forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимости в libupnp, Nagios, FreeBSD ftpd, glibc, VLC, Wire..."
Отправлено opennews, 04-Фев-13 17:49

Несколько недавно обнаруженных уязвимостей:
-  В библиотеках libupnp4 (http://seclists.org/fulldisclosure/2013/Feb/5) и libupnp (http://seclists.org/fulldisclosure/2013/Feb/4), представляющих свободную реализацию протокола UPnP, выявлено 8 уязвимостей, в том числе позволяющих организовать удалённое выполнение кода через эксплуатацию использующего libupnp серверного приложения. Уязвимость может быть эксплуатирована путем отправки специально оформленных SSDP-запросов. Проблемы устранены в выпуске libupnp 1.6.18 (http://pupnp.sourceforge.net/).
-  В системе мониторинга Nagios XI выявлена порция уязвимостей (http://seclists.org/fulldisclosure/2013/Feb/10), среди которых присутствует проблема, позволяющая удалённо выполнить с правами root код на сервере путём отправки специально оформленных параметров в административном интерфейсе, в том числе при наличии доступа в web-интерфейс в режиме только для чтения. Проблема исправлена в выпуске 2012R1.5 (http://library.nagios.com/library/products/nagiosxi/download...).
-  В штатном FTP-сервере ftpd из состава FreeBSD 9.1 найдена проблема (http://seclists.org/fulldisclosure/2013/Feb/3), позволяющая удалённо инициировать отказ в обслуживании через подстановку в качестве аргумента команды stat специально оформленной маски. Выполнение запроса приводит к чрезмерной нагрузке на CPU. Сообщается, что проблема вызвана особенностью реализации функции glob в BSD libc и также проявляется варианте данной функции из состава Glibc. В NetBSD и OpenBSD проблема была исправлена в 2011 году.
-  В Glibc найдена проблема безопасности (http://permalink.gmane.org/gmane.comp.security.oss.general/9271), проявляющаяся в форме краха  при обработке (http://sourceware.org/bugzilla/show_bug.cgi?id=15078)  регулярными выражениями специально оформленных многобайтовых последовательностей в функции re_search. Например, атакующий может добиться краха sed и других приложений, использующих функцию re_search. Исправление пока доступно только в виде патча (http://sourceware.org/ml/libc-alpha/2013-01/msg00967.html).
-  В медиаплеере VLC найдена уязвимость (http://www.videolan.org/security/sa1302.html), позволяющая организовать выполнение кода при воспроизведении специально подготовленных ASF-файлов. Проблема устранена в репозитории проекта. В скором времени ожидается выпуск VLC 2.0.6 с устранением уязвимости.
-  В сетевом анализаторе Wireshark 1.8.5 и 1.6.13 устранено около десятка уязвимостей (http://www.wireshark.org/docs/relnotes/wireshark-1.8.5.html),  в том числе две проблемы, позволяющие организовать выполнение кода при разборе трафика NTLMSSP и DCP-ETSI.
-   В библиотеке libvirt выявлена уязвимость (https://rhn.redhat.com/errata/RHSA-2013-0199.html), позволяющая организовать выполнение кода при отправке специально оформленных запросов. Проблема устранена (http://libvirt.org/git/?p=libvirt.git;a=commit;h=46532e3e8ed...) в Git-репозитории проекта.
URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=36020

Исходное сообщение
"Уязвимости в libupnp, Nagios, FreeBSD ftpd, glibc, VLC, Wire..." Отправлено opennews, 04-Фев-13 17:49
Несколько недавно обнаруженных уязвимостей: - В библиотеках libupnp4 (http://seclists.org/fulldisclosure/2013/Feb/5) и libupnp (http://seclists.org/fulldisclosure/2013/Feb/4), представляющих свободную реализацию протокола UPnP, выявлено 8 уязвимостей, в том числе позволяющих организовать удалённое выполнение кода через эксплуатацию использующего libupnp серверного приложения. Уязвимость может быть эксплуатирована путем отправки специально оформленных SSDP-запросов. Проблемы устранены в выпуске libupnp 1.6.18 (http://pupnp.sourceforge.net/). - В системе мониторинга Nagios XI выявлена порция уязвимостей (http://seclists.org/fulldisclosure/2013/Feb/10), среди которых присутствует проблема, позволяющая удалённо выполнить с правами root код на сервере путём отправки специально оформленных параметров в административном интерфейсе, в том числе при наличии доступа в web-интерфейс в режиме только для чтения. Проблема исправлена в выпуске 2012R1.5 (http://library.nagios.com/library/products/nagiosxi/download...). - В штатном FTP-сервере ftpd из состава FreeBSD 9.1 найдена проблема (http://seclists.org/fulldisclosure/2013/Feb/3), позволяющая удалённо инициировать отказ в обслуживании через подстановку в качестве аргумента команды stat специально оформленной маски. Выполнение запроса приводит к чрезмерной нагрузке на CPU. Сообщается, что проблема вызвана особенностью реализации функции glob в BSD libc и также проявляется варианте данной функции из состава Glibc. В NetBSD и OpenBSD проблема была исправлена в 2011 году. - В Glibc найдена проблема безопасности (http://permalink.gmane.org/gmane.comp.security.oss.general/9271), проявляющаяся в форме краха при обработке (http://sourceware.org/bugzilla/show_bug.cgi?id=15078) регулярными выражениями специально оформленных многобайтовых последовательностей в функции re_search. Например, атакующий может добиться краха sed и других приложений, использующих функцию re_search. Исправление пока доступно только в виде патча (http://sourceware.org/ml/libc-alpha/2013-01/msg00967.html). - В медиаплеере VLC найдена уязвимость (http://www.videolan.org/security/sa1302.html), позволяющая организовать выполнение кода при воспроизведении специально подготовленных ASF-файлов. Проблема устранена в репозитории проекта. В скором времени ожидается выпуск VLC 2.0.6 с устранением уязвимости. - В сетевом анализаторе Wireshark 1.8.5 и 1.6.13 устранено около десятка уязвимостей (http://www.wireshark.org/docs/relnotes/wireshark-1.8.5.html), в том числе две проблемы, позволяющие организовать выполнение кода при разборе трафика NTLMSSP и DCP-ETSI. - В библиотеке libvirt выявлена уязвимость (https://rhn.redhat.com/errata/RHSA-2013-0199.html), позволяющая организовать выполнение кода при отправке специально оформленных запросов. Проблема устранена (http://libvirt.org/git/?p=libvirt.git;a=commit;h=46532e3e8ed...) в Git-репозитории проекта. URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=36020

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Несколько недавно обнаруженных уязвимостей:

> -  В библиотеках libupnp4 (http://seclists.org/fulldisclosure/2013/Feb/5) и libupnp 
> (http://seclists.org/fulldisclosure/2013/Feb/4), представляющих свободную реализацию 
> протокола UPnP, выявлено 8 уязвимостей, в том числе позволяющих организовать удалённое 
> выполнение кода через эксплуатацию использующего libupnp серверного приложения. Уязвимость 
> может быть эксплуатирована путем отправки специально оформленных SSDP-запросов. Проблемы 
> устранены в выпуске libupnp 1.6.18 (http://pupnp.sourceforge.net/).

> -  В системе мониторинга Nagios XI выявлена порция уязвимостей (http://seclists.org/fulldisclosure/2013/Feb/10), 
> среди которых присутствует проблема, позволяющая удалённо выполнить с правами root код 
> на сервере путём отправки специально оформленных параметров в административном интерфейсе, 
> в том числе при наличии доступа в web-интерфейс в режиме только 
> для чтения. Проблема исправлена в выпуске 2012R1.5 (http://library.nagios.com/library/products/nagiosxi/downloads/main).

> -  В штатном FTP-сервере ftpd из состава FreeBSD 9.1 найдена проблема 
> (http://seclists.org/fulldisclosure/2013/Feb/3), позволяющая удалённо инициировать 
> отказ в обслуживании через подстановку в качестве аргумента команды stat специально 
> оформленной маски. Выполнение запроса приводит к чрезмерной нагрузке на CPU. Сообщается, 
> что проблема вызвана особенностью реализации функции glob в BSD libc и 
> также проявляется варианте данной функции из состава Glibc. В NetBSD и 
> OpenBSD проблема была исправлена в 2011 году.

> -  В Glibc найдена проблема безопасности (http://permalink.gmane.org/gmane.comp.security.oss.general/9271), 
> проявляющаяся в форме краха  при обработке (http://sourceware.org/bugzilla/show_bug.cgi?id=15078) 
>  регулярными выражениями специально оформленных многобайтовых последовательностей в 
> функции re_search. Например, атакующий может добиться краха sed и других приложений, 
> использующих функцию re_search. Исправление пока доступно только в виде патча (http://sourceware.org/ml/libc-alpha/2013-01/msg00967.html).

> -  В медиаплеере VLC найдена уязвимость (http://www.videolan.org/security/sa1302.html), 
> позволяющая организовать выполнение кода при воспроизведении специально подготовленных 
> ASF-файлов. Проблема устранена в репозитории проекта. В скором времени ожидается выпуск 
> VLC 2.0.6 с устранением уязвимости.

> -  В сетевом анализаторе Wireshark 1.8.5 и 1.6.13 устранено около десятка 
> уязвимостей (http://www.wireshark.org/docs/relnotes/wireshark-1.8.5.html),  в том 
> числе две проблемы, позволяющие организовать выполнение кода при разборе трафика NTLMSSP 
> и DCP-ETSI.

> -   В библиотеке libvirt выявлена уязвимость (https://rhn.redhat.com/errata/RHSA-2013-0199.html), 
> позволяющая организовать выполнение кода при отправке специально оформленных запросов. 
> Проблема устранена (http://libvirt.org/git/?p=libvirt.git;a=commit;h=46532e3e8ed5f5a736a02f67d6c805492f9ca720) 
> в Git-репозитории проекта.

> URL: 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=36020

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру