The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критические уязвимости в PostgreSQL, BIND, ядре Linux и Asterisk

29.03.2013 19:50

Опубликовано уведомление об обнаружении критической уязвимости в СУБД PostgreSQL. Никаких подробностей и данных о характере проблемы не сообщается до выпуска официальных обновлений, которые запланированы на 4 апреля. Судя по всему уязвимость очень опасная, так как впервые в истории проекта доступ к репозиториям будет ограничен, а обновления будут готовиться к выпуску и тестироваться в условиях повышенной секретности в узком кругу коммитеров, с целью избежания преждевременной утечки информации. Пользователям PostgreSQL рекомендуется подготовиться к выполнению 4 апреля внепланового обновления своих систем. Проблема затрагивает все поддерживаемые выпуски PostgreSQL.

Дополнительно можно отметить сведения об исправлении трех опасных уязвимостей:

  • В корректирующих выпусках DNS-сервера BIND 9.9.2-P2 и 9.8.4-P2 устранена уязвимость (CVE-2013-2266), позволяющая удалённо вывести из строя рекурсивные и авторитативные DNS-серверы, путем отправки специально оформленных запросов. Проблема вызвана утечкой памяти и проявляется в исчерпании всей доступной процессу named памяти. Проблема затрагивает только ветки BIND 9.7, 9.8 и 9.9. Пользователям ветки 9.7, которая уже не поддерживается, для решения проблемы рекомендуется пересобрать BIND без поддержки регулярных выражений (найти файл с "#define HAVE_REGEX_H 1" и поменять данную строку на "#undef HAVE_REGEX_H"). Проблему усугубляет достаточно простой метод эксплуатации.
  • В обновлениях ядра Linux 3.8.5, 3.4.38, 3.2.42 и 3.0.71 устранена уязвимость (CVE-2013-0913) в drm-драйвере i915 для видеокарт Intel. Уязвимость позволяет записать данные за пределы кучи и инициировать выполнение кода с правами ядра. Проблема была продемонстрирована на конкурсе Pwnium, в рамках которого был подготовлен частично работающий эксплоит для атаки на ChromeOS.
  • В платформе телефонии Asterisk 11.2.2 исправлены три уязвимости, позволяющие определить наличие имён пользователей, осуществить DoS-атаку через отправку специального HTTP POST-запроса и выполнить код на сервере через передачу специально подготовленных атрибутов ресурсов в заголовке SDP.


  1. Главная ссылка к новости (http://www.postgresql.org/abou...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/36539-postgresql
Ключевые слова: postgresql, bind, zlht, linux, b, asterisk
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (5) RSS
  • 1.2, Аноним (-), 20:57, 29/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По bind:
    Обновления для RHEL были доступны уже вчера https://rhn.redhat.com/errata/RHSA-2013-0690.html
    Ночью пришли и под CentOS.
    В Debian уже зарегистрирован номер бюллютеня с обновлением https://security-tracker.debian.org/tracker/DSA-2656-1 но самого обновления еще нет.
     
     
  • 2.4, pavlinux (ok), 20:59, 29/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По bind: Обновления для RHEL были доступны уже вчера

    а у меня ядро 3.2.42 уже третий день работает, и чё?!

     
     
  • 3.16, Аноним (-), 23:57, 29/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а у меня ядро 3.2.42 уже третий день работает, и чё?!

    Ну так у дыры в i915 уже борода растет, а bind regex dos - свежачок с пылу с жару.

     
     
  • 4.19, Аноним (-), 03:22, 30/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > dos - свежачок с пылу с жару.

    Это что, спамхаус и кто там его зад прикрывает придумали как шатдаунить сервера которые им 300Гбит льют? :)

     
  • 3.22, Дядя_Федор (?), 08:19, 03/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Gentoo тормозит в части обновления bind. Вчера еще версии p2 в портеджах не было. Печально... Хотя по логам трех ДНС-серваков пока все тихо, никаких аномалий.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру