Несколько новых проблем безопасности:
- Продемонстрирована (http://www.catonmat.net/blog/ldd-arbitrary-code-execution/) возможность создания исполняемого файла, для которого при просмотре связанных библиотек через утилиту ldd будет выполнен код злоумышленника. Например, типичный пример социальной инжененрии - пользователь хостинга или злоумышленник от его имени создает специальный исполняемый файл, звонит администратору и жалуется, что программа неработает. Администратор первым делом набирает ldd и сообщает пользователю, что не хватает библиотеки N, пользователь говорит спасибо, а администратор даже не подозревает, что только что запустил со своими правами код злоумышленника.
- В Perl 5.10.1 подтверждено (http://secunia.com/advisories/37144/) наличие DoS уязвимости: передав некорректную UTF-8 строку злоумышленник может (http://rt.perl.org/rt3//Public/Bug/Display.html?id=69973) вызвать крах интерпретатора, при обработке этой строки внутри регулярного выражения в режиме игно...
URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=23998