The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в libupnp, Nagios, FreeBSD ftpd, glibc, VLC, Wireshark и libvirt

04.02.2013 16:02

Несколько недавно обнаруженных уязвимостей:

  • В библиотеках libupnp4 и libupnp, представляющих свободную реализацию протокола UPnP, выявлено 8 уязвимостей, в том числе позволяющих организовать удалённое выполнение кода через эксплуатацию использующего libupnp серверного приложения. Уязвимость может быть эксплуатирована путем отправки специально оформленных SSDP-запросов. Проблемы устранены в выпуске libupnp 1.6.18.
  • В системе мониторинга Nagios XI выявлена порция уязвимостей, среди которых присутствует проблема, позволяющая удалённо выполнить с правами root код на сервере путём отправки специально оформленных параметров в административном интерфейсе, в том числе при наличии доступа в web-интерфейс в режиме только для чтения. Проблема исправлена в выпуске 2012R1.5.
  • В штатном FTP-сервере ftpd из состава FreeBSD 9.1 найдена проблема, позволяющая удалённо инициировать отказ в обслуживании через подстановку в качестве аргумента команды stat специально оформленной маски. Выполнение запроса приводит к чрезмерной нагрузке на CPU. Сообщается, что проблема вызвана особенностью реализации функции glob в BSD libc и также проявляется варианте данной функции из состава Glibc. В NetBSD и OpenBSD проблема была исправлена в 2011 году.
  • В Glibc найдена проблема безопасности, проявляющаяся в форме краха при обработке регулярными выражениями специально оформленных многобайтовых последовательностей в функции re_search. Например, атакующий может добиться краха sed и других приложений, использующих функцию re_search. Исправление пока доступно только в виде патча.
  • В медиаплеере VLC найдена уязвимость, позволяющая организовать выполнение кода при воспроизведении специально подготовленных ASF-файлов. Проблема устранена в репозитории проекта. В скором времени ожидается выпуск VLC 2.0.6 с устранением уязвимости.
  • В сетевом анализаторе Wireshark 1.8.5 и 1.6.13 устранено около десятка уязвимостей, в том числе две проблемы, позволяющие организовать выполнение кода при разборе трафика NTLMSSP и DCP-ETSI.
  • В библиотеке libvirt выявлена уязвимость, позволяющая организовать выполнение кода при отправке специально оформленных запросов. Проблема устранена в Git-репозитории проекта.


  1. OpenNews: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/36020-libupnp
Ключевые слова: libupnp, nagios, freebsd, ftpd, glibc, vlc, wireshark, b, libvirt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:49, 04/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Представил ситуацию как кулхацскеры снифят Wireshark траффик пытаясь выциганить пароли. А тут им приходит хитрый NTLMSSP пакет и ломает их систему )))
     
     
  • 2.2, kai3341 (ok), 18:05, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё многие хацкеры про setcap не знают и запускают Wireshark под рутом ^_^
     

  • 1.3, КЭП (?), 18:30, 04/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ftpd мусор, использует pure-ftpd
     
     
  • 2.4, Aquarius (ok), 19:14, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а proftpd не используете?
    в любом случае, держите нас в курсе.
    Спасибо!
     
  • 2.5, etw (??), 19:29, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >FTP

    Выкиньте уже этот привет из 70-х. Кроме отсталых веб-хостеров он уже никем не используется.

     
     
  • 3.6, Аноним (-), 19:30, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    rsync ?
     
     
  • 4.7, etw (??), 19:47, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > rsync ?

    sftp, webdav
    rsync и ftp вообще не конкуренты, ибо слишком разные цели применения.

     
     
  • 5.15, Perl_Jam (?), 23:32, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >sftp, webdav

    А еще можно гвозди забивать микроскопом..

     
     
  • 6.20, etw (??), 06:10, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>sftp, webdav
    > А еще можно гвозди забивать микроскопом..

    это вы пытаетесь так намекнуть на то, что эти протоколы для передачи файлов не подходят для передачи файлов?

     
     
  • 7.26, Perl_Jam (?), 15:52, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это я пытаюсь понять, причем тут sftp?
     
     
  • 8.28, metallic (ok), 18:44, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    При том, что выполняет ту же самую ф-ию, но безопасно и самое главное для меня, ... текст свёрнут, показать
     
  • 3.17, Аноним (-), 01:04, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Кроме отсталых веб-хостеров он уже никем не используется.

    А кто пишет? Эмогей с айфоном?

     
  • 2.11, Аноним (-), 22:19, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ftpd мусор

    Тогда зачем его втюхивают?

     
     
  • 3.13, Аноним (-), 22:26, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тогда зачем его втюхивают?

    не дай бог!

     
     
  • 4.18, Аноним (-), 03:01, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > не дай бог!

    Это вы бсдоидам скажите.

     
     
  • 5.19, Аноним (-), 04:33, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> бсдоидам

    бсдшники юзают pure-ftpd если они не полные слоупоки
    на ftpd кулхацкеры выкладывают взломы в ютуба

     
     
  • 6.21, Аноним (-), 07:45, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    пюре - ДЫРЧАТЫЙ.
    Если уж приспичило FTP - юзайте vsftpd - и точка!
     
     
  • 7.23, Аноним (-), 12:09, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попроси маму подтереть попку, горе-эксперт.

    http://web.nvd.nist.gov/view/vuln/search-results?query=proftpd&search_type=al
    http://web.nvd.nist.gov/view/vuln/search-results?query=pure-ftpd&search_type=

     
  • 7.24, Аноним (-), 12:11, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вот твой "недырявый" vsftpd

    http://web.nvd.nist.gov/view/vuln/search-results?query=vsftpd&search_type=all

    Раз уж ты сам не в состоянии найти.

     
  • 5.22, Аноним (-), 07:54, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> не дай бог!
    >Это вы бсдоидам скажите.

    А я расскажу лапчатым:

    >Сообщается, что проблема вызвана особенностью реализации функции glob в BSD libc
    >и также проявляется варианте данной функции из состава Glibc.

    разжевать тебе жЫрненький о чём тут написано?

     

  • 1.8, Иван (??), 20:42, 04/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ftp вообще пользоваться нельзя, если заливать файлы из винды, то русская буква я теряется

    sftp рулит

     
     
  • 2.9, Аноним (-), 20:53, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это проблемы вашего ftpd
     
  • 2.10, Аноним (-), 20:55, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вы наверно никогда не пользовались фтп сервером с UTF-8
     
     
  • 3.12, Аноним (-), 22:21, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вы наверно никогда не пользовались фтп сервером с UTF-8

    Трабла в том что в FTP протоколе вообще IIRC не указывается в какой кодировке происходит работа. Вот вкатили вы уникод на сервере, а потом пришел хомяк с 1251. И что будет? Правильно - ничего хорошего.

     
     
  • 4.14, Аноним (-), 22:29, 04/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> вы наверно никогда не пользовались фтп сервером с UTF-8
    > Трабла в том что в FTP протоколе вообще IIRC не указывается в
    > какой кодировке происходит работа. Вот вкатили вы уникод на сервере, а
    > потом пришел хомяк с 1251. И что будет? Правильно - ничего
    > хорошего.

    если клиент забанен или принудительно не использует утф посылаем его лесом
    в Welcome message

     
  • 4.16, fi (ok), 01:00, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Суровый сибирский мужик вернулся из анабиоза.  

    Для вас новости ftp:
    RFC2640, Internationalization of the File Transfer Protocol, July 1999

    в ответе от сервера (211): UTF8

    может спать дальше.

     

  • 1.25, iZEN (ok), 15:49, 05/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда не пользовался ftpd. Зачем это, если есть scp и nfs?
     
     
  • 2.27, sad but true (?), 18:10, 05/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для тебя, Изя, только smb и dfs, притом в нативной реализации, желательно в АДу.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру