Место для Вашей рекламы всего за 400 рублей в месяц ! email:incognito.anonimous@yandex.ru

Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#2
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#3
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#9
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#10
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#11
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#12
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
#13
admin пишет: » дохтур, а ранили его "тупые виндузяги" с... (13.01.2017)
// Письма неадекватов
#14
дохтур пишет: » Это была какая-то очень ранимая заблудшая душа (13.01.2017)
// Письма неадекватов
#15
admin пишет: »
дохтур написал:
Ровно такая же ситуация и с HD-Aud...
(09.01.2017)
// FreeDOS 1.2 Обзор
Quotes
Учитель: "Дети, за те компьютеры не садимся, они не работают, там линукс."

Еще немного уязвимостей | автор: Luca | 6 июня 2009 |

Категория: GNU/Linux


Ох уж эти опасные картинки! Кто бы мог подумать что они таят столько опасности для простого пользователя Linux. В очередном списке проблем с безопасностью было обнаружено две уязвимости дающие "возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла". Тоже самое и с форматом TIFF. Но это еще не все! Найдена уязвимость в драйвере e1000 "позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма". Не пл.хо правда?


* В Apache Tomcat исправлена серия уязвимостей: возможность удаленного вызова отказа в обслуживании, также ошибка потенциально может привести к доступу злоумышленника к скрытым данным. Проблема исправлена в Tomcat 6.0.20; Другие ветки Tomcat (с версии 4.1.0 по 4.1.39 и 5.5.0 - 5.5.27) подвержены DoS уязвимости в блоке балансировки нагрузки модуля mod_jk и возможности подбора валидных логинов пользователей из-за различиях во внешнем поведении механизма аутентификации для несуществующих пользователей;
* В http-сервере Apache найдена уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
* В тулките wxWidgets найдены две опасные узявимости, которые могут привести к выполнению кода злоумышленника при обработке в wxPNGHandler::LoadFile() и "wxTIFFHandler::LoadFile()" специально оформленных PNG и TIFF изображений. Проблема исправлена в настоящий момент только в svn репозитории проекта;
* В наборе "Good" плагинов звукового сервера GStreamer обнаружена ошибка, дающая возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла. Проблема присутствует и в последней версии GStreamer Good 0.10.15, исправление пока доступно только в виде патча;
* В реализации функции "XMakeImage()" из состава пакета ImageMagick найдена уязвимость, которая может привести к выполнению кода злоумышленника при обработке специально модифицированного TIFF изображения. Проблема устранена начиная с версии 6.5.2-9;
* В e1000 драйвере из состава Linux ядра присутствует ошибка, позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма.

Кстати, днем ранее в списке найденных уязвимостей красовалось "Представлены обновления Linux ядра - 2.6.27.22 и 2.6.28.10, в которых исправлено около 100 накопившихся ошибок из которых 4 связаны с устранением уязвимостей в подсистемах seLinux, exit_notify, agp и af_rose/x25."

Источник



Комментарии посетителей
[1] 2 3 4

#1. skyfire

1. Таки да, в апаче очень даже линуксовые уязвимости (да еще и всего лишь по одной).
2. Уязвимость в GStreamer уже исправлена, это даже написано.
3. А хто такой wxWidgets? Алсо, исправлено же.
4. У кого ту ImageMagick в активном использовании? И таки да, это Linux виноват, инфа 100%.
5. Что за драйвер e1000?
Цитата:
Представлены обновления Linux ядра - 2.6.27.22 и 2.6.28.10

НЕКРОФИЛЫ!!!!!!!!!!!!!!
Ссылка на другую новость - фейл полнейший.
Алсо, почти все уязвимости в рисунках связаны с переполнением буффера. И как я с этим справился? Поставил ядро -pae, ололо.

#2. dro4er

п...ец какие страшные уязвимости, а уж сплойтами наверное все интернеты кишат? пойду вздернусь нахр№н

зы заеб№ли двачеры

#3. skyfire

Цитата:
зы заеб№ли двачеры

Горжусь своими успехами.

#4. hokum

Чуваки, давно уже пора понять, что устранённые уязвимости это гуд, и для систем с хорошей степенью актуальности обновлений это вдвойне существенный плюс
БШЛ (большая штыковая лопата)
#4. hokum (6.06.2009 - 16:12)
Чуваки, давно уже пора понять, что устранённые уязвимости это гуд, и для систем с хорошей степенью актуальности обновлений это вдвойне существенный плюс


Так чо вы все на мелкомягких гоните, когда они регулярно для винды заплатки выпускают?
Когда штопают Линь - это гуд, это супергуд. Когда штопают Винду - а, бляяяя, она дырявая, гы-гы-гы...

Как всегда, кривобокая логика в свою пользу.

#6. dro4er

БШЛ (большая штыковая лопата) написал:
Как всегда, кривобокая логика в свою пользу.


тебе напомнить про уязвимости существовавшие годами, как к примеру нюк для XP который только в сп3 пофиксили? про массовые взломы и ботнеты я уже молчу

#7. hokum

БШЛ (большая штыковая лопата),
ничего кривобокого. Известно, что миллионы машин с вендой НЕ обновляются, хотя бы из-за повальной тупости владельцев. Кроме того, надо смотреть, что именно за уязвимости
БШЛ (большая штыковая лопата)
#6. dro4er, #7. hokum

Одному - так пофиксили же всё-таки. (Это я коллегу вашего, skyfire , процитировал)
Второму - не надо петь песни про повальную тупость пользователей. Даже если она и имеет место быть, то мелкомягкие ФИКСЯТ баги и при включенном автоматическом обновлении, абсолютно никакой сложности в их регулярной загрузке и установке нет даже у последнего далбайоба.
А вот если даже не тупой, а осторожный хитромудень отключил обновление, штоб левая Винда не спалилась, всё равно есть стопиццот возможностей скачать их со стороны и с точно таким же успехом установить.
Прям, д.билы мы все получаемся опять же по вашей логике.

#9. Zodd

2 БШЛ (большая штыковая лопата)
Проблема не в том что найдены уязвимости, проблема в их быстром исправлении. В Линуксе это очень быстро происходит. Что нельзя сказать про винду. Некоторые уязвимости по пол года не закрывают.

#10. skyfire

Цитата:
Одному - так пофиксили же всё-таки. (Это я коллегу вашего, skyfire , процитировал)

Не надо путать. В этом списке уязвимости, обнаруженные недавно. Зачем переводить эту фразу на давние уязвимости?

#11. hokum

БШЛ (большая штыковая лопата),
факты - штука упрямая. Спам, ботнеты - это что, фантастика? Нет, это как раз эти самые миллионы виндовсов...

#12. skyfire

Цитата:
Прям, д.билы мы все получаемся опять же по вашей логике.

Все люди, включая меня, - д.билы. Инфа, как обычно, 100%.

#13. Manve

Manve
А вот меня всегда интересовало как Линукс можно массово обновлять. Ну, чтобы такая же фигня как WSUS была. Тк мало выпустить заплатку - надо чтобы она была применена к каждому компу на фирме. Иначе все разговоры про безопасность линукса так и остаются разговорами.
Вот как это сделать?
Чтобы и выборность и планируемость и наглядная отчетность по патчам была. Ну и траффик чтобы не жрало.
Или каждый сервер и десктоп в инет смотрит и бесконтрольно себя патчит?

#14. skyfire

Цитата:
А вот меня всегда интересовало как Линукс можно массово обновлять.

Можно везде прописать обновления там каждую неделю в среду в 12:00 в cron, причем сказать вывод записывать в какой-нибудь "/var/log/update.`date +'%d.%m.%Y'`.`uname -n`.log" на центральном сервере.
Svart Testare
2 главных девиза Linux - "в принципе, на скриптах можно сделать все что угодно" и "вот вот, это уже почти готово, скоро выйдет, осталось совсем чуть чуть". И это в 2009 году!

#16. skyfire

Цитата:
"в принципе, на скриптах можно сделать все что угодно"

А что в этом пл.хого? Или лучше как в винде, лазить по зданию и жать кнопочки, чем ввести пару слов и отдыхать?
Цитата:
Настоящие мужики не ленятся. Линуксойдам проще написать скрипт, автоматизирующий их задачи. Виндузятники же будут повторять одно действие сколько понадобится. Поэтому настоящие мужики пользуются Windows.
Как-то так, точно не помню.
Цитата:
"вот вот, это уже почти готово, скоро выйдет, осталось совсем чуть чуть"

И что в этом не так?

#17. gaal

2 skyfire

http://mandriva.ru/novosti/mandriva_predstavlyaet_linejku_korporativnogo_programmnogo_obespecheniya/

Также компания Mandriva представляет Linbox Rescue Server (LRS) – программное решение для управления локальной сетью предприятия. LRS устанавливается на компьютер с Linux и помогает вам контролировать рабочие станции вашей локальной сети на базе Windows и Linux. Администрирование проводится с помощью удобной панели управления, работающей через web-интерфейс.

http://lrs.linbox.org/

я не админ предприятия/фирмы/корпорации, в работе не смотрел:)

есть еще какие-то проги. названия не помню.
Manve, если парк машин достаточно большой, создаётся локальные рапозиторий. В подавляющем большинстве случаев обновление из stable-репозитория происходит совершенно безболезненно.

#19. gaal

2 skyfire

какие еще кнопки? O_o

http://ru.wikipedia.org/wiki/Windows_Server_Update_Services
и еще этим любят хвастаться:D
http://ru.wikipedia.org/wiki/Active_Directory
в принципе обычный LDAP. просто на него проги многие завязаны.

#20. skyfire

Цитата:
какие еще кнопки? O_o

Очевидно же, гуевые, которыми так любят виндузятники хвастаться.

#21. Manve

Manve
Только, плиз, не рассказывайте что "можно написать супер скрипт, который все сделает".
Не надо теории. Если есть такой скрипт - покажите его.
А еше лучше подклитесь своим опытом.
По поводу мандривы - там хотят за это неслабых денег. И это наботает только с ней. Подобные веши есть и для убунтв и для Шапки. Тоже за деньгу. И тоже только для "своих". Т.е. мандривный апдейтер не будет работать с убунтой и тд...
А самое интересное было бы почитать комменты человека, который с этим реально работал.
Потому что из всех моих знакомых линуксовых админов НИКТО не смог рассказать в деталях как и что обновняется. Они это просто не делали.
Svart Testare
skyfire,

Введите в Linux "пару слов", чтобы он превратился во что-то аналогичное server roles у Windows Server 2003/2008. Там это просто делается, по-человечески, наглядно и без танцев с бубуном и редактирования каких-то там конфигов.

#23. skyfire

Цитата:
во что-то аналогичное server roles у Windows Server 2003/2008

Для начала объясни мне что это. Я с серверами еще не разбирался.

#24. MOP3E

skyfire написал:
И что в этом не так?

Обычно это "чуть-чуть" растягивается на долгие годы ожидания.

skyfire написал:
Или лучше как в винде, лазить по зданию и жать кнопочки, чем ввести пару слов и отдыхать?

Что вам мешает сделать то же самое в винде? Весь необходимый инструментарий есть.

skyfire написал:
Все люди, включая меня, - д.билы. Инфа, как обычно, 100%.

Нет, ты не д.бил. Ты - их предводитель! :)

hokum написал:
Спам, ботнеты - это что, фантастика? Нет, это как раз эти самые миллионы виндовсов...

Ну куда же нам деваться, если миллионов линуксов просто НЕТ. Вот и приходится всё самим...

gaal написал:
Также компания Mandriva представляет Linbox Rescue Server (LRS) – программное решение для управления локальной сетью предприятия.
ALERT! ALERT! ПРОПИЕТАРНОЕ ПО ДЕТЕКТЕД: http://www.linuxcenter.ru/shop/distros/linbox_rescue_serv/LRS_Starter_Kit/ Так что насчёт винды не кизди. Для винды оно стоит дороже чем любая серверная Windows, в которую всё что необходимо уже встроено.

Капитан_Очевидность написал:
Manve, если парк машин достаточно большой, создаётся локальные рапозиторий. В подавляющем большинстве случаев обновление из stable-репозитория происходит совершенно безболезненно.
При помощи каких программ, сколько они стоят, сколько времени занимает установка, настройка и дальнейшая поддержка и т.п.

#25. skyfire

Цитата:
Нет, ты не д.бил. Ты - их предводитель! :)

Спасибо, обойдусь. Никогда не хотел быть предводителем.
Цитата:
ALERT! ALERT! ПРОПИЕТАРНОЕ ПО ДЕТЕКТЕД

Ты говоришь это так, словно это что-то пл.хое. Алсо, у них есть версия под GPL. http://mandriva.ru/resheniya/produkty/linbox_rescue_server/
Цитата:
Ну куда же нам деваться, если миллионов линуксов просто НЕТ.

Бедненькие, даже ботнет приходится из себя делать...

#26. Manve

Manve
Кстати апдейт насчет Мандревого севрера - обновления он все-таки не поддерживает.
Что в целом ситуации не меняет. Он делаает бекапы, в основном....
Svart Testare
skyfire,

http://www.itpedia.ru/index.php/Windows_Server_2008#.D0.A0.D0.BE.D0.BB.D0.B8

#28. skyfire

Svart Testare, это я уэе понял. Но что делает мастер настройки? Он умеет все настраивать именно так, как это нужно организации, или просто отключает все службы, кроме системных и тех, которые нужны для выбранной цели?

#29. braintorch

Да, Люся! Давай, жги! Даёшь 10.000.000 посетителей stoplinux.org! Gnu/Петросяна в массы!
Svart Testare
skyfire,

"Мастер настройки", как вы выразились, конфигурирует роль в соответствии с потребностями админа, который этим сервером управляет. Все, что от него требуется, это предоставить минимальный необходимый набор данных в зависимости от роли. Все остальное система сделает сама, исключая пользовательские ошибки и экономя время.
Взаимодействие пользователя/админа с системой в 2009 году должно осуществляться на функциональном уровне, а не на уровне редактирования текстовых файликов и запуска/перезапуска демонов и т.д. Даже PowerShell в Windows высокоуровневая (еще и .NET поддерживает).

#31. skyfire

Цитата:
"Мастер настройки", как вы выразились, конфигурирует роль в соответствии с потребностями админа, который этим сервером управляет. Все, что от него требуется, это предоставить минимальный необходимый набор данных в зависимости от роли. Все остальное система сделает сама, исключая пользовательские ошибки и экономя время.

А, ну тогда понятно. Тащемта в SUSE Linux Enterprise Server или аналогичном серверном проекте такое наверняка есть.

#32. MOP3E

skyfire написал:
Ты говоришь это так, словно это что-то пл.хое.
Нет, это "свободные" программисты говорят это так, как будто это что-то пл.хое. Я лишь повторяю.


skyfire написал:
Алсо, у них есть версия под GPL. http://mandriva.ru/resheniya/produkty/linbox_rescue_server/

Что совой об пень, что пнём об сову! Если ты ВЧИТАЕШЬСЯ (нет, я понимаю, что бегло просмотреть таблицу сравнения версий - непосильный труд), то увидишь, что версия под GPL не работает с разделами FAT32 и NTFS. Ну, и ещё по-мелочи отключено. Типа многопоточности и прочего. Так что за возможность администрирования Windows-систем придётся заплатить 99000 рублей.

skyfire написал:
Бедненькие, даже ботнет приходится из себя делать...

Да уж, чем не пожертвуешь для людей. Сколько радости ботнеты доставляют пользователям линуха!
Svart Testare
skyfire,

Только SLES совсем не бесплатный, а во многих случаях еще и дороже чем Windows Server (при выборе правильной лицензии), в нем напрочь отсутствует Active Directory и Hyper-V роли, а все, что там отдаленно похоже на "мастера настройки" это всего лишь попытка повторить то, что уже давно есть в Windows Server. Все равно будете планомерно скатываться и оказываться в консоли.
В то же время, если Windows-админу не нравится GUI, он всегда может выбрать Windows Server Core - минимальный тип установки, который представляет собой чистую консоль.

#34. gaal

2 Svart Testare

http://www.itpedia.ru/index.php/Windows_Server_2008#.D0.A0.D0.BE.D0.BB.D0.B8

стоп. что-то такое припоминается. при установке выбирается набор компонентов чем сервер будет служить? пробовал, но не задумывался над названием. просто искал компонент.

2 Manve

>Потому что из всех моих знакомых линуксовых админов НИКТО не смог рассказать в деталях как и что обновняется. Они это просто не делали.

чудно. в принципе там нужен репозитарий на сервере и указать источником его на клиентских машинах.
Svart Testare
gaal,

В Windows Server 2008 R2 можно выбирать либо Features (отдельно каждый компонент, какой хотите) либо сразу конкретную, специфическую Role, а система сама подберет необходимые компоненты, настроит взаимодействие между ними, зависимости и так далее. Результат - то, что админ хотел от сервера, он получает в максимально удобной форме и быстро.
Аналогично можно добавлять/удалять другие роли.

#36. gaal

2 Svart Testare

ну да:) подобранный набор компонентов, чтобы не сидеть и не выбирать. так iis ставил. смотрел как работает. rcшку.
БШЛ (большая штыковая лопата)
#11. hokum (6.06.2009 - 17:33)
БШЛ (большая штыковая лопата),
факты - штука упрямая. Спам, ботнеты - это что, фантастика? Нет, это как раз эти самые миллионы виндовсов...


Нет, уважаемый. Это реальность. И реальность в том, что это не миллионы Виндовз, а миллионы пользователей, сознательно идущие на эти неизбежные издержки массовой оси (платной, дырявой, какой угодно), но почему-то уп#рно не желающих оценить все преимущества превосходного, защищённого, дружелюбного Линукса.

Только не надо опять про всеобщее быдлячество и отсутствие мозгов. Мне лично ни мелкомягкие, ни кто другой лоботомию не делал.

#38. gaal

собственно именно разбором полетов и занимаюсь:

http://stoplinux.org.ru/category/dull_blogs/alternativnyi_vzglyad_na_linuks_do_you_guys_remember_that_whole_betamax.html

новый перевод

#39. skyfire

Цитата:
миллионы пользователей, сознательно идущие на эти неизбежные издержки массовой оси (платной, дырявой, какой угодно), но почему-то уп#рно не желающих оценить все преимущества превосходного, защищённого, дружелюбного Линукса

А разгадка одна - безблагодатность неинформированность. Достаточно спросить у лбого моего знакомого, например, - они про линукс даже не слышали. Зато знают загадочную Windows XP2. Короче дибилы полнейшие в этой области. И все эти миллионы школьников, секретарш и прочих от них мало отличаются. А всякие учителя, государственные работники, больнницы просто не имеют выбора - им сказали "ставь это", они и поставят. Хотя сейчас их кстати на линукс таки переводят.
БШЛ (большая штыковая лопата)
#39. skyfire

Это ты правильно со своего сектантского жаргона вовремя соскочил. Кому ж добровольно в секту интересно? Безблагодатностьбля... Ах№еть-нивстать.
"Меня зовут Линус и я ваш бог" ©

А информированность... Откуда ж она возьмёццо, если Линукс позиционируется как "ОС, созданная програмистами для програмистов". Какое это имеет отношение к миллионам тех, кого ты перечислил? Миллионам абсолютно неинтересно в кодах колупаццо и выяснять, открытый он или закрытый, у них комп для другого.
[1] 2 3 4

Просмотров: 2802