The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.02.2011 15:30  Уязвимости в Plone, ProFTPD, OpenSSL, Tomcat, Chrome, WordPress, RealPlayer и Adobe Flash

Несколько свежих уязвимостей:

  • Во всех версиях системы управления web-контентом Plone обнаружена уязвимость, позволяющая внешнему анонимному злоумышленнику получить доступ к административной консоли, через которую можно изменить оформление сайта, добавить контент и модифицировать страницы. Исправление доступно в виде патча, для анализа возможных фактов взлома по логу apache подготовлен специальный скрипт.
  • В модуле "mod_sftp" из состава FTP-сервера ProFTPD найдена уязвимость, позволяющая удаленной инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных. Исправление пока доступно только в виде патча.
  • В релизе OpenSSL 0.9.8r и 1.0.0d устранена уязвимость, при обработке некорректных значений, переданных в сообщении ClientHello, приводящая к чтению области памяти за границей буфера и потенциально способная привести к утечке закрытых данных (например, к ранее обработанным значениям OCSP (Online Certificate Status Protocol)). Уязвимости подвержены приложения, использующие функцию "SSL_CTX_set_tlsext_status_cb()", например, Apache httpd начиная с версии 2.3.3;
  • В Apache Tomcat найдено три уязвимости, позволяющие обойти системные ограничения (ограниченное возможностью только чтения, web-приложение может получить привилегии на запись данных), инициировать отказ в обслуживании (израсходование всей памяти после специального web-запроса) и организовать проведение XSS-атаки. Уязвимости устранены в версиях 7.0.8, 6.0.32 и 5.5.33.
  • В web-браузере Google Chrome 9.0.597.94 устранено пять уязвимостей, три из которых имеют высокую степень опасности и две - среднюю;
  • В системе управления контентом WordPress 3.0.5 исправлены две уязвимости, позволяющие пользователям с правами контрибьютора или автора поднять свои привилегии в CMS и получить доступ к скрытым публикациям других участников;
  • В медиа-плеере RealPlayer найдена уязвимость, позволяющая организовать выполнение кода при попытке открытия специально оформленного AVI-файла. Проблема устранена в версии 14.0.2;
  • В вышедшем вчера релизе Adobe Flash Player 10.2 без лишней огласки (в официальном анонсе про уязвимости не упоминалось) устранено 9 уязвимостей, каждая из которых позволяет организовать выполнение кода злоумышленника при открытии специально сформированных страниц. Примечательно, что о данных уязвимостях компании Adobe было сообщено в конце сентября - на выпуск исправления ушло 4 месяца.


Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security, plone, openssl, proftpd, tomcat
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Поцыус Клей (?), 17:22, 10/02/2011 [ответить]    [к модератору]
  • +2 +/
    Адоб опять радует. С утра порадовал, после обновления ридера попросил выполнить перезагрузку(sic)! И вот опять "на выпуск исправления ушло 4 месяца". Молодцы.
     
     
  • 2.2, KroArtem (ok), 18:14, 10/02/2011 [^] [ответить]    [к модератору]
  • +/
    а куда торопиться? :)
     
     
  • 3.6, User294 (ok), 21:42, 10/02/2011 [^] [ответить]    [к модератору]
  • +/
    Да, и правда - надо же дать хаксорам ботнеты набрать, или где?!
     
     
  • 4.9, Аноним (-), 09:09, 12/02/2011 [^] [ответить]     [к модератору]
  • +/
    А зачем вы используете Adobe реадер Вроде бы в GNOME и KDE встроенные средства ... весь текст скрыт [показать]
     
  • 1.4, Sylvia (ok), 19:34, 10/02/2011 [ответить]    [к модератору]  
  • +/
    при этом в WordPress сломали тэг <img src= для комментариев пользователей

    и похоже 3.0.6 не торопятся выпускать,
    для 3.0.5 есть хотфикс в плагине Akismet 2.5.3
    3.1-RC4 (тоже обновление безопасности) баге не подвержен.

     
  • 1.7, Аноним (-), 11:54, 11/02/2011 [ответить]    [к модератору]  
  • +/
    Скажите, у одного меня поломался русский язык в тытрубке?
    http://s007.radikal.ru/i302/1102/f1/729b194684fc.png
     
     
  • 2.8, Гоша (?), 02:33, 12/02/2011 [^] [ответить]    [к модератору]  
  • +/
    Не у одного, было такое недавно один раз, потом само как-то исправилось. Или новый билд плагина скачал, не помню.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor