В штатном FTP сервере NetBSD и в его версии портированной на другие платформы (tnftpd) обнаружена уязвимость позволяющая удаленному злоумышленнику выполнить свой код на сервере.
Для FreeBSD опубликовано два новых сообщения о проблемах безопасности:
"Kernel memory disclosure in firewire(4)" - уязвимость в драйвере firewire, локальный пользователь находящийся в группе "operator" может посмотреть содержимое случайной области памяти ядра.
"gtar name mangling symlink vulnerability" - уязвимость в GNU tar, используя которую злоумышленник может скомпоновать tar архив, при распаковке которого некоторые файлы могут быть записаны в пространство вне текущего корня (например, раскрывая архив под пользователем root в /home/test/tmp, можно переписать /etc/passwd). Во FreeBSD 4.x GNU tar находится в /usr/bin/tar, а начиная с FreeBSD 5.x - в /usr/bin/gtar.
|