OpenForum RSS: OpenNews: В Evolution найдена уязвимость, позволяющая выполнить код при открытии письма https://www.opennet.ru/openforum/vsluhforumID3/42194.html В почтовом клиенте Evolution (http://www.gnome.org/projects/evolution/) обнаружены две критические уязвимости (http://secunia.com/advisories/30298/):<br><br><br>- "Evolution iCalendar Timezone Buffer Overflow (http://secunia.com/secunia_research/2008-22/advisory/)" - выполнение кода злоумышленника в момент открытия специальным образом скомпонованного письма, содержащего приложение в формате iCalendar с некорректными данными в поле часового пояса. Уязвимость проявляется только при отключенном плагине форматирования вывода ITip;<br>- "Evolution iCalendar "DESCRIPTION" Property Buffer Overflow (http://secunia.com/secunia_research/2008-23/advisory/)" - возможность выполнения кода злоумышленника при попытке ответить из окна "Calendars" на письмо с iCalendar запросом, содержащим слишком длинное значение свойства "DESCRIPTION".<br><br><br><br>Наличие уязвимостей подтверждено в Evolution 2.22.1 и более ранних версиях. 26 мая был выпущен релиз 2.22.2 в который также не были внесены исправления, так как уведомление разработчикам было В Evolution найдена уязвимость, позволяющая выполнить код пр... (unihorn) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#47 Mon, 09 Jun 2008 20:52:01 GMT &gt;Кстати тут выше сказали про поломанные зависимости в убунте, когда эт было, а то каждый &gt;день обновляюсь и не заметил, все работает.<br><br>1 июня, коли память не отбило. Потом я, и еще кто-то на лаунчпаде ("еще кто-то" был раньше, я продублировал :( ) про баг постили. Сейчас исправили, но то, что они "выпустили слишком оперативно", это факт.<br> В Evolution найдена уязвимость, позволяющая выполнить код пр... (kostbebix) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#46 Sat, 07 Jun 2008 13:25:25 GMT &gt;А мы про нее и не говорили. :) А говорили про якобы <br>&gt;"жопу с ПО", в Винде. Глюки Винды, глюками, оперативность, оперативностью. Но <br>&gt;"Жопы с ПО", вопреки широкому мнению, нет. <br>&gt;<br>&gt;И кстати говоря, слишком оперативным быть тоже плохо ("поспешишь, людей насмешишь"). <br>&gt;<br>&gt;А то будет как недавнее "обновление" Опен Офиса в Убунте (половина пакетов <br>&gt;была сломана). :) <br><br>А разве руками обновлять все то ПО в винде - не жопа? Согласен что совсем уж "жопы" как таковой нету (не помню чтоб я уж так сильно мучался в годы когда на венде сидел), но после перехода на линух теперь я на такое не соглашусь.<br><br>А насчет спешки - это есть такое. Но в федоре 9й был совершен переход с yum'а на packageKit (также заменен pirut). Все кричали "убожество", а сейчас допиливают потихоньку и понимаешь прелести. Одна из них, к примеру, в том, что с обновлениями такими не спешат, зато если есть дыры типа как с эволюшн - появляется сообщение красненькое "найдены критические обновления" (или вроде того) "рекомендуем обновить систему". В Evolution найдена уязвимость, позволяющая выполнить код пр... (Vladimir) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#45 Sat, 07 Jun 2008 12:03:30 GMT &gt;бывает и хуже. <br>&gt;ждут-ждут очередной Service Pack и дожидаются и .. <br>&gt;экран смерти. <br><br>И вот тут откатиться не так легко как в том же линуксе :)<br>Кстати тут выше сказали про поломанные зависимости в убунте, когда эт было, а то каждый день обновляюсь и не заметил, все работает.<br> В Evolution найдена уязвимость, позволяющая выполнить код пр... (vitek) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#44 Fri, 06 Jun 2008 22:38:04 GMT бывает и хуже.<br>ждут-ждут очередной Service Pack и дожидаются и ..<br>экран смерти.<br> В Evolution найдена уязвимость, позволяющая выполнить код пр... (unihorn) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#43 Fri, 06 Jun 2008 17:26:44 GMT &gt;p.s.: слабо такую оперативность от М* получить? :-)<br><br>А мы про нее и не говорили. :) А говорили про якобы "жопу с ПО", в Винде. Глюки Винды, глюками, оперативность, оперативностью. Но "Жопы с ПО", вопреки широкому мнению, нет.<br><br>И кстати говоря, слишком оперативным быть тоже плохо ("поспешишь, людей насмешишь").<br><br>А то будет как недавнее "обновление" Опен Офиса в Убунте (половина пакетов была сломана). :)<br> В Evolution найдена уязвимость, позволяющая выполнить код пр... (kostbebix) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#42 Fri, 06 Jun 2008 16:19:29 GMT &gt; много букв<br><br>пока вы спорили уже даже моя федора обновила evolution, закрыв эту дырку<br><br>p.s.: слабо такую оперативность от М* получить? :-)<br> В Evolution найдена уязвимость, позволяющая выполнить код при открытии письма (unihorn) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#41 Fri, 06 Jun 2008 16:06:14 GMT &gt;- инсталлируемые файлы в зависимости от инсталлятора находятся в различных форматах;<br><br>TXT, DOC, EXE? <br><br>Или архивы, в которых они расположены разные (CAB, не CAB)?<br><br>Если первое, то утверждение идиотское, если второе, то не ты, пакеты раскидываешь, а инсталятор, и тебя это волновать не должно.<br><br>&gt;инталляторы _сами_ копируют новые файлы и могут _без_предупреждения_ менять чужие библиотеки, поскольку часто не проверяют версии;<br><br>"Библиотека такая-та в системе имеет более новую версию чем устонавливаемая, вы хотите ее заменить"? :D<br><br>&gt;инсталлированные файлы могут оказаться совсем не там где вы ожидаете<br><br>Куда указал туда и установит (Винда не линукс-юникс, в /bin, /usr/bin не ставит :) ). Если сопутствующие компоненты не ставятся в директорию программы, то они ставятся в системные папки (типа System32)<br><br>&gt;поскольку каждая программа инсталляции это самостоятельный продукт, зачастую не сильно волнующий Microsof<br><br>В Винде, как минимум с 98, нет "разных инсталяторов"! Есть один внутрисистемный, и "шкурки" под В Evolution найдена уязвимость, позволяющая выполнить код пр... (Дмитрий Т) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#40 Fri, 06 Jun 2008 12:44:12 GMT Похоже многие не понимают разницы между инсталляторами в Windows и системой пакетов в линукс дистрибутивах, поэтому постараюсь пояснить поскольку сам делал инсталляции. <br><br>Windows:<br>- инсталлируемые файлы в зависимости от инсталлятора находятся в различных форматах;<br>- инталляторы _сами_ копируют новые файлы и могут _без_предупреждения_ менять чужие библиотеки, поскольку часто не проверяют версии;<br>- инсталлированные файлы могут оказаться совсем не там где вы ожидаете, поскольку каждая программа инсталляции это самостоятельный продукт, зачастую не сильно волнующий Microsoft, он может вообще отказаться запускаться в новой версии Windows.<br><br>Linux (у меня Debian):<br>- инсталлируемые файлы находятся в архиве с известной структурой, содержащей описание зависимостей от используемых библиотек, перечень какие файлы куда должны быть скопированы и если необходимо скрипты - такой архив называют пакетом;<br>- пакеты можно легко просматривать как обычные архивы и вынимать нужные файлы;<br>- открытый формат позволят легче кон В Evolution найдена уязвимость, позволяющая выполнить код пр... (Piter Ring) https://www.opennet.ru/openforum/vsluhforumID3/42194.html#39 Fri, 06 Jun 2008 10:53:22 GMT &gt;&gt;параноидальному модератору <br>&gt;&gt;(за тобой что, ВВ следит или двуглавый орел????) <br>&gt;&gt;----------------------------- <br>&gt;&gt;Где мессаги с &#8470;&#8470; 10,11б 15 ???<br>&gt;<br>&gt;Предположительно там же, где и прочий шум, которому нечего делать в архиве... <br>&gt;<br>&gt;не знаю, кого Вы назвали "параноидальным", я убирал одно. :) <br><br>в этой ветке - одно, а востальных осуждениях кто убирает ?<br><br><br>&gt;<br>&gt;Возможно, дело не в наличии "вопросов на мыло", а в отсутствии смысла? <br>&gt;<br><br>а в сообщении #1 много смысла ??<br>но его то ты не убрал.<br><br>