The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от opennews (ok) on 29-Май-13, 10:13 
Несколько недавно обнаруженных уязвимостей:


-  В ModSecurity 2.7.4 устранена (https://raw.github.com/SpiderLabs/ModSecurity/master/CHANGES) уязвимость, позволяющая инициировать отказ в обслуживании при обработке специально оформленных HTTP-запросов, подпадающих под правило "forceRequestBodyVariable";
-  В Apache Struts 2.3.14.2 устранены три опасные уязвимости: Две (http://struts.apache.org/development/2.x/docs/s2-012.html) уязвимости (http://struts.apache.org/development/2.x/docs/s2-013.html) вызваны ошибкой в реализации класса "ParameterInterceptor"  и могут привести к изменению объектов на стороне сервера и организации выполнения своего кода при обработке специально оформленного выражения OGNL (Object-Graph Navigation Language). Третья уязвимость (http://struts.apache.org/development/2.x/docs/s2-014.html) вызвана некорректной проверкой входных параметров в функции "includeParams", что позволяет организовать выполнение кода на сервере через манипуляции с содержимым тега Anchor;
-  Oracle Solaris устранено более (http://secunia.com/advisories/53468/) 30 уязвимостей (http://secunia.com/advisories/53462/), затрагивающих различные пакеты из состава ОС. Некоторые проблемы являются критическими и могут привести к организации выполнения кода при обработке специально оформленного контента в приложениях, использующих уязвимые версии библиотек;
-  В web-интерфейсе cgit 0.9.2 (http://lists.zx2c4.com/pipermail/cgit/2013-May/001394.html), в том числе используемом на kernel.org, устранена уязвимость (http://www.openwall.com/lists/oss-security/2013/05/25/3), которая позволяет выйти за границы базовой директории Git-репозитория и прочитать содержимое произвольных файлов в системе. Проблема проявляется только при включении опции использования readme-файлов из локальной ФС, что по умолчанию отключено;


-  В свободной библиотеке  LibRaw 0.15.2 устранены две (http://www.libraw.org/news/libraw-0-15-1) уязвимости (http://www.libraw.org/news/libraw-0-15-2), позволяющие организовать выполнение кода при обработке в использующих LibRaw приложениях специально оформленных raw-изображений;

-  В системе для автоматизации работы службы поддержки OTRS устранена (http://www.otrs.com/en/open-source/community-news/security-a.../) уязвимость, позволяющая получить доступ к данным, для просмотра которых у пользователя нет прав;
-  В платформе координации выполнения запросов клиентов  RT (Request Tracker) 3.8.17 и 4.0.13 устранено 7 уязвимостей (http://lists.bestpractical.com/pipermail/rt-announce/2013-Ma...),  позволяющих обойти ограничения безопасности, осуществить подстановку HTML-кода и переписать файлы в директории /tmp;
-  В обучающей платформе Moodle  2.4.4, 2.3.7 и 2.2.10 устранены 4 уязвимости (1 (https://moodle.org/mod/forum/discuss.php?d=228930), 2 (https://moodle.org/mod/forum/discuss.php?d=228933), 3 (https://moodle.org/mod/forum/discuss.php?d=228934), 4 (https://moodle.org/mod/forum/discuss.php?d=228935)), позволяющие обойти ограничения безопасности и получить доступ к закрытым данным;
-  В Xen обнаружена уязвимость (http://www.openwall.com/lists/oss-security/2013/05/17/2), позволяющая локальному пользователю повысить свои привилегии в гостевой системе, через инициирование переполнение буфера при обращении к биндингам на языке Python. Для проявления уязвимости окружение должно допускать изменение VCPU affinity. Для решения проблемы пока требуется установка патча;
-  В Dovecot IMAP  2.2.2 исправлена уязвимость (http://www.dovecot.org/list/dovecot-news/2013-May/000255.html), позволяющая вызвать отказ в обслуживании через передачу некорректно оформленного IMAP-параметра APPEND;

-  В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD 5.3.2 исправлена уязвимость (http://seclists.org/oss-sec/2013/q2/362), позволяющая блокировать приём почты через манипуляции с SSL-сессиями (удержание сокета открытым после выполнения команды starttls блокирует работу других сокетов).


URL:
Новость: http://www.opennet.ru/opennews/art.shtml?num=37037

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +2 +/
Сообщение от Аноним (??) on 29-Май-13, 10:18 
...LibRaw 0.15.2 устранены две ...
В спектруме можно было программу в видеопямять загружать изапускать. Некоторые игры так и делали в картинку вставляли из собственный загрузчик, чтобы озу по больше оттяпать :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от Аноним (??) on 29-Май-13, 10:40 
Вот только нынче таким скорее хакеры воспользуются. Прислали тебе картинку - чпокс - запускается код хакера. А вот дальще хакер уже может загружать без спроса программы в память твоего компьютера и пользоваться на шару твоими ресурсами. Что несколько обидно, да...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от Аноним (??) on 29-Май-13, 11:01 
Одна "хакерская контора" вирусы прямо продает.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +1 +/
Сообщение от Аноним (??) on 29-Май-13, 11:05 
Не хакеры, а крякеры.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit,..."  +1 +/
Сообщение от arisu (ok) on 29-Май-13, 21:04 
> В спектруме можно было программу в видеопямять загружать изапускать. Некоторые игры так
> и делали в картинку вставляли из собственный загрузчик, чтобы озу по
> больше оттяпать :)

собственно, в то время, когда текстовый режим был основным и m$-dos правила, был софт, который позволял использовать память ega/vga как обычную ram. потому что обычному тексту надо килобайта 4, а в адаптере обычно 128, а то и 256 стоит. простаивает. так что не только спекки.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +2 +/
Сообщение от Стас2 on 29-Май-13, 12:30 
Этим всем кто-то еще пользуется? Давно перешел на счеты, никаких уязвимостей, доволен как слон...  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +2 +/
Сообщение от letna on 29-Май-13, 12:46 
Попробуй Логарифмическую линейку она еще более защищена..
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от Стас2 on 29-Май-13, 16:56 
дороговато выходит
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от бедный буратино (ok) on 29-Май-13, 16:28 
Что-то у меня не получилось ввод на opennet на счётах настроить, подсоби?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от Стас2 on 29-Май-13, 16:54 
у тебя наверное устаревшая модель - "абак" советую проапгрейдить ядро до такого http://commons.wikimedia.org/wiki/File:Schoty_abacus.jpg?use...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от Аноним (??) on 29-Май-13, 17:23 
Кому это интересно и для кого эта новость? Хакерам и для хакеров?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимости в ModSecurity, Apache Struts, Solaris, cgit, LibR..."  +/
Сообщение от angra (ok) on 31-Май-13, 11:09 
Ну уж точно не жертвам СМИ, путающим значения слов hacker и cracker


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру