The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.07.2011 12:00  Уязвимости в NetBSD, WordPress, Plone, DokuWiki, Joomla, Piwik, Asterisk, libvirt и LibreOffice

Несколько недавно обнаруженных уязвимостей:

  • В реализации функций getservbyname*, getservbyport*, getaddrinfo и getnameinfo из стандартной библиотеки NetBSD 5.1 найдена уязвимость, позволяющая осуществить переполнение буфера при обработке в функциях специальным образом оформленного доменного имени, длиной порядка 10 тысяч символов. Проблема исправлена в CVS-репозитории NetBSD;
  • В системе управления web-контентом WordPress найдено несколько уязвимостей, позволяющий через параметры "orderby" и "order" осуществить подстановку SQL-команд пользователем, имеющим полномочия редактирования контента. Проблемы исправлены в выпусках 3.1.4 и 3.2-RC3;
  • В CMS Plone и платформе Zope найдена уязвимость, позволяющая обойти некоторые ограничения безопасности. Детали уязвимости не публикуются. Проблема решена в обновлении Zope_Hotfix_20110622;
  • В wiki-движке DokuWiki найдена уязвимость, позволяющая злоумышленнику осуществить подстановку JavaScript через манипуляции с контентом, привязанным к тегу "rss". Для эксплуатации уязвимость атакующий должен иметь доступ к созданию или редактированию контента. Проблема устранена в выпуске 2011-05-25a;
  • В CMS Joomla 1.6.4 устранено 8 уязвимостей, позволяющих организовать межсайтовый скриптинг, получить доступ к закрытым данным и выполнить некоторые операции, не имея на это прав;
  • В свободном пакете для web-аналитики Piwik (позиционируется как свободная альтернатива сервису Google Analytics) найдена уязвимость, позволяющая запустить произвольный PHP-код на сервере, при наличии анонимного доступа на просмотр статистики. Проблема устранена в версии 1.5;
  • В Asterisk найдены три уязвимости, которые можно использовать для осуществления отказа в обслуживании через отправку специальным образом оформленных SIP-пакетов и IAX2-запросов;
  • В libvirt найдена уязвимость, позволяющая осуществить отказ в обслуживании или потенциально выполнить свой код на сервере, через отправку специально оформленного запроса на управляющий порт 16509;
  • В офисном пакете LibreOffice найдена уязвимость, позволяющая организовать выполнение кода злоумышленника при открытии специально оформленных файлов в формате LWP (Lotus Word Pro). Проблема была исправлена в выпусках 3.3.3 и 3.4.0.


Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.6, artem.stecenko (ok), 14:08, 04/07/2011 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Вот сколько уже пилят Джумлу с ВордПрессом, а оно как было дырявое УГ, так и остается... Почему так?
     
     
  • 2.7, тоже Аноним (ok), 14:13, 04/07/2011 [^] [ответить]    [к модератору]
  • –1 +/
    Думаю, ровно по той же причине, по которой Битрикс - тормозное и кондовое, но не дырявое УГ.
    Причина - отсутствие в природе "серебряных пуль" и цена, которая есть у каждого решения.
     
     
  • 3.15, Аноним (-), 22:05, 04/07/2011 [^] [ответить]    [к модератору]
  • +/
    Вероятно, хакеры просто испытывают рвотный рефлекс и идут ломать что-нибудь менее мерзенькое и более распостраненное в мире чем эти отходы мозговой деятельности 1Сников...
     
     
  • 4.17, анонимус (??), 22:39, 04/07/2011 [^] [ответить]    [к модератору]
  • –1 +/
    просто у 1с более качественный код, чем тот который пишут аноны в опенсурс ;)
     
     
  • 5.19, Аноним (-), 23:09, 04/07/2011 [^] [ответить]    [к модератору]
  • +/
    > просто у 1с более качественный код, чем тот который пишут аноны в
    > опенсурс ;)

    Вы почитайте код 1с (это же PHP), потом расскажете нам, какой он качественный :-)

     
  • 1.13, Аноним (-), 20:32, 04/07/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Какую книгу лучше всего купить по ПХП, чтобы писать без уязвимостей?
     
     
  • 2.18, анонимус (??), 22:40, 04/07/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > Какую книгу лучше всего купить по ПХП, чтобы писать без уязвимостей?

    всего лишь надо выучить наизусть лицензию GNU GPL , и тогда код априори будет без уязвимостей

     
  • 2.20, Аноним (-), 23:10, 04/07/2011 [^] [ответить]    [к модератору]  
  • +/
    > Какую книгу лучше всего купить по ПХП, чтобы писать без уязвимостей?

    Аллен Карр "Как бросить PHP и начать писать на лиспе" :-)

     
     
  • 3.21, Аноним (-), 00:24, 05/07/2011 [^] [ответить]    [к модератору]  
  • +/
    Вот только сайтов больше всего на ПХП и работы соответственно.
     
  • 2.22, Аноним (-), 03:49, 05/07/2011 [^] [ответить]    [к модератору]  
  • +/
    >Какую книгу лучше всего купить по ПХП, чтобы писать без уязвимостей?

    Вот эту: http://www.gigamonkeys.com/book/
      

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor