forum.opennet.ru

Составление сообщения

Исходное сообщение

"OpenNews: Уязвимости во FreeBSD, Solaris и Linux"
Отправлено opennews, 15-Янв-08 11:42

Выпущены две новые версии Linux ядра,  2.6.22.16 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16) и 2.6.23.14 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14), в которых устранена уязвимость в VFS обработчике прав доступа, используя которую злоумышленник, имеющий локальный доступ к машине, мог вызвать сбой в работе файловой системы.

Кроме того, сообщается об обнаружении ряда проблем безопасности в Solaris и FreeBSD:
Solaris
:

-  Возможность обхода некоторых ограничений безопасности в Sun Solaris 10, из-за ошибки в библиотеке libdevinfo (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...). Например, локальный пользователь может получить доступ к файлам, не имея соответствующих привилегий;
-  Злоумышленник может использовать ошибку в реализации функции dotoprocs(), приводящую к краху системы, для совершения DoS атаки в Solaris 10 (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...);
-  Исправлена уязвимость в библиотеке libxml2, входящей в состав Solaris 9 и 10 (http://blogs.sun.com/security/entry/sun_alert_103201_securit...);
FreeBSD
:

-  FreeBSD-SA-08:02.libc (http://security.freebsd.org/advisories/FreeBSD-SA-08:02.libc...) - переполнение буфера в реализации функции inet_network в системной библиотеке FreeBSD 6.2 и более поздних экспериментальных версий. Злоумышленник, при отсутствии проверки валидности пользовательского ввода в атакуемом приложении, который используется как параметр функции inet_network(), может вызвать отказ в обслуживании или выполнить свой код через такую программу (проблема больше теоретическая, мало вероятно, что найдётся сетевое приложение подставляющие непроверенные пользовательские параметры в функцию inet_network());
-  FreeBSD-SA-08:01.pty (http://security.freebsd.org/advisories/FreeBSD-SA-08:01.pty.asc) - начиная с FreeBSD 5.0 в libc_stdlib / libutil присутствует уязвимость в коде изменения прав доступа к pty устройству, которую атакующий может использовать для просмотра текста вводимого пользователем в терминале, если пользователь использует при этом программу script.

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=13657

Исходное сообщение
"OpenNews: Уязвимости во FreeBSD, Solaris и Linux" Отправлено opennews, 15-Янв-08 11:42
Выпущены две новые версии Linux ядра, 2.6.22.16 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16) и 2.6.23.14 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14), в которых устранена уязвимость в VFS обработчике прав доступа, используя которую злоумышленник, имеющий локальный доступ к машине, мог вызвать сбой в работе файловой системы. Кроме того, сообщается об обнаружении ряда проблем безопасности в Solaris и FreeBSD: Solaris : - Возможность обхода некоторых ограничений безопасности в Sun Solaris 10, из-за ошибки в библиотеке libdevinfo (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...). Например, локальный пользователь может получить доступ к файлам, не имея соответствующих привилегий; - Злоумышленник может использовать ошибку в реализации функции dotoprocs(), приводящую к краху системы, для совершения DoS атаки в Solaris 10 (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...); - Исправлена уязвимость в библиотеке libxml2, входящей в состав Solaris 9 и 10 (http://blogs.sun.com/security/entry/sun_alert_103201_securit...); FreeBSD : - FreeBSD-SA-08:02.libc (http://security.freebsd.org/advisories/FreeBSD-SA-08:02.libc...) - переполнение буфера в реализации функции inet_network в системной библиотеке FreeBSD 6.2 и более поздних экспериментальных версий. Злоумышленник, при отсутствии проверки валидности пользовательского ввода в атакуемом приложении, который используется как параметр функции inet_network(), может вызвать отказ в обслуживании или выполнить свой код через такую программу (проблема больше теоретическая, мало вероятно, что найдётся сетевое приложение подставляющие непроверенные пользовательские параметры в функцию inet_network()); - FreeBSD-SA-08:01.pty (http://security.freebsd.org/advisories/FreeBSD-SA-08:01.pty.asc) - начиная с FreeBSD 5.0 в libc_stdlib / libutil присутствует уязвимость в коде изменения прав доступа к pty устройству, которую атакующий может использовать для просмотра текста вводимого пользователем в терминале, если пользователь использует при этом программу script. URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=13657

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру