OpenForum RSS: Уязвимости в libwmf, schroot, Openfire и Linux ядре https://www.opennet.me/openforum/vsluhforumID3/53829.html Новые уязвимости:<br><br><br>- В библиотеке libwmf (http://wvware.sourceforge.net/libwmf.html) найдена критическая уязвимость (http://secunia.com/advisories/34901/), позволяющая выполнить код злумышленника при попытке обработки WMF (Windows Metafile Format) файлов в использующих данную библиотеку приложениях, например, Gimp и ImageMagick. Уязвимости подвержены все версии библиотеки, включая последний официальный релиз 0.2.8.4.<br><br>- В пакете для автоматизации создания chroot окружений schroot, поставляемом в Debian GNU/Linux, найдена уязвимость (http://secunia.com/advisories/34971/), которую локальный пользователь может использовать для организации краха системы, через исчерпание shared-памяти через "/tmp/shm".<br><br>- В Jabber сервере Openfire найдена уязвимость, проявляющаяся в возможности (http://secunia.com/advisories/34976/) обхода ограничений безопасности через установку пароля другому пользователю, путем отправки специально оформленного запроса. Проблемы решены в Openfire 3.6.4.<br><br>-...<br><br>URL: http://secunia Уязвимости в libwmf, schroot, Openfire и Linux ядре (User294) https://www.opennet.me/openforum/vsluhforumID3/53829.html#10 Wed, 06 May 2009 17:17:53 GMT &gt;Глюк в реализации (в конкретном ПО) - не есть глюк в идее (в протоколе). <br><br>Все так.Протокол не бажный сам по себе.Хотя на мой вкус и довольно дурной: пухлый - генерит траффа намного больше аналогов, геморный в парсинге - наворочен до попы хз ради чего.Вплоть до извратов с uu-кодированием откровенно бинарных данных типа аватарок чтобы пропихать их в XML(распухон и без того пухлого добра на треть vs бинарных аналогов).Зато на бинарность utf-8 кладут и шлют прям так.Оригинально.Могу себе представить поведение большинства парсеров если приколоться и дать на вход рандом (обычный fuzzy тест, никакой ракетной науки).Мне что-то кажется что если задаться целью то при таком дизайне протокола отсылкой malformed пакетов можно добиться весьма интересных вещей.<br><br>Еще достаточно туго пролетает через файрволы и нестандартные сетевые окружения, SSL на малопопулярный порт - это не совсем то что везде разрешено.Режима HTTP-прокся, столь актуального для корпоративщиков (и он есть, как минимум у "тети аси" и мсн) в изначальной Уязвимости в libwmf, schroot, Openfire и Linux ядре (User294) https://www.opennet.me/openforum/vsluhforumID3/53829.html#9 Wed, 06 May 2009 16:50:26 GMT &gt;будут писать люди... <br><br>Да уж.Слава роботам!Ой, то есть, Клава :)<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (centosuser) https://www.opennet.me/openforum/vsluhforumID3/53829.html#8 Wed, 06 May 2009 14:47:29 GMT Угу. Еще посмотреть бы это сообщение<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (Аноним) https://www.opennet.me/openforum/vsluhforumID3/53829.html#7 Wed, 06 May 2009 10:24:08 GMT Openfire вообще... своеобразен. К примеру, если к аккаунту подключены транспорты, и одно из подключений ушло в Away, или еще какой статус - транспорты тоже в него становятся, несмотря на то, что из другого места пользователь подключен как Online. Да и еще странности есть... Если в общем, по сравнению с ejabberd - неудобная зараза на редкость. А уж как надо писать, чтобы кривым сообщением поменять пароль другому пользователю можно было - ума не приложу.<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (XoRe) https://www.opennet.me/openforum/vsluhforumID3/53829.html#6 Wed, 06 May 2009 07:49:44 GMT &gt;&gt; установку пароля другому пользователю<br>&gt;<br>&gt;Жесть!Как видим жаба - не панацея от дыр oO <br><br>Согласен.<br>Но, думаю, стоит разделить идею (RFC, протокол, и т.д.) и её реализацию (openfire, ejabberd, и т.д.).<br>Глюк в реализации (в конкретном ПО) - не есть глюк в идее (в протоколе).<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (apollo2k4) https://www.opennet.me/openforum/vsluhforumID3/53829.html#5 Wed, 06 May 2009 07:04:25 GMT Не протокол, а сервер, и кто мешает использовать ejabberd...<br>А вообще ПО несовершенно, и в нем будут ошибки &#8212; пока его будут писать люди...<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (User294) https://www.opennet.me/openforum/vsluhforumID3/53829.html#3 Tue, 05 May 2009 18:37:57 GMT &gt; установку пароля другому пользователю<br><br>Жесть!Как видим жаба - не панацея от дыр oO<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (pro100master) https://www.opennet.me/openforum/vsluhforumID3/53829.html#2 Tue, 05 May 2009 16:49:13 GMT ага, оперативно :)<br> Уязвимости в libwmf, schroot, Openfire и Linux ядре (Bod) https://www.opennet.me/openforum/vsluhforumID3/53829.html#1 Tue, 05 May 2009 16:20:52 GMT В Убунте 9.04 libwmf уже обновился.<br>