The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от opennews (??) on 18-Май-12, 13:35 
Несколько недавно обнаруженных уязвимостей:


-  В корректирующих обновлениях утилиты sudo 1.8.5p1 и 1.7.9p1 устранена уязвимость (http://www.sudo.ws/sudo/alerts/netmask.html), позволяющая обойти заданное в конфигурации sudoers ограничение выполнения операций для заданных IPv4-подсетей. Проблема вызвана ошибке в коде разбора сетевых масок и может быть использована пользователем для выполнения команд на любом доступном хосте, невзирая на заданное в настройках явное перечисление подсетей на которые распространяется действие выполняемой команды. Проблема наблюдается в sudo с 1.6.9p3 по 1.8.4p4 версии. В качестве обходного пути защиты вместо подсети можно использовать netgroup, имена хостов или перечисления IP;

-  Разработчики Apache OpenOffice раскрыли информацию о том, что в недавно выпущенном OpenOffice 3.4 были исправлены две (http://www.openoffice.org/security/cves/CVE-2012-2149.html) уязвимости (http://www.openoffice.org/security/cves/CVE-2012-2149.html), проявляющиеся в OpenOffice.org 3.3 и 3.4 Beta. Уязвимости позволяли организовать выполнение кода при открытии в офисном пакете DOC-файлов с интегрированными специально оформленными JPEG-объектами и при импорте файлов в формате WPD (Wordperfect);

-  В открытом менеджере почтовых рассылок Sympa (http://www.sympa.org) выявлена уязвимость (http://www.openwall.com/lists/oss-security/2012/05/11/8), позволяющая получить доступ к функциям архивирования без предварительной проверки параметров аутентификации, что может быть использовано для создания, удаления и загрузки архивов.
Проблема исправлена в версии 6.1.11 (http://www.sympa.org/distribution/latest-stable/NEWS);

-  В Libxml2 найдено (http://secunia.com/advisories/49177/) переполнение буфера в реализации функции "xmlXPtrEvalXPtrPart()", используемой для декодирования значений XPointer. Проблема может привести к инициированию записи за допустимые границы буфера при обработке специально оформленного XML-контента в приложениях, использующих Libxml2. Проблема исправлена (http://git.gnome.org/browse/libxml2/commit/?id=d8e1faeaa99c7...) в Git-репозитории проекта;

-  В библиотеке gdk-pixbuf найдена уязвимость (http://secunia.com/advisories/49125/), которая может привести к выполнению кода при открытии специально оформленного XBM-файла в приложении, использующем библиотеку gdk-pixbuf. Проблема исправлена (https://bugs.launchpad.net/ubuntu/+source/gdk-pixbuf/+bug/68...) в Git-репозитории проекта;

-  В мультимедиа плеере RealPlayer 15.0.4.53 устранены 3 уявзимости (http://service.real.com/realplayer/security/05152012_player/en/), позволяющие организовать выполнение кода при обработке специально скомпонованных файлов в форматах MP4, ASMRuleBook и RealJukebox;
-  В обновлении (http://lists.apple.com/archives/security-announce/2012/May/m...) Apple QuickTime 7.7.2 устранено 17 уязвимостей (http://archives.neohapsis.com/archives/fulldisclosure/2012-0...), большинство из которых могут привести к выполнению кода злоумышленника при открытии специально оформленных данных (например, TeXML, H.264, MP4, MPEG, QTMovie, PNG, QTVR, JPEG2000, RLE, Sorenson);
-  В программе для мгновенного обмена сообщениями Pidgin 3.2.1 устранена уязвимость (http://www.openwall.com/lists/oss-security/2012/05/16/2) в плагине pidgin-otr, которая может быть использована для организации выполнения кода на машине пользователя через отправку специально оформленного сообщения, в случае использования плагина pidgin-otr (проблема вызвана ошибкой форматирования строки при помещении записей в лог).

URL:
Новость: http://www.opennet.ru/opennews/art.shtml?num=33875

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 13:35 
Pidgin 3.2.1?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 13:36 
Автор новости ошибся. 3.2.1 - это версия плагина pidgin-otr
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 18:58 
Автор новости ошибся в том, что уязвимость была не в pidgin, а в его плагине причем не том, который распространяется с дистрибутивом программы.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 13:36 
То ошибка в новости. Последняя версия 2.10.4.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +8 +/
Сообщение от гость on 18-Май-12, 13:35 
>> В программе для мгновенного обмена сообщениями Pidgin 3.2.1

положите машину времени на место

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +3 +/
Сообщение от Аноним (??) on 18-Май-12, 17:40 
Нене, расскажите как там новые ядра? Какая там уже версия? 4-е ядро - сделали?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +4 +/
Сообщение от ананим on 18-Май-12, 13:46 
>В обновлении Apple QuickTime 7.7.2 устранено 17 уязвимостей, большинство из которых могут привести к выполнению кода злоумышленника

гы, а как любят на адобу с флэшем наезжать.
проприетарщики, мать их.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Ищавин (ok) on 18-Май-12, 21:26 
Это уязвимости собранные больше, чем за пол года.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

42. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 23:05 
> Это уязвимости собранные больше, чем за пол года.

Ещё хужё, до полугода некоторые дыры оставались неисправленными, зато обновления строго по графику.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

47. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Ищавин (ok) on 19-Май-12, 01:30 
Ну да, пострадало аж 0 неудачников :)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

6. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  –1 +/
Сообщение от Омский линуксоид email on 18-Май-12, 14:28 
Как хорошо, что я пользуюсь Libre Office... Угрозы обходят меня стороной...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  –3 +/
Сообщение от Аноним (??) on 18-Май-12, 14:35 
Им просто никто не пользуется вот и никто не аудитит код.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 14:48 
Агащаз. Все на него перелезли ещё до того как OOo отдали индейцам.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +5 +/
Сообщение от Polkan (ok) on 18-Май-12, 14:58 
как не пользуются? он же вроде как в убунте дефолтным офисным пакетом стоит.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Andrey Mitrofanov on 18-Май-12, 14:58 
> Им просто никто не пользуется вот и никто не аудитит код.

Ты не поверишь!1!1

CVE-2012-2149, который "crafted JPEG в DOC-е", был исправлен в Debian, в котором, в разных сьютах, пакуются и OOo, и LO, в версиях:

For the stable distribution (squeeze), this problem has been fixed in version 1:3.2.1-11+squeeze5.
For the testing distribution (wheezy) and the unstable distribution (sid), this problem has been fixed in version 1:3.4.5-1 of the libreoffice package.

Ментейнер создал эти вериии, сответственно:

openoffice.org (1:3.2.1-11+squeeze5) stable-security; urgency=high
-- Rene Engelhard <rene@debian.org>  Wed, 04 Jan 2012 23:12:29 +0000

и

libreoffice (1:3.4.5-1) unstable; urgency=medium
-- Rene Engelhard <rene@debian.org>  Thu, 12 Jan 2012 18:56:37 +0000

Как хорошо, что AOO, наконец!, зарелизилсz, отрапортовалсz об исправлениях безопасноти и порекомендовал всем-всем обновиться. Как бы мы бы без этого.</joy>

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Andrey Mitrofanov on 18-Май-12, 15:00 
>> Им просто никто не пользуется вот и никто не аудитит код.
> Ты не поверишь!1!1
> CVE-2012-2149, который "crafted JPEG в DOC-е"

CVE-2012-1149 http://www.openoffice.org/security/cves/CVE-2012-1149.html
((в новости наверху тож напутано [было?]))

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 19:51 
Их там две. И последние три цифры совпадают :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +1 +/
Сообщение от Аноним (??) on 18-Май-12, 17:45 
> Им просто никто не пользуется вот и никто не аудитит код.

Размечтался. Пока оракл вертел фигой и придумывал как бы поизящгнее всех обломать, пришла толпа пролетающих и коллективным разумом перегруппировались в новую мощную структуру, взявшую на себя немелкую задачу по форку. А оракл оказался самообдурен в результате, не и айбиэму на орехи достались т.к. отпала база их проприетарной симфонии. Пришлось срочно рвать попы и делать плохую мину при хорошей игре, выпуская опачъофис. Только фиг там. Поезд ушел.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +1 +/
Сообщение от Аноним (??) on 18-Май-12, 19:40 
Апачи сообщили о миллионе загрузок спустя неделю релиза. Это при том, что оповещения об обновлениях со старого ООо не было.
Так что поезд никуда не ушёл.

http://www.openoffice.org/news/aoo34-1M.html

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

37. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 22:25 
> Апачи сообщили о миллионе загрузок спустя неделю релиза.

Дык какие-нибудь виндузятники по инерции. Осталось только сравнить сколько там миллионов за сколько у либры :). Простите, его только с 1 убунтой более 10 лямов за считанные дни выгружается. И это только 1 дистр, заметьте :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

20. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +1 +/
Сообщение от frob (ok) on 18-Май-12, 17:52 
Угу... Аудитит...
Проблема с WPD была известна давно и о необходимости переезда на новую версию мэйнтейнер ОО.орг-щикам говорил.
Ну вот теперь АОО-шники её "пофиксили" -- выкинули поддержку WPD.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

40. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 22:28 
> Ну вот теперь АОО-шники её "пофиксили" -- выкинули поддержку WPD.

AOO получает приз в номинации "лучший фикс года". Ну тогда гильотина надежно справляется с головной болью.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Тот_Самый_Анонимус on 18-Май-12, 21:23 
>Как хорошо, что я пользуюсь Libre Office... Угрозы обходят меня стороной...

Лизок засчитан.

Безошибочного ПО не бывает, однако Либра оказывается не только офисный пакет, но и система безопасности компьютера. Сильно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

34. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +1 +/
Сообщение от Аноним (??) on 18-Май-12, 22:09 
На безобидный и эмоционально ровный пост - неожиданно резкая реакция со всплеском нравоучительности. Весьма символизирует
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 22:25 
> На безобидный и эмоционально ровный пост - неожиданно резкая реакция со всплеском
> нравоучительности. Весьма символизирует

Ну так что вы ожидали? Проприерасские пиарботы - они тупенькие, предсказуемые.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

50. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Тот_Самый_Анонимус on 19-Май-12, 15:31 
>Ну так что вы ожидали? Проприерасские пиарботы - они тупенькие, предсказуемые.

Ну так я не вижу особого интеллекта и оригинальности в этом лживом высере.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

49. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Тот_Самый_Анонимус on 19-Май-12, 15:30 
>На безобидный и эмоционально ровный пост - неожиданно резкая реакция со всплеском нравоучительности. Весьма символизирует

Да бросьте вы, где ж он безобидный? Это самый настоящий вброс. Или этот же чувак сообщит нам о своей неправоте, если уязвимость будет в ЛО? Какова была цель этого высказывания?

И да, нехорошо отвечать самому себе. От количества лестных отзывов Ваше сообщение не станет правдивее.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

21. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  –4 +/
Сообщение от iZEN (ok) on 18-Май-12, 18:45 
http://www.vuxml.org/freebsd/b8ae4659-a0da-11e1-a294-bcaec56...

% pkg_info -Ex libxml
libxml2-2.7.8_3

Хорошо, что у меня не Linux.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 18:56 
> Хорошо, что у меня не Linux.

Если бы у меня в базовой системе критические дырки не закрывали бы по полгода, я бы не стал этим гордиться :]

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от iFRAME (ok) on 18-Май-12, 19:29 
Пруфы?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +1 +/
Сообщение от Аноним (??) on 18-Май-12, 19:49 
Читаем рассылку freebsd-security-notifications, смотрим на даты писем. Потом смотрим инфу по CVE, проникаемся величием мысли.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  –1 +/
Сообщение от iFRAME (ok) on 18-Май-12, 20:16 
> Читаем рассылку freebsd-security-notifications, смотрим на даты писем. Потом смотрим
> инфу по CVE, проникаемся величием мысли.

т.е. ссылок на конкретные сообщения в рассылке вы дать не можете?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 20:48 
Для себя я уже всё выяснил и предлагаю тебе самому убедиться в том, что я увидел.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Ищавин (ok) on 18-Май-12, 21:28 
Не обращайте внимания, когда-то товарищ перерастет.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 22:27 
> Не обращайте внимания, когда-то товарищ перерастет.

Действительно, тупицы не способные гуглануть по номеру CVE + кейвордам в списке рассылки внимания не заслуживают. Делать поиск вместо амебы - многовато чести выходит, знаете ли.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

41. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от анон on 18-Май-12, 23:04 
За свои слова надо отвечать. От себя, поправлю ваше изречение: "Делать аргументированные заявления - многовато чести выходит, знаете ли".
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 19-Май-12, 00:59 
> За свои слова надо отвечать. От себя, поправлю ваше изречение: "Делать аргументированные заявления - многовато чести выходит, знаете ли".

А зачем вам что-то аргументировать, вы же даже по ссылкам не сходите - вместо этого будете препираться и говорить, что вам лень :)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 19-Май-12, 00:26 
> Делать поиск вместо амебы - многовато чести выходит, знаете ли.

Человек тратит кучу времени на чтение новостей и изложение своего мнения в комментариях, но когда его просят предъявить ссылку, говорит, что это выше его чести, продолжая, впрочем, тратить время на препирательства. Для препирательств у него времени и чести хватает, а выдать пруф - сразу заканчиваются. Удивляют меня такие ответы

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 19-Май-12, 01:00 
> т.е. ссылок на конкретные сообщения в рассылке вы дать не можете?

Могу, но зачем? Описанный выше простой алгоритм вы не осилили - где гарантия того, что вы осилите клик по ссылке?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

46. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от анон on 19-Май-12, 01:06 
Настолько жирно, что iZEN даже не посмотрел в вашу сторону.

>Могу, но зачем?

Просто для того, чтобы не быть треплом с завышенным самомнением. Уж извините.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

48. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 19-Май-12, 15:01 
> Настолько жирно, что iZEN даже не посмотрел в вашу сторону.

Уж он-то умеет пользоваться гуглом. Наверняка все нашел, и теперь молчит в тряпочку.

> Просто для того, чтобы не быть треплом с завышенным самомнением. Уж извините.

У вас это не получилось :)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

27. "Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, Q..."  +/
Сообщение от Аноним (??) on 18-Май-12, 19:50 
Когда уже в sudo исправят баг работы с PAM (race condition между открытием и закрытием сеанса)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру