Еще немного уязвимостей | автор: Luca | 6 июня 2009
Категория: GNU/Linux
Ох уж эти опасные картинки! Кто бы мог подумать что они таят столько опасности для простого пользователя linux. В очередном списке проблем с безопасностью было обнаружено две уязвимости дающие "возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла". Тоже самое и с форматом TIFF. Но это еще не все! Найдена уязвимость в драйвере e1000 "позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма". Не плохо правда?
* В Apache Tomcat исправлена серия уязвимостей: возможность удаленного вызова отказа в обслуживании, также ошибка потенциально может привести к доступу злоумышленника к скрытым данным. Проблема исправлена в Tomcat 6.0.20; Другие ветки Tomcat (с версии 4.1.0 по 4.1.39 и 5.5.0 - 5.5.27) подвержены DoS уязвимости в блоке балансировки нагрузки модуля mod_jk и возможности подбора валидных логинов пользователей из-за различиях во внешнем поведении механизма аутентификации для несуществующих пользователей;
* В http-сервере Apache найдена уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
* В тулките wxWidgets найдены две опасные узявимости, которые могут привести к выполнению кода злоумышленника при обработке в wxPNGHandler::LoadFile() и "wxTIFFHandler::LoadFile()" специально оформленных PNG и TIFF изображений. Проблема исправлена в настоящий момент только в svn репозитории проекта;
* В наборе "Good" плагинов звукового сервера GStreamer обнаружена ошибка, дающая возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла. Проблема присутствует и в последней версии GStreamer Good 0.10.15, исправление пока доступно только в виде патча;
* В реализации функции "XMakeImage()" из состава пакета ImageMagick найдена уязвимость, которая может привести к выполнению кода злоумышленника при обработке специально модифицированного TIFF изображения. Проблема устранена начиная с версии 6.5.2-9;
* В e1000 драйвере из состава linux ядра присутствует ошибка, позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма.
Кстати, днем ранее в списке найденных уязвимостей красовалось "Представлены обновления linux ядра - 2.6.27.22 и 2.6.28.10, в которых исправлено около 100 накопившихся ошибок из которых 4 связаны с устранением уязвимостей в подсистемах selinux, exit_notify, agp и af_rose/x25."
Источник
Прочитано 4377 раз и оставлено 126 комментариев.
Ох уж эти опасные картинки! Кто бы мог подумать что они таят столько опасности для простого пользователя linux. В очередном списке проблем с безопасностью было обнаружено две уязвимости дающие "возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла". Тоже самое и с форматом TIFF. Но это еще не все! Найдена уязвимость в драйвере e1000 "позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма". Не плохо правда?
* В Apache Tomcat исправлена серия уязвимостей: возможность удаленного вызова отказа в обслуживании, также ошибка потенциально может привести к доступу злоумышленника к скрытым данным. Проблема исправлена в Tomcat 6.0.20; Другие ветки Tomcat (с версии 4.1.0 по 4.1.39 и 5.5.0 - 5.5.27) подвержены DoS уязвимости в блоке балансировки нагрузки модуля mod_jk и возможности подбора валидных логинов пользователей из-за различиях во внешнем поведении механизма аутентификации для несуществующих пользователей;
* В http-сервере Apache найдена уязвимость, позволяющая локальному пользователю организовать выполнение команды через SSI конструкцию "#exec" не имея на это полномочий ("AllowOverride ... Options=IncludesNoEXEC" в httpd.conf), если в .htaccess файле указать "Options Includes";
* В тулките wxWidgets найдены две опасные узявимости, которые могут привести к выполнению кода злоумышленника при обработке в wxPNGHandler::LoadFile() и "wxTIFFHandler::LoadFile()" специально оформленных PNG и TIFF изображений. Проблема исправлена в настоящий момент только в svn репозитории проекта;
* В наборе "Good" плагинов звукового сервера GStreamer обнаружена ошибка, дающая возможность выполнения кода злоумышленника во время открытия специально оформленного PNG файла. Проблема присутствует и в последней версии GStreamer Good 0.10.15, исправление пока доступно только в виде патча;
* В реализации функции "XMakeImage()" из состава пакета ImageMagick найдена уязвимость, которая может привести к выполнению кода злоумышленника при обработке специально модифицированного TIFF изображения. Проблема устранена начиная с версии 6.5.2-9;
* В e1000 драйвере из состава linux ядра присутствует ошибка, позволяющая вызвать крах ядра через отправку специально подготовленного ethernet фрейма.
Кстати, днем ранее в списке найденных уязвимостей красовалось "Представлены обновления linux ядра - 2.6.27.22 и 2.6.28.10, в которых исправлено около 100 накопившихся ошибок из которых 4 связаны с устранением уязвимостей в подсистемах selinux, exit_notify, agp и af_rose/x25."
Источник
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 6 июня 2009-го года !
Прочитано 4377 раз и оставлено 126 комментариев.
#1.skyfire