Исходное сообщение
"Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..." Отправлено opennews, 18-Май-12 13:35
Несколько недавно обнаруженных уязвимостей: -  В корректирующих обновлениях утилиты sudo 1.8.5p1 и 1.7.9p1 устранена уязвимость (http://www.sudo.ws/sudo/alerts/netmask.html), позволяющая обойти заданное в конфигурации sudoers ограничение выполнения операций для заданных IPv4-подсетей. Проблема вызвана ошибке в коде разбора сетевых масок и может быть использована пользователем для выполнения команд на любом доступном хосте, невзирая на заданное в настройках явное перечисление подсетей на которые распространяется действие выполняемой команды. Проблема наблюдается в sudo с 1.6.9p3 по 1.8.4p4 версии. В качестве обходного пути защиты вместо подсети можно использовать netgroup, имена хостов или перечисления IP; -  Разработчики Apache OpenOffice раскрыли информацию о том, что в недавно выпущенном OpenOffice 3.4 были исправлены две (http://www.openoffice.org/security/cves/CVE-2012-2149.html) уязвимости (http://www.openoffice.org/security/cves/CVE-2012-2149.html), проявляющиеся в OpenOffice.org 3.3 и 3.4 Beta. Уязвимости позволяли организовать выполнение кода при открытии в офисном пакете DOC-файлов с интегрированными специально оформленными JPEG-объектами и при импорте файлов в формате WPD (Wordperfect); -  В открытом менеджере почтовых рассылок Sympa (http://www.sympa.org) выявлена уязвимость (http://www.openwall.com/lists/oss-security/2012/05/11/8), позволяющая получить доступ к функциям архивирования без предварительной проверки параметров аутентификации, что может быть использовано для создания, удаления и загрузки архивов. Проблема исправлена в версии 6.1.11 (http://www.sympa.org/distribution/latest-stable/NEWS); -  В Libxml2 найдено (http://secunia.com/advisories/49177/) переполнение буфера в реализации функции "xmlXPtrEvalXPtrPart()", используемой для декодирования значений XPointer. Проблема может привести к инициированию записи за допустимые границы буфера при обработке специально оформленного XML-контента в приложениях, использующих Libxml2. Проблема исправлена (http://git.gnome.org/browse/libxml2/commit/?id=d8e1faeaa99c7...) в Git-репозитории проекта; -  В библиотеке gdk-pixbuf найдена уязвимость (http://secunia.com/advisories/49125/), которая может привести к выполнению кода при открытии специально оформленного XBM-файла в приложении, использующем библиотеку gdk-pixbuf. Проблема исправлена (https://bugs.launchpad.net/ubuntu/+source/gdk-pixbuf/+bug/68...) в Git-репозитории проекта; -  В мультимедиа плеере RealPlayer 15.0.4.53 устранены 3 уявзимости (http://service.real.com/realplayer/security/05152012_player/en/), позволяющие организовать выполнение кода при обработке специально скомпонованных файлов в форматах MP4, ASMRuleBook и RealJukebox; -  В обновлении (http://lists.apple.com/archives/security-announce/2012/May/m...) Apple QuickTime 7.7.2 устранено 17 уязвимостей (http://archives.neohapsis.com/archives/fulldisclosure/2012-0...), большинство из которых могут привести к выполнению кода злоумышленника при открытии специально оформленных данных (например, TeXML, H.264, MP4, MPEG, QTMovie, PNG, QTVR, JPEG2000, RLE, Sorenson); -  В программе для мгновенного обмена сообщениями Pidgin 3.2.1 устранена уязвимость (http://www.openwall.com/lists/oss-security/2012/05/16/2) в плагине pidgin-otr, которая может быть использована для организации выполнения кода на машине пользователя через отправку специально оформленного сообщения, в случае использования плагина pidgin-otr (проблема вызвана ошибкой форматирования строки при помещении записей в лог). URL: Новость: http://www.opennet.ru/opennews/art.shtml?num=33875