The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в rdesktop, qemu, Solaris и MySQL

08.05.2008 17:35

Обнаружены 4 неприятные уязвимости:

  • Несколько проблем безопасности в rdesktop (Unix клиент для удаленной работы по протоколу RDP на терминальных серверах Windows), при помощи которых, при подключении клиента к RDP серверу злоумышленника, на машине клиента может быть выполнен злонамеренный код. Уязвимость подтверждена в версии rdesktop 1.5.0.
  • Уязвимость в QEMU, позволяющая локальному пользователю гостевого окружения получить доступ к диску хост системы. Уязвимость подтверждена в версии qemu 0.9.1.
  • Возможность обхода некоторых ограничений при доступе к MyISAM таблицам в MySQL, через перезапись файлов таблиц путем манипуляции с опциями "DATA DIRECTORY" и "INDEX DIRECTORY". Похожая проблема уже была исправлена в MySQL 5.0.51. Уязвимость устранена в релизах MySQL 4.1.24 и 5.0.60.
  • Возможность проведения DoS атаки (полная загрузка CPU) на TCP стек Solaris, путем наводнения TCP-SYN пакетами. Для успешного проведения атаки необходимо, чтобы опция настройки стека "tcp_conn_req_max_q0" была установлена в значение больше 1024 (т.е. при изменении значения по умолчанию). Уязвимости подвержены все релизы Solaris 8, 9, 10 для платформ SPARC и x86.


  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/15779-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, pavlinux (ok), 18:54, 08/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимость в QEMU

    Это не уязвимость, это полезная фишка.
    Хотя, если пускать от рута, то да - жопа!

     
     
  • 2.5, pavlinux (ok), 19:07, 08/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Говорили же детям "Validate input"
    https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Cod

    +    if (get_param_value(buf, sizeof(buf), "format", str)) {
    +        drv = bdrv_find_format(buf);
    +        if (!drv) {
    +            fprintf(stderr, "qemu: '%s' invalid format\n", buf);
    +            return -1;
    +        }
    +    }
    +

     
     
  • 3.6, Аноним (6), 19:18, 08/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Говорили же детям "Validate input"
    >https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Cod

    Ты лучше этот линк индусам-быдлокодерам из сан дай, мож осилят

     
     
  • 4.9, januel (?), 21:31, 08/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Говорили же детям "Validate input"
    >>https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Cod
    >
    >Ты лучше этот линк индусам-быдлокодерам из сан дай, мож осилят

    А ты типа русский? типа умный? а индусы типа быдлокодеры?Придержи свой язык!читай книги!поезди по миру!пообщайся с людьми(не только с русскими)!может тебе станет стыдно за нас русских... может ты поймёшь что тебе в детстве промыли мозги по поводу "мы лучшие", если что, так говорят в любой стране. И в Колумбии и в Армении людей учат, что их народ лучше... это навязанный обществом стереотип, надо от этого избавляться.
    PS у индусов в общей массе нет такой ярко выраженной гордыни как у нас...подумай пожалуйста над этим
    PPS и кстати парни они реально мозговитые!

     
     
  • 5.10, Oles (?), 21:45, 08/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Как человек там бывавший и с именно кодерами общавшийся (и до сих пор) скажу:
    1) есть очень толковые ребята, умные и адекватные, толковее чем некоторые из тех кого видел у нас
    2) есть действительно "быдлокодеры", но не сволочи а просто недальновидные, или просто неопытные, или работали по задаче "быстрее сделай"
    3) основная проблема именно их менталитет, добрый, неагрессивный, потому они часто не любят брать ответственность и соответственно ограничивают свой опыт, тоже самое с дырами в безопасности, они могут даже и не предполагать что где-то найдётся русский быдлохакер "мазахака" который вздумает искать уязвимости ради личной выгоды или статуса

    Самое грустное зрелище в индуском офисе это было день рождения. Молчаливые улыбки, тортик, песня хеппибёздейтую. Что тут непонятного....

     
  • 5.18, Michael Shigorin (ok), 14:06, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >PPS и кстати парни они реально мозговитые!

    В отличие от некоторых давно уж описанных наукой так называемых русских, которые склонны поливать соотечественников грязью ан масс (tm) и восхищаться иностранцами.

    Как дела у Вас в Мумбае, уважаемый?

    Вам-то кто мозги промыл?  И у индусов есть гордыня (см., например, centos bug #2177), и главное -- у них нет смысла жизни по большей части.  Потому и аморфные.

    И потому уж лучше наши со всеми нашими увечьями, чем ихние со всеми их датацентрами.

    Стыдитесь, молодой человек, /своих/ стереотипов.

     
     
  • 6.30, januel (ok), 23:42, 18/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >Как дела у Вас в Мумбае, уважаемый?
    >
    >Вам-то кто мозги промыл?  И у индусов есть гордыня (см., например,
    >centos bug #2177), и главное -- у них нет смысла жизни
    >по большей части.  Потому и аморфные.
    >
    >И потому уж лучше наши со всеми нашими увечьями, чем ихние со
    >всеми их датацентрами.
    >
    >Стыдитесь, молодой человек, /своих/ стереотипов.

    я не говорю что кем-то восхищаюсь, просто не люблю когда наши начинают разводить разговоры на национальной почве - "я лучше потому что родился здесь". кстати скины так и думают)
    в чем-то я горд за русских, а вообще если про меня... то я приверженец крайнего космополитизма
    и всем того же желаю)

     
  • 5.19, vitek (??), 14:30, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не трогай индусов!
    они только за деньги пишут! не то что некоторые.

    ищи их в m$, oracle, ... sun, m$

     
  • 5.23, Аноним (-), 09:01, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > PS у индусов в общей массе нет такой ярко выраженной гордыни как у нас...подумай пожалуйста над этим

    а система каст?
    про неприкасаемых слышал?

     
     
  • 6.25, Oles (?), 10:18, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ты туда сьездь и посмотри и пообщайся. А потом делай выводы.
     
     
  • 7.26, arcman (ok), 11:54, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. написанное ниже неправда что ли получается? о_0

    Съездь пообщайся - оно не аргумент, со всеми не пообщаешься.

     
     
  • 8.27, Oles (?), 17:20, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда воображай себе про менталитет людей и отдельной касты по википедии А мо... текст свёрнут, показать
     
  • 5.24, arcman (ok), 09:18, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ага, подумал http ru wikipedia org wiki Каста Неприкасаемые Основная стать... большой текст свёрнут, показать
     
     
  • 6.28, Oles (?), 17:22, 12/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мы в советском союзе тоже "знали всё" о мире, не выходя из дома. А что - бастуют в штатах, значит там всё хреново. А там и до сих пор бастуют.
     
  • 6.31, januel (ok), 23:54, 18/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >Я так посмотрю индусы просто оплот толерантности =)))
    >
    >"В Индии бросили в огонь ребенка из касты "неприкасаемых"
    >http://novostey.com/society/news60368.html
    >
    >"Житель индийского города Матхура бросил шестилетнюю девочку из "неприкасаемых" в огонь, за
    >то что она и ее мать шли по пешеходной дорожке для
    >индусов из высших каст"
    >
    >Отсутствие гордыни у них конечно не так ярко выражено, да...

    а меня в лет 18 любера цепями били... за то что слушал гражданскую оборону...
    а скины в Питере таджиксую девочку убили... к сожалению это есть везде...
    ребята, давайте жить дружно!

     
  • 4.15, мачо (?), 05:58, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ты лучше этот линк индусам-быдлокодерам из сан дай, мож осилят

    помнится загрузчик висты первыми отреверсинженерили именно индусы

     
     
  • 5.20, vitek (??), 14:33, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    из всего многообразия наций должно же было какой-то из них это понадобиться?
     
  • 4.22, greenh (??), 20:03, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ты лучше этот линк индусам-быдлокодерам из сан дай, мож осилят

    Человек, который называет других, неизвестных ему программеров "быдлокодерами" скорее всего сам нихрена не умеет и является классическим примером быдла, не привязанного к какой либо нации.


     
     
  • 5.29, Sergey (??), 12:13, 17/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ты лучше этот линк индусам-быдлокодерам из сан дай, мож осилят
    >
    >Человек, который называет других, неизвестных ему программеров "быдлокодерами" скорее всего сам нихрена
    >не умеет и является классическим примером быдла, не привязанного к какой
    >либо нации.

    Гм.. как программер, я действительно мало чего умею. Но как пользователь программы выдающей явные косяки как могу относиться к ее разработчикам? Если эта прога из OSS, то я, возможно и закоммичу баг девелоперу. А с софтом от мегакорпораций типа MS, IBM, Oracle слать им багрепорты дело практически безнадежное, толку, если ты не их супер-мега клиент, отваливающий миллионы в год, будет ноль. Далее, общаясь с поддержкой по электронке, вижу что ответившие мне инженеры индусы почти сплошняком, остальные европейские турки.. И глядя на списки-фотки developers team - какие выводы напрашиваются? И скажите еще, что там они не быдлокодеры? Просто индусам так повезло, у них очень дешевая рабочая сила, и английский почти родной язык. Имел бы Китай аналогичное колониальное прошлое, сейчас была бы орава китайских быдлокодеров...

     

  • 1.8, pavlinux (ok), 21:00, 08/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хотите посмеяться -  https://bugs.gentoo.org/show_bug.cgi?id=213431

     
     
  • 2.11, mike (??), 23:52, 08/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Хотите посмеяться -  https://bugs.gentoo.org/show_bug.cgi?id=213431

    в теле слова ЛОПАТА не обнаружена.
    не так искал ?

     
  • 2.21, Аноним (-), 19:45, 09/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не над чем там смеятся. человек просто не неправильно понял надпись на экране.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру