The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.12.2017 23:50  Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, GraphicsMagick и Apache Synapse

Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней:

  • Уязвимость (CVE-2017-17670) в мультимедийном проигрывателе VLC, вызванная некорректным приведением типов и потенциально способная привести к выполнению кода при распаковке специально оформленных файлов в формате MP4. Проблема пока исправлена только в ветке master;
  • Уязвимость в PowerDNS Recursor, позволяющая инициировать крах процесса при обработке ответа DNS-сервера, содержащего некорректное значение поля CNAME. Проблема проявляется только в ветке 4.0.x и устранена в обновлении 4.0.8;
  • Уязвимость в системе непрерывной интеграции Jenkins, вызванная состоянием гонки в процессе выполнения команд инициализации при запуске, из-за чего могут быть не выставлены некоторые важные ограничения, необходимые для обеспечения безопасности, и вовремя не включена защита от CSRF-атак. Проблема устранена в выпусках Jenkins 2.95 и 2.89.2;
  • Четыре уязвимости в гипервизоре Xen, позволяющие гостевому окружению получить доступ к внутренним страницам памяти гипервизора, вызвать крах гипервизора и поднять свои привилегии;
  • В модуле Net::FTP, поставляемом в базовом наборе языка Ruby, устранена уязвимость (CVE-2017-17405), позволяющая выполнить произвольный shell-код через указание имени файла, начинающегося с символа "|". Проблема устранена в выпусках Ruby 2.3.6 и 2.2.9;
  • В RTP-стеке коммуникационной платформы Asterisk исправлена уязвимость, позволяющая без аутентификации вызвать крах серверного процесса через отправку специально оформленного RTCP-пакета. Проблема устранена в выпусках Asterisk 13.18.4, 14.7.4, 15.1.4;
  • В пакете GraphicsMagick устранено 29 уязвимостей, в основном связанных с переполнением буфера при обработке различных форматов. Проблемы устранены в GraphicsMagick 1.3.27;
  • В Apache Synapse устранена удалённо эксплуатируемая уязвимость (CVE-2017-15708), которая может привести к выполнению кода на сервере через подстановку специально оформленных сериализированных объектов. Проблема устранена в выпуске Apache Synapse 3.0.1, а также в Apache Commons Collections 3.2.2 и 4.1;
  • В Apache Fineract исправлена возможность подстановки SQL-кода (CVE-2017-5663) через отправку специально оформленного параметра sqlSearch в REST-запросе (например, "https://DomainName/api/v1/clients?sqlSearch=or (1==1)"). Проблема устранена в выпуске Apache Fineract 1.0.0.


  1. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  2. OpenNews: Серия критических уязвимостей в Intel Management Engine
  3. OpenNews: 77% из 433 тысяч изученных сайтов используют уязвимые версии JavaScript-библиотек
  4. OpenNews: Уязвимость в Exim, позволяющая выполнить код на сервере
  5. OpenNews: Неявные свойства языков программирования, которые могут привести к уязвимостям
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vlc, powerdns, jenkins, xen, ruby, asterisk, graphicsmagick
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 00:04, 17/12/2017 [ответить] [смотреть все]     [к модератору]
  • +5 +/
    Apache прекрасен Reported to security team 02 April 2017 Update Released ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 00:25, 17/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    ImageTragick ничему не научил?
    Помнится, GM именно из-за него форкнули...
     
     
  • 2.5, Аноним, 00:31, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    Ага, предвидели. За 15 лет.
     
  • 2.9, Борщдрайвен бигдата, 02:34, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не совсем так В ряд причин для форка вошли и разногласия с подходом к разработк... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, optical character recognition, 01:00, 17/12/2017 [ответить] [смотреть все]    [к модератору]  
  • –15 +/
    Жизнь курильщика без Раста.
     
     
  • 2.8, Борщдрайвен бигдата, 02:30, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    Хватит. Слишком толсто.
    Rust сам по себе не «серебряная пуля», как и другой, произвольно взятый язык. Даже с гарантиями безопасности в самом языке можно отстрелить себе не то, что ноги, но и яйца.

    Pro tip: на следующий раз лучше набросить не про Rust, а про формальную верификацию.

     
  • 2.12, key, 06:33, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Чз как этот ваш раст, руки не дошли еще, да мозилла онли отпугивает Но сейчас б... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, Аноним, 10:02, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Несомненно, раст поможет рубистам от имен файлов начинающихся с | :)
     
  • 2.19, Аноним, 12:46, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Зато в Руби нет уязвимостей, там же нет указателей и память регулируется VM 1... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 02:37, 17/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Теперь VLC теперь не только MKV в квадраты крошит...
     
     
  • 2.13, Аноним, 09:59, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Ну справедливости ради, демуксеры потока, да и декодеры - это поле непаханное ба... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 10:04, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Так фуззят Но форматов много и они сложные, так что сюрпризы иногда будут, увы ... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 10:55, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    WHAT Ага, последний коммит аж вчера ... весь текст скрыт [показать]
     
  • 4.17, anonymous, 10:56, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Коммиты каждый день не похоже на подзабили https github com mpv-player mpv ... весь текст скрыт [показать]
     
  • 4.18, Аноним, 11:42, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Подзабили разве что на тебя ... весь текст скрыт [показать]
     
     
  • 5.21, Аноним, 14:29, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Я не сильно расстроен, мне плеер с чокнутой билдсистемой не требуется ... весь текст скрыт [показать]
     
     
  • 6.22, Аноним, 15:40, 17/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А-а-а, так тебе пособирать…
     
     
  • 7.23, Аноним, 17:47, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну как бы да, возможность сборки - одно из основных требований к софту Даже бол... весь текст скрыт [показать]
     
     
  • 8.26, Анонимм, 19:13, 17/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что-то вас не туда понесло Вы уж определитесь - принципиальная возможность сбор... весь текст скрыт [показать]
     
     
  • 9.28, paulus, 23:20, 17/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > mpv жрет заметно меньше ресурсов

    mplayer меньше ;)

     
     
  • 10.30, Анонимм, 01:21, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А ютуб и прочее к нему _нормально_ прикрутить можно ... весь текст скрыт [показать]
     
     
  • 11.33, Ю.Т., 08:21, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну я так понял, что и к mpv ютуб не прикручен, а наоборот, mpv прикручен к качал... весь текст скрыт [показать]
     
     
  • 12.42, Анонимм, 18:28, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нет, прикручено взаимодействие mpv с качалкой Видео играть будет и без качалки ... весь текст скрыт [показать]
     
     
  • 13.43, Ю.Т., 18:46, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В общем, что-то не очень я понял а mpv вообще ни разу не использовал Я бы про... весь текст скрыт [показать]
     
  • 10.38, Аноним, 14:48, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И пересобирается проще, без каких-то там левых WAFель ... весь текст скрыт [показать]
     
  • 8.40, Аноним, 17:47, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не могу Потому как не сижу Впрочем, если человек ниасилил bootstrap py ... весь текст скрыт [показать]
     
  • 7.37, Аноним, 14:47, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В том числе и это Знаешь, не надо мне на машине дырявую самбу, например А майн... весь текст скрыт [показать]
     
     
  • 8.41, Аноним, 17:50, 18/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В чем проблема написать (e|pkg)guild?
     
     
  • 9.49, Аноним, 10:39, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не понял, в чью гильдию писать Может лучше сразу в ООН ... весь текст скрыт [показать]
     
  • 2.29, 0x0, 00:15, 18/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –4 +/
    Специально только-что mkv запустил, но даж и не знаю, к радости это или сожале... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Шварцнигер, 01:34, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Было бы странно, если бы 100 mkv рипов, запущенных на VLC сыпались в квадраты, ... весь текст скрыт [показать]
     
     
  • 4.32, 0x0, 04:41, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так, это может быть проблемой и самих рипов или программ, в которых они создава... весь текст скрыт [показать]
     
     
  • 5.34, АНоним, 10:04, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если в mpv работает, а в vlc это может проблема рипов , то у юзера есть 2 вариа... весь текст скрыт [показать]
     
     
  • 6.45, 0x0, 21:06, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что ж раз уж тележка баг-репортов десятилетие тянется, то остаётся только сде... весь текст скрыт [показать]
     
  • 5.35, guitar ehro, 11:20, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Смотрю по фильму каждый день, VLC не может нормально половину рипов, а SMP может... весь текст скрыт [показать]
     
     
  • 6.44, кверти, 19:10, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    да, я архивирую и распаковываю файлы в архив формата blabla, а твой архиватор э... весь текст скрыт [показать]
     
  • 6.46, 0x0, 21:13, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Лично я в VLC смотрю только стриминговые сервисы Для локального просмотра, на м... весь текст скрыт [показать]
     
  • 6.47, 0x0, 22:14, 18/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тоесть, получается, что одна половина файлов чем-то от другой таки отличается ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 13:58, 17/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Правду говорили рубисты - очень удобный язык Не надо составлять хитрые последов... весь текст скрыт [показать]
     
  • 1.24, Андрей, 17:52, 17/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    И снова VLC. Про уязвимости в mplayer и mpv слышно меньше. А возможностей у последнего не особо меньше.
     
     
  • 2.25, Аноним, 18:25, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    накомпиляют софта, а потом делают праздник из каждого cve
     
  • 2.27, Меломан1, 19:30, 17/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >VLC v.3

    К маю месяцу зарелизят. Нытики посмотрят свою мангу в Debian. Все настоящие пацаны уже будут юзать V4.

     
     
  • 3.36, Аноним, 11:21, 18/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Что за набор букв ты написал?
     
  • 2.39, Аноним, 14:50, 18/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Им пользуются меньше, вот и весь скерет VLC понимаешь ли 100M даунлоадов в андр... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor