The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от opennews (??) on 22-Мрт-12, 23:27 
Несколько недавно найденных уязвимостей:


-  Компания Google представила (http://googlechromereleases.blogspot.com/2012/03/stable-chan...) корректирующий выпуск web-браузера Chrome 17.0.963.83, в котором устранено 9 уязвимостей, из которых 6 помечены как опасные. В рамках программы выплаты вознаграждений за выявленные уязвимости исследователям безопасности выплачено тысяч долларов: три премии по 5.5 тыс. долларов, одна премия  2000$, одна 500$ и три премий по 1000$;

-  Сообщается (http://permalink.gmane.org/gmane.comp.security.oss.general/7249) о наличии в свободном антивирусном пакете ClamAV пяти опасных уязвимостей (http://www.securityfocus.com/archive/1/522005), которые остаются неисправленными в недавно выпущенном релизе ClamAV 0.96.4. Уязвимости позволяют совершить атаку на сервер путем отправки специальным образом оформленных файлов TAR, RAR и CHM;

-  В Asterisk найдена опасная уязвимость (http://downloads.asterisk.org/pub/security/AST-2012-003.html) в коде управляющего web-интерфейса, успешная эксплуатация которой может привести к выполнению кода злоумышленника на сервере при отправке специально оформленного "HTTP Digest" запроса аутентификации. Проблема наблюдается в ветках 1.8.x и 1.10.x и исправлена в релизах 1.8.10.1 и 10.2.1;

-  В релизах пакета GnuTLS 2.12.18 и 3.0.16 устранено (http://secunia.com/advisories/48488/) две уязвимости. Уязвимость в коде расшифровки блочных шифров при обработке  TLS-записей может привести к выполнению кода злоумышленника при отправке специально оформленной структуры "GenericBlockCipher". Вторая проблема присутствует (http://blog.mudynamics.com/2012/03/20/gnutls-and-libtasn1-vulns/) в  библиотеке libtasn1 и может привести к выполнению кода при обработке специально оформленного сертификата X.509;

-  В библиотеке libzip 0.10.1 устранены две уязвимости (http://www.nih.at/listarchive/libzip-discuss/msg00252.html), каждая из которых может привести к переполнению буфера и выполнению кода злоумышленника при обработке специально скомпонованных ZIP-файлов;

-  В IRC-сервере InspIRCd (https://github.com/inspircd/inspircd) найдена критическая уязвимость (http://www.kb.cert.org/vuls/id/212651), позволяющая неаутентифицированному злоумышленнику выполнить свой код на сервере путем манипуляции c DNS. Проблема присутствует в последнем выпуске 2.0.5. Проблема исправлена в GIT-репозитории проекта;

-  В свободном пакете с реализацией протоколов маршрутизации Quagga 0.99.20.1 устранено 3 уязвимости (http://secunia.com/advisories/48388/), две в ospfd и одна в bgpd. Подробности об опасности проблем не сообщаются, но не исключена возможность удалённой эксплуатации уязвимостей;

-  В свободном Flash-плеере GNU Gnash выявлена уязвимость (http://secunia.com/advisories/47183/), позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла. Проблема подтверждена в версии 0.8.10 и пока устранена (http://git.savannah.gnu.org/cgit/gnash.git/commit/?id=bb4dc7...) только в Git-репозитории проекта;

-  В вышедшем (http://blog.documentfoundation.org/2012/03/22/tdf-announces-.../) сегодня корректирующем выпуске LibreOffice 3.4.6 устранена потенциальная уязвимость, подробности о которой пока не афишируются. Судя по списку изменений в новой версии устранено несколько крахов, которые могут быть инициированы через открытие специально оформленных документов или при обработке XML-данных. Возможно проблема имеет связь с недавно устранённой уязвимостью (http://www.openoffice.org/security/cves/CVE-2012-0037.html) в Apache OpenOffice, позволяющей организовать утечку содержимого ODF-докумнтов при запуске специально сформированных внешних XML компонентов.

URL:
Новость: http://www.opennet.ru/opennews/art.shtml?num=33426

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  –3 +/
Сообщение от 123 (??) on 22-Мрт-12, 23:27 
Имхо-предположение, в 3.5 ветке LO, сделано несколько значимых регрессий  в Calc по сравнению с 3.4, предположение основано на открытии xls-файлов, сгенеринных в ОдноЭс. В LO 3.3 все гуд, в 3.4 форматирование в жопе, в 3.5 все снова гуд.
Сменить одноэс на <тут должна быть ваша реклама> не предлагать. К слову, в ОО 3.3 тоже все гуд.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +2 +/
Сообщение от x0r (??) on 23-Мрт-12, 01:09 
Сам понял, что написал?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от guest (??) on 23-Мрт-12, 09:35 
в 3.5 починили 1с'вское сохранение xls, я правильно понял ? Надо будет потестить.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 23-Мрт-12, 13:06 
Не починили.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от qwerty (??) on 23-Мрт-12, 17:19 
Таки починили в большинстве своем
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +1 +/
Сообщение от Aleks Revo on 26-Мрт-12, 02:57 
Если исправление ошибок версии 3.4 назвать регрессией, то я даже не знаю, куда мир катится
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  –4 +/
Сообщение от iZEN (ok) on 23-Мрт-12, 01:05 
Пишу из chromium 17.0.963.83, собранного из порта www/chromium FreeBSD 9-STABLE.
После сборки системным LLVM/Clang не запускается. Запустился и работает после сборки системным GCC 4.2.
Опции сборки:
% cat /var/db/ports/chromium/options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for chromium-17.0.963.83
_OPTIONS_READ=chromium-17.0.963.83
WITH_CODECS=true
WITH_GCONF=true
WITHOUT_PULSEAUDIO=true
WITHOUT_CLANG=true
WITHOUT_GCC46=true
WITHOUT_DEBUG=true

Периодически вылетают сообщения запущенного из графического терминала приложения:
> chrome

[13619:76775424:20816773734:ERROR:gl_surface_glx.cc(64)] GLX 1.3 or later is required.
[13619:76775424:20816774017:ERROR:gl_surface_linux.cc(66)] GLSurfaceGLX::InitializeOneOff failed.
[13618:115027968:20819116923:ERROR:platform_thread_posix.cc(264)] Not implemented reached in static void base::PlatformThread::SetThreadPriority(pthread*, base::ThreadPriority)
Thread 60f2000 has exited with leftover thread-specific data after 4 destructor iterations
[13618:103840768:20826466425:ERROR:platform_thread_posix.cc(264)] Not implemented reached in static void base::PlatformThread::SetThreadPriority(pthread*, base::ThreadPriority)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 26-Мрт-12, 03:31 
В следующий раз не забудь свопфайл приаттачить.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  –1 +/
Сообщение от Аноним (??) on 23-Мрт-12, 02:33 
>В свободном Flash-плеере GNU Gnash выявлена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла.

О, а вот и дырки драного флеша полезли в открытые аналоги. Flash - небезопасная недотехнология.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 23-Мрт-12, 09:36 
Это не объясняет наличие дыр в остальном по.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от СлаваТруду (ok) on 26-Мрт-12, 00:58 
ага, тем более в хроме

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от kde (??) on 23-Мрт-12, 10:34 
Пока остальные матерятся пользователи altlinux перемещают указанное ПО в хешер :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 26-Мрт-12, 03:32 
> Пока остальные матерятся

А чего материться то? Апдейтики уже прилетели.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 23-Мрт-12, 11:21 
на http://www.clamav.net/lang/en/download/sources/ (последний
стабильный) раздают версию 0.97.4.
А ветка 0.96.4 была еще 2010-10-25.
Кто-то явно долго спал...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspI..."  +/
Сообщение от Аноним (??) on 24-Мрт-12, 00:27 
> на http://www.clamav.net/lang/en/download/sources/ (последний
> стабильный) раздают версию 0.97.4.
> А ветка 0.96.4 была еще 2010-10-25.
> Кто-то явно долго спал...

Похоже на опечатку, CVE от 2012 года.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру