URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81917
[ Назад ]

Исходное сообщение
"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."

Отправлено opennews , 19-Дек-11 23:07 
Несколько недавно найденных уязвимостей:


-  В программном обеспечении Tor 0.2.2.35 (https://www.torproject.org) для работы в анонимной сети Tor устранена опасная уязвимость (https://lists.torproject.org/pipermail/tor-announce/2011-Dec...), позволяющая инициировать выполнение кода злоумышленника, имеющего доступ к созданию Tor-сессии через SOCKS-прокси;

-  В системе управления web-контентом TYPO3 4.6.2 (http://typo3.org/) устранена критическая уязвимость (http://typo3.org/teams/security/security-bulletins/typo3-cor.../), позволяющая неавторизированному внешнему злоумышленнику выполнить свой PHP-код на сервере через передачу некорректного значения параметра "BACK_PATH" для скрипта typo3/sysext/workspaces/Classes/Controller/AbstractController.php. Для успешной эксплуатации в настройках PHP должны быть активны опции  "register_globals", "allow_url_include" и "allow_url_fopen". Имеются сведения о появлении червя, поражающего необновлённые версии TYP...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=32604


Содержание

Сообщения в этом обсуждении
"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено ЧИМ , 19-Дек-11 23:07 
В последнее время стали частыми новости об уязвимости, видимо Linux начинает всё больше интересовать хакеров и вирусо-писателей. С одной стороны это хорошо(двигатель прогресса), с другой плохо, так как не все авторы свободного ПО смогут своевременно устранять уязвимости.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Харитон , 19-Дек-11 23:38 
уязвимости которые интересуют хакеров - не разглашаются. ибо бабло.
скорее всего больше привлекается народу для работы а разработке и находят их разработчики...

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено dimss , 20-Дек-11 15:29 
Программы становятся все сложнее, и все больше косяков связано с ошибками с дизайне и спецификации. Пиши хоть супер-пупер безопасным образом, все равно вылезек какая-то _непредусмотренная_ гадость.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:28 
По этому поводу D.J. Berstein сделал гениальный вывод: keep it simple, stupid. И кстати его программы на "небезопасном" си так толком никто и не поломал. Жаль что он их не особо майнтайнит, но PoC вполне годный вышел :)

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 21-Дек-11 09:46 
Обилие вирусов под форточки - картина маслом "хакер вендузятник".
Как-то слабо в это верится. Харество зародилось еще за долго до венды.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:29 
> картина маслом "хакер вендузятник".

Хакер вендузятников скорее ;)



"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено StreamThreader , 19-Дек-11 23:46 
Дырки в программном обеспечении будут залатываться не только авторами но и сообществом. Если конечно это ПО будет интересовать это самое сообщество.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 03:52 
Какое отношение имеет Nagios XI к каким-то рпм и к какому-то линуксу?

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 06:43 
В Linux-инсталляторе системы...

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено xdsl , 20-Дек-11 06:38 
>>Для успешной эксплуатации в настройках PHP должны быть активны опции "register_globals", "allow_url_include" и "allow_url_fopen".

Кто-то до сих пор держит register_globals==on ?


"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Анонитор , 20-Дек-11 08:32 
Тор спалился? :)

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 09:55 
Тор и не скрывал, что ничего не гарантирует. На их сайте это на первой странице написано. Для тех, кто умеет читать, разумеется :)))))))

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:23 
> Тор спалился? :)

Да там паливо достаточно условное. По дефолту, сокс вешается только на 127.0.0.1. Так что юзер конечно может себя хакнуть, но зачем? А внешние атакующие как-то на чужой 127.0.0.1 и не попадут :)