипов он сыплет в квадраты - это факт. Платформонезависимая "фича", которая тянется десятилетие. На форуме накопился вагон и маленькая тележка баг-репортов по этой теме, да только воз и ныне там.
     
     
  • 4.32, 0x0 (?), 04:41, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так, это может быть проблемой и самих рипов (или программ, в которых они создавались), а не плеера, не находишь?
     
     
  • 5.34, АНоним (?), 10:04, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если в mpv работает, а в vlc это "может проблема рипов", то у юзера есть 2 варианта: жрать кактус или таки использовать mpv.
     
     
  • 6.45, 0x0 (?), 21:06, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что ж... раз уж тележка баг-репортов десятилетие тянется, то остаётся только сделать вывод, что никого не волнует, что по этой теме станут использовать что-то другое :)
     
  • 5.35, guitar ehro (?), 11:20, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смотрю по фильму каждый день, VLC не может нормально половину рипов, а SMP может. Да - это проблема рипов, лол.
     
     
  • 6.44, кверти (ok), 19:10, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    да, я архивирую и распаковываю файлы в архив формата .blabla, а твой архиватор это не может. проблема твоего архиватора.
     
  • 6.46, 0x0 (?), 21:13, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лично я в VLC смотрю только стриминговые сервисы. Для локального просмотра, на мой вкус плееры и с более удобными интерфейсами есть. Что касается 'рекламируемого' всеми нападающими на VLC MPV - вообще никогда им не пользуюсь :)
     
  • 6.47, 0x0 (?), 22:14, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > не может нормально половину рипов

    Тоесть, получается, что одна 'половина' файлов чем-то от другой таки отличается.

     

  • 1.20, Аноним (-), 13:58, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Правду говорили рубисты - очень удобный язык. Не надо составлять хитрые последовательности байтов, просто зафигачил пайп вместо имени - и всё работает.
     
  • 1.24, Андрей (??), 17:52, 17/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И снова VLC. Про уязвимости в mplayer и mpv слышно меньше. А возможностей у последнего не особо меньше.
     
     
  • 2.25, Аноним (-), 18:25, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    накомпиляют софта, а потом делают праздник из каждого cve
     
  • 2.27, Меломан1 (?), 19:30, 17/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >VLC v.3

    К маю месяцу зарелизят. Нытики посмотрят свою мангу в Debian. Все настоящие пацаны уже будут юзать V4.

     
     
  • 3.36, Аноним (-), 11:21, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что за набор букв ты написал?
     
  • 2.39, Аноним (-), 14:50, 18/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И снова VLC. Про уязвимости в mplayer и mpv слышно меньше. А
    > возможностей у последнего не особо меньше.

    Им пользуются меньше, вот и весь скерет. VLC понимаешь ли 100M даунлоадов в андроид сторе срубил. И вот эти 100М - интересная мишень. В отличие от горстки линуксоидов довольных консолью, половина поди еще и с дебагером наперевес, так что профит у ботнетчиков будет недолгим.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру