Несколько недавно обнаруженных уязвимостей:

• В ModSecurity 2.7.4 устранена уязвимость, позволяющая инициировать отказ в обслуживании при обработке специально оформленных HTTP-запросов, подпадающих под правило "forceRequestBodyVariable". Для тестирования уязвимости уже доступен эксплоит, суть работы которого сводится к отправке запроса вида 'curl -v "http://localhost/" -d @file_bigger_than_128kb -H"Content-Type: text/random"';
• В Apache Struts 2.3.14.2 устранены три опасные уязвимости: Две уязвимости вызваны ошибкой в реализации класса "ParameterInterceptor" и могут привести к изменению объектов на стороне сервера и организации выполнения своего кода при обработке специально оформленного выражения OGNL (Object-Graph Navigation Language). Третья уязвимость вызвана некорректной проверкой входных параметров в функции "includeParams", что позволяет организовать выполнение кода на сервере через манипуляции с содержимым тега Anchor;
• Oracle Solaris устранено более 30 уязвимостей, затрагивающих различные пакеты из состава ОС. Некоторые проблемы являются критическими и могут привести к организации выполнения кода при обработке специально оформленного контента в приложениях, использующих уязвимые версии библиотек;
• В web-интерфейсе cgit 0.9.2, в том числе используемом на kernel.org, устранена уязвимость, которая позволяет выйти за границы базовой директории Git-репозитория и прочитать содержимое произвольных файлов в системе. Проблема проявляется только при включении опции использования readme-файлов из локальной ФС, что по умолчанию отключено;
• В свободной библиотеке LibRaw 0.15.2 устранены две уязвимости, позволяющие организовать выполнение кода при обработке в использующих LibRaw приложениях специально оформленных raw-изображений;
• В системе для автоматизации работы службы поддержки OTRS устранена уязвимость, позволяющая получить доступ к данным, для просмотра которых у пользователя нет прав;
• В платформе координации выполнения запросов клиентов RT (Request Tracker) 3.8.17 и 4.0.13 устранено 7 уязвимостей, позволяющих обойти ограничения безопасности, осуществить подстановку HTML-кода и переписать файлы в директории /tmp;
• В обучающей платформе Moodle 2.4.4, 2.3.7 и 2.2.10 устранены 4 уязвимости (1, 2, 3, 4), позволяющие обойти ограничения безопасности и получить доступ к закрытым данным;
• В Xen обнаружена уязвимость, позволяющая локальному пользователю повысить свои привилегии в гостевой системе, через инициирование переполнение буфера при обращении к биндингам на языке Python. Для проявления уязвимости окружение должно допускать изменение VCPU affinity. Для решения проблемы пока требуется установка патча;
• В Dovecot IMAP 2.2.2 исправлена уязвимость, позволяющая вызвать отказ в обслуживании через передачу некорректно оформленного IMAP-параметра APPEND;
• В развиваемом проектом OpenBSD SMTP-сервере OpenSMTPD 5.3.2 исправлена уязвимость, позволяющая блокировать приём почты через манипуляции с SSL-сессиями (удержание сокета открытым после выполнения команды starttls блокирует работу других сокетов).