The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от opennews (??) on 12-Дек-11, 19:20 
Несколько недавно обнаруженных уязвимостей:

-  В MVC-фреймворке для разработки WEB-приложений Apache Struts 2.2.3.1 (http://struts.apache.org) устранена уязвимость (http://struts.apache.org/2.x/docs/s2-007.html), используя которую удалённый злоумышленник может выполнить свой код на сервере через подстановку выражения OGNL;
-  В Asterisk 1.4.43, 1.6.2.21 и 1.8.7.2 устранена (http://www.asterisk.org/node/51693) уязвимость (http://downloads.asterisk.org/pub/security/AST-2011-014.html), приводящая к разыменованию указателя NULL и вызову отказа в обслуживании через отправку специально оформленных SIP-пакетов при включенной в настойках опции "automon";
-  Для Adobe Flash Player представлен (http://archives.neohapsis.com/archives/dailydave/2011-q4/008...) 0-day эксплоит, позволяющий организовать выполнение кода при просмотре специально сформированного контента. Проблема пока остаётся (http://www.adobe.com/support/security/) неисправленной;

-  В корректирующем выпуске SSH-клиента...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=32536

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от Аноним (??) on 12-Дек-11, 19:20 
>Adobe Flash Player представлен 0-day эксплоит

Я, почему то, не удивлен.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от Аноним (??) on 12-Дек-11, 20:09 
> Проблема пока остаётся неисправленной;

И что хуже, я не удивлен и по поводу вот этого. Не зря я это задизаблил.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от zomg on 12-Дек-11, 20:21 
Эксплоит пока только для винды вроде бы. На линухе просто будет падать плейер :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 22:59 
> Эксплоит пока только для винды вроде бы. На линухе просто будет падать плейер :)

Вы так говорите как будто для линукса сделать эксплойт невозможно. Хотя (ныне дохлый) milw0rm.com был иного мнения на этот счет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 23:37 
>дохлый milw0rm.com был иного мнения
>дохлый... был

Ключевые слова, ога.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

23. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 11:57 
> Ключевые слова, ога.

Что, предпочитаете прятать голову под одеяло? :)
По-моему, надежнее всего просто отключить это сито.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 03:49 
Эксплоит для чего угодно, ибо он Adobe FP есть и на винде, и на линухе. Разница в правах и путях (на линухе сложно найти диск C:\ :D). Успокаивает, что 2% пользователей мало кто заинтересуется.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-11, 11:59 
> и на линухе. Разница в правах и путях (на линухе сложно найти диск C:\ :D).

Офигенные познания о эксплойтах. Для начала на линуксе будет сложно найти виндозные сисколы, так что пути вам уже не понадобятся. Если вы не можете дернуть функцию открытия файла правильно - ну и пути вам ни к чему :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от аноним1 on 13-Дек-11, 13:50 
ничего и не нужно искать, кроме чарта популярности дистрибутивов.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

31. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 15:07 
> ничего и не нужно искать, кроме чарта популярности дистрибутивов.

Ну допустим я нашел чарт. Мои дальнейшие действия?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 17:32 
> Ну допустим я нашел чарт. Мои дальнейшие действия?

Писать сплойт под винду, так как это наиболее популярный дистрибутив ОС.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

8. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +2 +/
Сообщение от Аноним (??) on 12-Дек-11, 21:20 
>>Adobe Flash Player представлен 0-day эксплоит
> Я, почему то, не удивлен.

Эту поделку вместе с necrobat'ом использовать вообще опасно для здоровья.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 20:55 
Уязвимость в путти вообще весьма головоломная.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  –3 +/
Сообщение от Аноним (??) on 12-Дек-11, 20:58 
Закрытый код же.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от FilimoniC (ok) on 12-Дек-11, 21:37 
Простите, вот сорцы для винды, например.
http://the.earth.li/~sgtatham/putty/latest/putty-src.zip

Всё тут http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 22:23 
Под виндой нет программистов, поэтому и смотреть в них некому. От не-кроссплатформенных сорцов толку ноль.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от Анонинона on 12-Дек-11, 22:34 
> Под виндой нет программистов, поэтому и смотреть в них некому. От не-кроссплатформенных
> сорцов толку ноль.

putty собирают под все ОС.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Ytch on 12-Дек-11, 22:40 
> От не-кроссплатформенных сорцов толку ноль.

А зачем, например, putty под linux?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  –1 +/
Сообщение от ВКПб on 12-Дек-11, 23:27 
Для сетей с хитровыделанными НАТами и проксями.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +4 +/
Сообщение от Клыкастый (ok) on 13-Дек-11, 00:44 
вы так говорите, как будто стандартный ssh имеет от этого проблемы.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

36. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 17:32 
> Для сетей с хитровыделанными НАТами и проксями.

А чем оно лучше openssh в этом плане?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +1 +/
Сообщение от Аноним (??) on 13-Дек-11, 12:00 
> А зачем, например, putty под linux?

For great justice. Других причин не вижу - юзабилити оного полный хлам.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от 1 (??) on 13-Дек-11, 12:50 
под линуксом их тоже нет, так что теперь, программы не писать штоле?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 06:25 
Иногда лучше жевать...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 21:22 
> Уязвимость в путти вообще весьма головоломная.

Также, как и в glibc. И да, автор пишет, что апстрим об этом пока ничего не знает, зная характер Дреппера.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 23:03 
Ну значит дистры как обычно наложат приватный патч :)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 12-Дек-11, 23:43 
> Ну значит дистры как обычно наложат приватный патч :)

Иногда крепко задумываешься над тем, почему же некоторые критикуют такие проекты как glibc. И не только из-за сложности. Иногда бывает просто непатченный апстрим, зияющий дырами направо и налево.
Кстати, баг, позволяющий получить рута (https://www.opennet.ru/openforum/vsluhforumID3/71578.html) пофиксили?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 12:06 
> Кстати, баг, позволяющий получить рута (https://www.opennet.ru/openforum/vsluhforumID3/71578.html)
> пофиксили?

Адов боян. Ничего подревнее не выкопалось? На дебианообразных уж сто лет не работает. На редхатах сами проверьте, мне они пофигу.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 14:32 
>> Кстати, баг, позволяющий получить рута (https://www.opennet.ru/openforum/vsluhforumID3/71578.html)
>> пофиксили?
> Адов боян. Ничего подревнее не выкопалось? На дебианообразных уж сто лет не
> работает. На редхатах сами проверьте, мне они пофигу.

Я знаю про боян. Меня интересует - как эту проблему исправили в апстриме? Судя по дереву git что в glibc, что в eglibc - не исправили. Или исправление было другим?
А то вот, например, возьму эавтра я сорцы у них, соберу свой дистр (да пусть даже какой-нибудь специфичный). Дырья будут?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 15:17 
> Я знаю про боян. Меня интересует - как эту проблему исправили в апстриме?

Вам интересно? Так в чем проблема проверить? Дел на максимум 10 минут.

> Судя по дереву git что в glibc, что в eglibc - не исправили. Или исправление было другим?

В свое время тестил на себе этот сплойт. На убунтах в основном, хотя вроде и дебиан был. Сначала работало. После апдейта работать сплойт перестал. Кто именно запатчил дырку я честно говоря не разбирался, меня устроило узнать что она запатчена и убедиться в этом лично :)

> А то вот, например, возьму эавтра я сорцы у них, соберу свой
> дистр (да пусть даже какой-нибудь специфичный). Дырья будут?

Хороший вопрос. Ну возьмите и проверьте. Или надо - вам, а проверять должен кто-то иной? Уважающие себя дистры обычно накладывают на апстрим свои патчи, по тем или иным причинам. Среди которых бывает и долбоклюйство и некооперативность апстримов иногда. Особенно касается libc, где господин Ульрих отличается любовью к позе "вы тут все пи...сы, а я со шпагой". Честно говоря я бы зассал брать напрямую либу от столь некооперативного и безбашенного апстрима.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 16:22 
>> А то вот, например, возьму эавтра я сорцы у них, соберу свой
>> дистр (да пусть даже какой-нибудь специфичный). Дырья будут?
> Хороший вопрос. Ну возьмите и проверьте. Или надо - вам, а проверять
> должен кто-то иной? Уважающие себя дистры обычно накладывают на апстрим свои
> патчи, по тем или иным причинам. Среди которых бывает и долбоклюйство
> и некооперативность апстримов иногда. Особенно касается libc, где господин Ульрих отличается
> любовью к позе "вы тут все пи...сы, а я со шпагой".
> Честно говоря я бы зассал брать напрямую либу от столь некооперативного
> и безбашенного апстрима.

Да я вот тоже теперь уже думаю составить списочек вот таких вот проектов. Glibc будет первым, если это подтвердится.
Ушёл собирать.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Уязвимости в Apache Struts, Asterisk, Adobe Flash, PuTTY, Gl..."  +/
Сообщение от Аноним (??) on 13-Дек-11, 17:34 
> Особенно касается libc, где господин Ульрих отличается
> любовью к позе "вы тут все пи...сы, а я со шпагой".
> Честно говоря я бы зассал брать напрямую либу от столь некооперативного
> и безбашенного апстрима.

BSD libc welcomes you!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру