Уязвимости в libwmf, schroot, Openfire и Linux ядре

05.05.2009 17:21

Новые уязвимости:

В библиотеке libwmf найдена критическая уязвимость, позволяющая выполнить код злумышленника при попытке обработки WMF (Windows Metafile Format) файлов в использующих данную библиотеку приложениях, например, Gimp и ImageMagick. Уязвимости подвержены все версии библиотеки, включая последний официальный релиз 0.2.8.4.
В пакете для автоматизации создания chroot окружений schroot, поставляемом в Debian GNU/Linux, найдена уязвимость, которую локальный пользователь может использовать для организации краха системы, через исчерпание shared-памяти через "/tmp/shm".
В Jabber сервере Openfire найдена уязвимость, проявляющаяся в возможности обхода ограничений безопасности через установку пароля другому пользователю, путем отправки специально оформленного запроса. Проблемы решены в Openfire 3.6.4.
В git-репозитории Linux ядра исправлена труднореализуемая уязвимость в функции "ptrace_attach()", позволяющая локальному пользователю повысить свои привилегии в системе при отправке ptrace(PTRACE_ATTACH) для задачи находящийся на определенной стадии выполнения вызова exec() , пытающегося выполнить suid приложение.

исправить +/–

Главная ссылка к новости (http://secunia.com/advisories/...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/21606-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, Bod (??), 20:20, 05/05/2009 [ответить]	+/–
В Убунте 9.04 libwmf уже обновился.

2.2, pro100master (ok), 20:49, 05/05/2009 [^] [^^] [^^^] [ответить]	+/–
ага, оперативно :)

1.3, User294 (ok), 22:37, 05/05/2009 [ответить]	+/–
> установку пароля другому пользователю Жесть!Как видим жаба - не панацея от дыр oO

2.5, apollo2k4 (?), 11:04, 06/05/2009 [^] [^^] [^^^] [ответить]	+/–
Не протокол, а сервер, и кто мешает использовать ejabberd... А вообще ПО несовершенно, и в нем будут ошибки — пока его будут писать люди...

3.9, User294 (??), 20:50, 06/05/2009 [^] [^^] [^^^] [ответить]	+/–
>будут писать люди... Да уж.Слава роботам!Ой, то есть, Клава :)

2.6, XoRe (ok), 11:49, 06/05/2009 [^] [^^] [^^^] [ответить]	+/–
>> установку пароля другому пользователю > >Жесть!Как видим жаба - не панацея от дыр oO Согласен. Но, думаю, стоит разделить идею (RFC, протокол, и т.д.) и её реализацию (openfire, ejabberd, и т.д.). Глюк в реализации (в конкретном ПО) - не есть глюк в идее (в протоколе).

3.10, User294 (??), 21:17, 06/05/2009 [^] [^^] [^^^] [ответить]	+/–
Все так Протокол не бажный сам по себе Хотя на мой вкус и довольно дурной пухлы... большой текст свёрнут, показать

1.7, Аноним (-), 14:24, 06/05/2009 [ответить]	+/–
Openfire вообще... своеобразен. К примеру, если к аккаунту подключены транспорты, и одно из подключений ушло в Away, или еще какой статус - транспорты тоже в него становятся, несмотря на то, что из другого места пользователь подключен как Online. Да и еще странности есть... Если в общем, по сравнению с ejabberd - неудобная зараза на редкость. А уж как надо писать, чтобы кривым сообщением поменять пароль другому пользователю можно было - ума не приложу.

1.8, centosuser (ok), 18:47, 06/05/2009 [ответить]	+/–
Угу. Еще посмотреть бы это сообщение

игнорирование участников | лог модерирования

Добавить комментарий

Текст: