The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/600"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/600"  +/
Сообщение от opennews (ok) on 11-Фев-13, 12:22 
Несколько недавно обнаруженных уязвимостей:


-  В утилите cURL (http://curl.haxx.se/) и связанной с ней библиотеке libcurl, которые часто используются в скриптах для автоматизации выполнения операций с Web, найдена критическая уязвимость (http://curl.haxx.se/docs/adv_20130206.html) (CVE-2013-0249), позволяющая организовать выполнение кода при отправке запроса на подконтрольный злоумышленником сервер. Проблема присутствует в коде осуществления SASL DIGEST-MD5 аутентификации и может быть эксплуатирована при возврате определённого ответа сервером POP3, SMTP или IMAP. Важно отметить, что несмотря на то, что непосредственно эксплуатация возможна при обращении к почтовым серверам, совершение атаки возможно (http://blog.volema.com/curl-rce.html) и при обращении к Web, путём возврата редиректа на почтовый сервер злоумышленника (через "Location: pop3://x:x@evilserver.com"). Уязвимость проявляется только в версиях с  7.26.0 по 7.28.1 включительно, при сборке с поддержкой SASL. В версии 7.29 уязвимость устранена. Концептуальный прототип эксплоита для проверки наличия уязвимости в своих системах можно загрузить здесь (http://i.volema.com/pop3d.py).

-  В Adobe Flash Player выявлены две уязвимости (http://www.adobe.com/support/security/bulletins/apsb13-04.html) (CVE-2013-0633, CVE-2013-0634), позволяющие организовать выполнение кода в системе пользователя при открытии специально оформленного SWF-контента. В настоящее время проблемы уже активно эксплуатируются для распространения вредоносного ПО. Проблемы устранены в выпусках 11.5.502.149, 11.2.202.262 и 10.3.183.51;
-  В беспроводных маршрутизаторах D-Link DIR-300 и DIR-600 найдена уязвимость (http://www.s3cur1ty.de/m1adv2013-003), позволяющая выполнить любую shell-команду в системе без предварительной аутентификации (в устройствах используется окружение на базе Linux).  Проблема может быть эксплуатирована через отправку специально оформленного HTTP POST запроса к скрипту command.php.
Обновление прошивки с устранением проблемы пока недоступно, в качестве обходного метода защиты рекомендуется закрыть доступ к 80 порту маршрутизатора.
<center><img src="http://www.opennet.ru/opennews/pics_base/0_1360569874.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>


URL:
Новость: http://www.opennet.ru/opennews/art.shtml?num=36078

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +15 +/
Сообщение от Омский линуксоид email(ok) on 11-Фев-13, 12:22 
Как раз забыл пароль от одного роутера. Спасибо тебе D-LINK!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –7 +/
Сообщение от WherWolf on 11-Фев-13, 12:23 
> в качестве обходного метода защиты рекомендуется закрыть доступ к 80 порту маршрутизатора

А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор? Заодно решится куча других проблем.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –3 +/
Сообщение от PROFIT on 11-Фев-13, 12:25 
нормальный (не MIPS), маршрутизатор стоит больше 140уе
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +4 +/
Сообщение от Анонимус_б6 on 11-Фев-13, 12:25 
а может и не проще, потому что отдавать 2к за девайс взамен такого же работающего как-то не айс

и да, неужели кто-то держит открытым 80 порт вовне на роутере?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –2 +/
Сообщение от jenatii on 11-Фев-13, 15:12 
да, я!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

43. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от freehck email(ok) on 11-Фев-13, 20:05 
Разные у нас взгляды на современный роутер.
Вот мой Cisco Linksys WRT160NL стоит 5к.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

52. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +2 +/
Сообщение от rshadow (ok) on 11-Фев-13, 22:06 
А че так дешево то? И без позолоты наверное...
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от андрей email(??) on 11-Фев-13, 23:36 
... и linksys уже не cisco
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

70. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от Аноним (??) on 12-Фев-13, 12:08 
че так дорого?? у меня дома тож стоит покупал за 3500 ?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

72. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от freehck email(ok) on 12-Фев-13, 14:25 
> че так дорого?? у меня дома тож стоит покупал за 3500 ?

Ну, я давно покупал. Может быть, они уже дешевле стали.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

8. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +4 +/
Сообщение от Аноним (??) on 11-Фев-13, 12:37 
Элементная база у dir300 на уровне конкурентов в soho. Но вот прошивки, это просто пидзец. Особенно устройства на ralink 5350f. Раньше (времена adsl) и так довольно скептически относился к их продукции (касяки с мультикастом, из-за чего народ шил акорпоские проши), но теперь после 300NRU B7 даже в их сторону глядеть не буду. Тривиальнейшие баги в веб морде, которые не фиксятся месяцами, такие же непонятные касяки с мультикастои и неуловимый отваливающийся wifi. Радует, что маршрутизатор достался бесплатно по акции. Но целенаправленно приобретать продукцию длинка за свои деньги - ни-ни
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от WherWolf on 11-Фев-13, 12:54 
Элементная база у этой конторы может меняться в одном устройстве от ревизии к ревизии. Причем иногда по принципу "Дешевое г-но > Нормальные чипы > Снова дешевое г-но"
(Это я на DIR-615 намекаю)

Просто раньше, когда девайс от Zyxel или 3Com стоил 5000 рублей, аналогичный от DLink можно было приобрести за 2500. В большинстве случаев за эту цену можно было получить вполне работоспособное устройство. Сейчас ихние роутеры или DSL-модемы стоят рублей 500-700. Ну и качетсво -- в лучшем случае это можно назвать муляжом роутера. Масштаб 1:1

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Loooooker (ok) on 11-Фев-13, 14:21 
Кстати, не подскажете соответствие ревизий качеству г-на? А то сталкиваюсь с таким время от времени, но четкой картины нет
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +3 +/
Сообщение от Flashadmin (ok) on 11-Фев-13, 17:25 
http://wiki.openwrt.org/toh/d-link/dir-615#hardware.highlights
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

46. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от Аноним (??) on 11-Фев-13, 20:39 
>Ну и качетсво -- в лучшем случае это можно назвать муляжом роутера. Масштаб 1:1

Они хотя бы выбивали бы у китайцев спеки/фёрварь/модули для ядра. Умельцы бы допили, если они такие у мамы дурачки. Но их похеризм не знает границ.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +2 +/
Сообщение от Deluxe (??) on 11-Фев-13, 17:21 
> Радует, что маршрутизатор достался бесплатно по акции.
> Но целенаправленно приобретать продукцию длинка за свои деньги - ни-ни

Подтверждаю, D-Link — глючное косячное ушлёпище, периодически впадающее в ступор. Wi-Fi любит падать не просто часто, а часто до неприличия. Там и взламывать нечего, оно всё искаропки кривое.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

55. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –1 +/
Сообщение от kai3341 (ok) on 11-Фев-13, 22:30 
Что я делаю не так? dir300 A1 стоит не первый месяц, никаких проблем.

> косяки на веб-морде

Вы dd-wrt видели? Там веб-морда не менее косячная (по крайней мере, для dir400 A1), но всё фиксится командой про автостарте. Кажется, то же самое можно проделать в новых длинках.

> оно всё искаропки кривое

Кривизна Линукса повторяет кривизну рук владельца :)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

65. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Sas (ok) on 12-Фев-13, 10:24 
320 стоял у родственников и перегружали его по причине отваливающего вайфая по 20 раз на день. Прошил дд-врт и уже месяца два аптайма
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

66. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  +/
Сообщение от arisu (ok) on 12-Фев-13, 10:28 
> 320 стоял у родственников и перегружали его по причине отваливающего вайфая по
> 20 раз на день. Прошил дд-врт и уже месяца два аптайма

дык. родные прошивки и 300, и 320 — это такой тихий ужас. иногда очень тихий, до полного радиомолчания. я свой старый 300-й тоже при помощи dd-wrt «починил». выключается он только тогда, когда шишиги всё электричество в проводах съедают; в остальное время работает и не жужжит.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

71. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Ultrakrsk on 12-Фев-13, 12:31 
У меня DIR-655 стоит с аптаймом 4 месяца.... Скажите, что я делаю не так?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Avator (ok) on 11-Фев-13, 18:34 
Элементная база у Dir-300 на уровне конкурентов 3х-5 летней давности.
Посмотрите хотя бы на то что Asus сейчас делает и сравните или NetGear.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

39. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 19:00 
Асус сегодня делает неплохое железо и совершенно неюзабельные прошивки. Форумы затоплены  кровавыми слезами осчастливленных пользователей. Только сторонние прошивки и спасают.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

58. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Avator (ok) on 11-Фев-13, 23:50 
Вы ими пользовались сами чтобы так утверждать?
Я сам в прошлом пользователь сторонних прошивок на оборудовании асус.
Года два назад то что вы сказали было правдой, сейчас асус делает замечательные прошивки на основе DD WRT со своей "мордой". Бед уже года полтора-два с ними не знаю.
Перевел все домашние сети в семье на Асус, сейчас на RT-N66U (2 штуки в разных домах) и RT-AC66U, у себя RT-N16U. Все с родными прошивками.
За всё время один 66U сдох меньше чем через неделю после покупки - заводской брак, поменяли, сейчас всё отлично, RT-N16U один раз во время перепрошивки сбросил настройки.
Всё. Далее, ни зависаний, ни глюков, скорости отличные (у 16U немного ниже, но всё же), все устройства по WiFi сети видят и цепляют, прошивки периодически обновляются (в том числе и на  16U).
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от аркадий on 11-Фев-13, 19:53 
с промышленными устройствами та же история
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от 1 (??) on 11-Фев-13, 13:58 
Можно всегда жить на экзотическом оборудование и параноить.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

51. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от PROFIT on 11-Фев-13, 21:59 
> Можно всегда жить на экзотическом оборудование и параноить.

Mikrotik ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от MidNighter (ok) on 11-Фев-13, 14:00 
А что, в других нормальных уязвимостей быть не может?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от bugmenot (ok) on 11-Фев-13, 14:26 
Ага, в "нормальных" Linksys-ах тоже нашли уязвимость. Еще несколько месяцев назад. Циска так и не отреагировала.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –1 +/
Сообщение от kotonimous on 11-Фев-13, 16:19 
Ага, нормальных Линксисах.
Поржал даже с кавычками.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +2 +/
Сообщение от Аноним (??) on 11-Фев-13, 17:06 
> А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор?

Проще и дешевле влить в него опенврт какой-нибудь. Ну из ж@пы у тайваньцев и прочих китаезов руки в плане программирования, увы. Это медицинский факт. Поэтому толку то заменять шило на мыло?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

49. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  +1 +/
Сообщение от arisu (ok) on 11-Фев-13, 21:26 
> А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор? Заодно
> решится куча других проблем.

а можно узнать, какие у меня проблемы с DIR-300? ну, кроме того, что несколько лет уже работает круглосуточно и каши не просит. занимается раздачей вайфи да коммутированием домашней сетки.

так из-за каких проблем и принципов мне его надо выкинуть «и купить нормальный, современный маршрутизатор?»

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

53. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  +1 +/
Сообщение от iFRAME (ok) on 11-Фев-13, 22:21 
Ты что, ретроград? Не любишь все новое и современное? Может тебе даже гном 3 не нравится?
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

54. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  –1 +/
Сообщение от arisu (ok) on 11-Фев-13, 22:23 
да, я не люблю пролетариата.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

61. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  +2 +/
Сообщение от pazik on 12-Фев-13, 03:27 
Браво! Аплодирую стоя.

ЗЫ: И да, мне не нравится третий гном... ну и длинк само собой.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

62. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от медведдд on 12-Фев-13, 05:41 
"А может, проще выкинуть DIR-300"

Если вы не в состоянии, немного подумать, подсказываю: ошибка в базовой прошивке. Нормальные люди давно поставили dd-wrt или open-wrt.

p.s. Текст новости корявый. Ошибки в железе нет :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от PROFIT on 11-Фев-13, 12:24 
ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 15:33 
> ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/

Если это намек на dir300-revb, то спешу Вас огорчить, это только для аппаратных ревизий с B1 по B4. Для ревизий B5, B6 и B7 альтернативных прошивок (dd-wrt, Openwrt) нету, у этих ревизий SoC другой (RT3350f), так что если даже каким-то чудом Вам удастся запихать эту прошивку в новые роутеры - получите кирпич.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

57. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от андрей email(??) on 11-Фев-13, 23:44 
лично прошил 300-ку на Ralink с год назад DD-WRT - работает год и ни разу мне пользователи не жаловались (правда WiFi они не пользуют)
ЧЯДНТ?

(см. http://www.dd-wrt.com/wiki/index.php/Ralink_%28unbrande...)

потом ещё нашёл какой-то поц делает прошивки для Ralink ради продажи их OEM-производителям, так он вообще выложил прошивки с родными дровами для WiFi и др. плюшками

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

73. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от медведдд on 12-Фев-13, 17:22 
лично прошил 300-ку на Ralink с год назад DD-WRT - работает год. ЧЯДНТ?

Dlink dir300 rev B - ralink.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

74. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 12-Фев-13, 19:23 
Ну почему вы такие упрямые? Вам уже написали, ревизии b5, b6, b7 на ralink 5350*F*, а не ralink 5350. *wrt их не умеют. Длинки 300 на этом SoC шьются модифицированной прошивкой от zyxel keenetic lite b и самое печальное, в этом есть смысл
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

76. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 13-Фев-13, 08:53 
Добрый человек а против DIR-615 B2 (прошу прощения что вслух!) - есть метода? Или просто выкинуть?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

77. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 13-Фев-13, 19:02 
Вряд ли могу подсказать, чтобы наверняка
http://www.dd-wrt.com/wiki/index.php/Known_incompatible_devices
http://wiki.openwrt.org/toh/d-link/dir-615
Судя по всему там Ubicom IP5090U CPU, с которым опять-таки никто не имел дела. Да ещё флэш на 2 мегабайта.
Конечно остаётся надежда на чудо, вроде нормально работающей прошивки от другого вендора. Но что-то мне подсказывает, что чудес не бывает. Остаётся либо выкинуть, либо терпеть касяки вот таких устройств
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

80. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 14-Фев-13, 06:24 
>Остаётся либо выкинуть,

Ну умерла - так умерла. В принципе - оно ничего работало ... пока не пявились "n" девайсы, с ними оно просто куча мусора. Решено - на свалку!

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

6. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от AlexYeCu (ok) on 11-Фев-13, 12:28 
ПРИМЕЧАНИЕ. Adobe Flash Player 11.2 будет последней версией, поддерживающей Linux в качестве платформы. Adobe будет продолжать обеспечивать ретроподдержку безопасности Flash Player 11.2 для Linux.

С сайта adobe.com. Вынужден констатировать, что оно таки издохло.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от kerneliq (ok) on 11-Фев-13, 14:36 
yaourt -Ss chromium-pepper-flash-stable
aur/chromium-pepper-flash-stable 11.5.31.139-1
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от TDYK (ok) on 11-Фев-13, 14:54 
Подключите его к не-хромиум-based браузеру, а мы поглядим.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от AlexYeCu (ok) on 11-Фев-13, 17:01 
Для меня все эти ваши хромы-хромиумы и прочие оперы суть недобраузеры. Пусть сперва научатся с системной темой дружить и аналогом вимператора обзаведутся.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Maresias (ok) on 11-Фев-13, 17:27 
> Для меня все эти ваши хромы-хромиумы и прочие оперы суть недобраузеры. Пусть
> сперва научатся с системной темой дружить и аналогом вимператора обзаведутся.

Опера таки дружит. С Cinnamon выглядит  вообще как родная.
А флэш ей не нужен.
Вообще не нужен.
Это морально и технически устаревшая технология, позволяющая запихивать в закрытый код ActionScript любую пакость.
Просто уйти не может достойно, зачем-то цепляется за жизнь. А Гугл зачем-то поддерживает.
Живительная эвтаназия помогла бы.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от AlexYeCu (ok) on 11-Фев-13, 17:36 
>Опера таки дружит. С Cinnamon выглядит  вообще как родная.

Последний раз  когда видел — ещё не дружила толком.

>А флэш ей не нужен.

Кому «ей»? Flash мне нужен, для меня этого достаточно.

>Это морально и технически устаревшая технология

Пустые слова.

>позволяющая запихивать в закрытый код ActionScript любую пакость

Как и в любой компилируемый код. Только флэшка исполняется в песочнице flash-плагина в отличие от.

>Просто уйти не может достойно, зачем-то цепляется за жизнь. А Гугл зачем-то поддерживает.
>Живительная эвтаназия помогла бы.

Альтернатив нет. Даже близко.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

27. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от fi (ok) on 11-Фев-13, 16:37 
Да все нормально: flash-plugin-11.2.202.262-release.i386


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от dimqua (ok) on 11-Фев-13, 17:18 
Сказано же:

> Проблемы устранены в выпусках 11.5.502.149, 11.2.202.262 и 10.3.183.51;

Так что, к сожалению, оно ещё шевелится.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –1 +/
Сообщение от б.б. on 11-Фев-13, 12:28 
> В утилите cURL и связанной с ней библиотеке libcurl, которые часто используются в скриптах для автоматизации выполнения операций с Web, найдена критическая уязвимость (CVE-2013-0249), позволяющая организовать выполнение кода при отправке запроса на подконтрольный злоумышленником сервер.

pacman использует curl. эдак что, можно любой арч-сервер превратить в рассадник опасности?

только вчера думал, что будет, если появится уязвимость в openssh, позволяющая зайти без авторизации...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 17:24 
> арч-сервер

Месье знает толк. Вам там шибко давно подписанные репозитории сделали, уже можно на сервер ставить?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

37. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от б.б. on 11-Фев-13, 17:45 
Чо?

Вот у меня есть сервер, на нём зеркало с арчем (а оно у меня есть), куда постоянно по курлу ходят юзеры. Вроде бы, всё нормально - я не могу ничего подделать, всё защищено подписями, юзеры ходят на моё зеркало, не боясь и не опасаясь подделок - их хранит великий ключ.

Но пришла беда, откуда не ждали - в том самом моменте, где юзеры ежедневно долбятся своими курлами на мой http, требуя списки пакетов и сами пакеты, я им выдаю отдельный редирект, они, как честные курлы, идут по этому редиректу, и ПРИВЕТ, они попались.

Вот мне и интересно, насколько практически любое зеркало арч может стать приветом для компьютеров пользователей. И для меня это сравнимо с критической уязвимостью с ssh - всё настолько завязано на то, что требуются пароли и ключи авторизации, что если будет возможность сделать что-то страшное ДО этапа авторизации, наступит хаос, и ничего нельзя будет сделать.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

63. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от tipa_admin on 12-Фев-13, 07:57 
Избранное из /etc/pacman.conf:
#XferCommand = /usr/bin/curl -C - -f %u > %o
XferCommand = /usr/bin/wget --passive-ftp -c -O %o %u

Хотя да, по дефолту будет использоваться libcurl.so.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

64. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от б.б. on 12-Фев-13, 08:49 
Если у кого-то дар пророчества, и он знает, где объявится критическая уязвимость, так пусть не молчит!
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

9. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от commiethebeastie (ok) on 11-Фев-13, 12:48 
Много раз был свидетелем, когда хомячков сайта разносили на куски с помощью флеш вставок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –2 +/
Сообщение от Аноним (??) on 11-Фев-13, 12:53 
И как тогда настраивать роутер,если отключим 80 порт? А?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Имя on 11-Фев-13, 12:56 
telnet? или его в этой модели нет?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от анонимус_б6 on 11-Фев-13, 12:59 
ну не во вне же его открывать, и потом есть же ssh, есть telnet
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

40. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 19:04 
> И как тогда настраивать роутер,если отключим 80 порт? А?

Это они хорошо придумали, да.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от Аноним (??) on 11-Фев-13, 13:01 
Порт для администрирования через http у DIR по-умолчанию закрыт из внешней сети.
Не обязательно это порт 80, а не 8080.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от Аноним (??) on 11-Фев-13, 13:42 
Последние ревизии D-Link-ов объективно ужасны (и прошивки и железо).
Беру клиентам только голландские Sitecom-ы (к сожалению в россии малоизвестны). Все работают стабильно без подвисаний и т.п проблем, а прошивка уже изкоропки полностью рабочая + стильный внешний вид и компактный размер;)
p.s: не реклама, а просто радость, т.к буквально пару недель назад взял и себе домой SITECOM N300 X3 WLR-3100. d-link dir 300 rev.c1 забыт как страшный сон!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от ФФ (ok) on 11-Фев-13, 14:23 
>Обновление прошивки с устранением проблемы пока недоступно

Да, возможно, если использовать официальную прошивку. Я пользую вот эту http://www.dd-wrt.com/wiki/index.php/%D0%9F%D...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 17:08 
> Да, возможно, если использовать официальную прошивку.

Наверное вы хотели сказать НЕофициальную :). Там таких эпикфэйлов обычно себе не позволяют :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

45. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –3 +/
Сообщение от linux must _RIP_ on 11-Фев-13, 20:12 
все мы помним дыру в DD-wrt которая позволяла без авторизации выполнить любую команду....
И никакой тебе opensource не помог.. И даже хваленый GPL...
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +2 +/
Сообщение от Аноним (??) on 11-Фев-13, 20:58 
> все мы помним дыру в DD-wrt которая позволяла без авторизации выполнить любую
> команду....
> И никакой тебе opensource не помог.. И даже хваленый GPL...

Людям свойственно делать ошибки, только упоротые школьники могут это не понимать. Суть в том что при желании и наличии времени/средств ошибки в опенсорц коде может поправить _кто угодно_, и нет необходимости ждать по полгода пока Микрософт или Оракал соизволит выпустить апдейт.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

25. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Assembler on 11-Фев-13, 16:14 
ничо страшного, настраивайте через вебморду D-Link DIR-300, а 80й порт отключите для внешних соединений
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от Аноним (??) on 11-Фев-13, 19:44 
> command.php
> без предварительной аутентификации
> Команда в параметре cmd POST-запроса

Это не уязвимость, а явный бэкдор.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –4 +/
Сообщение от linux must _RIP_ on 11-Фев-13, 20:11 
> В беспроводных маршрутизаторах D-Link DIR-300 и DIR-600 найдена уязвимость, позволяющая выполнить любую shell-команду в системе без предварительной аутентификации (в устройствах используется окружение на базе Linux).

А как же свободное и открытое програмное обеспечение? почему оно не защитило от такой ошибки?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 11-Фев-13, 20:53 
От опенсорца там, в общем-то, только ядро с бизибоксом. Оболочка их -- тот еще блоб.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "Критические уязвимости в cURL, Adobe Flash и D-Link..."  +2 +/
Сообщение от arisu (ok) on 11-Фев-13, 21:30 
специально чтобы тебе было о чём писать на опеннете.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

67. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от бедный буратино (ok) on 12-Фев-13, 10:51 
Потому и свободное, что позволяет делать глупости. Если всё прибито бинарниками к единственно верному пути, тогда это уже несвободное. И если в этом несвободном возникла ошибка - её самостоятельно не исправишь.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

68. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  –1 +/
Сообщение от linux must _RIP_ on 12-Фев-13, 11:37 
> Потому и свободное, что позволяет делать глупости. Если всё прибито бинарниками к
> единственно верному пути, тогда это уже несвободное. И если в этом
> несвободном возникла ошибка - её самостоятельно не исправишь.

да нет. тут кричали что в открытом софте ошибок не бывает.. дескать opensource защищает от всего..
Но ведь не защищает сволочь он такая.. Дыры и там есть.. Как теперь жить то ?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +1 +/
Сообщение от бедный буратино (ok) on 12-Фев-13, 11:54 
> да нет. тут кричали что в открытом софте ошибок не бывает.. дескать opensource защищает от всего..

Если открыть доступ к root и всем остальным без пароля и выставить в сеть, то ваши данные в опасности. Не потому, что opensource плохой, а потому что вы дурак. Всё.


Opensource безопасен не потому, что в нём ошибок не делают, а потому, что в нём их быстро исправляют (все заинтересованные стороны).


Opensource это очень мощная сила. А что бывает, когда дураку дать такую мощь и силу, можно наблюдать ежедневно.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/..."  +/
Сообщение от Аноним (??) on 14-Фев-13, 17:16 
>> да нет. тут кричали что в открытом софте ошибок не бывает.. дескать opensource защищает от всего..
> Если открыть доступ к root и всем остальным без пароля и выставить
> в сеть, то ваши данные в опасности. Не потому, что opensource
> плохой, а потому что вы дурак. Всё.

"Буратино был тупой" (С)

(Лениво) Буратино, даже я, с моим максимализмом для сорокалетнего не характерен. А в сравнении с тобой я просто образец либерализма. И ты по-прежнему считаешь себя взрослым дядькой?

> Opensource безопасен не потому, что в нём ошибок не делают, а потому,
> что в нём их быстро исправляют (все заинтересованные стороны).

(лениво) Не ты ли читаешь сорцы и исправляешь баги? Вслух мне исходники ядра линя почитай-ка. На сон грядущий.

> Opensource это очень мощная сила. А что бывает, когда дураку дать такую
> мощь и силу, можно наблюдать ежедневно.

Это когда ты мочишься по утрам что-ли? :) Да, получаются дети буратин. :)))))

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру