Несколько новых уязвимостей:- Несколько критических уязвимостей (http://www.vupen.com/english/advisories/2009/0960) обнаружено в MIT Kerberos и производных продуктах, например в Solaris SEAM Kerberos. Первая уязвимость к коде декодирования ASN.1, позволяет удаленному злоумышленнику вызвать крах kadmind или выполнить свой код в системе. Вторая ошибка в коде с реализацией SPNEGO GSS-API позволяет вызвать крах kadmind или получить доступ к служебной области памяти процесса. Третья ошибка затрагивает код PK-INIT и может быть использована для вызова отказа в обслуживании KDC (Key Distribution Center) или kinit. Уязвимости присутствуют во всех версиях MIT Kerberos 5 (krb5), выпущенных до релиза 1.6.4 (http://web.mit.edu/kerberos/www/dist/index.html). Кроме того уязвимостям подвержены (http://sunsolve.sun.com/search/document.do?assetkey=1-66-256...) версии Kerberos из состава OpenSolaris, Solaris 9 и 10, а также пакет Enterprise Authentication Mechanism 1.0.1.
- В mod_jk (http:/...
URL: http://www.vupen.com/english/advisories/2009/0960
Новость: http://www.opennet.me/opennews/art.shtml?num=21185
> В CIFS (SMB) коде найден способ переполнения буфера при попытке монтирования удаленного ресурса злоумышленника.Что-то я не пойму, вроде уже закрывали подобную "дырку". Это старые грабли или новые?
это перманентные грабли ;) Вообще на самом деле интересно почему проводятся конкурсы по взлому бровзеров, а конкурсы по взлому ОС не проводятся, это позволило бы быстрее находить дыры.
Вопрос: с каких версий программ и Linux-ядра?