Новые уязвимости:
- В библиотеке libwmf (http://wvware.sourceforge.net/libwmf.html) найдена критическая уязвимость (http://secunia.com/advisories/34901/), позволяющая выполнить код злумышленника при попытке обработки WMF (Windows Metafile Format) файлов в использующих данную библиотеку приложениях, например, Gimp и ImageMagick. Уязвимости подвержены все версии библиотеки, включая последний официальный релиз 0.2.8.4.- В пакете для автоматизации создания chroot окружений schroot, поставляемом в Debian GNU/Linux, найдена уязвимость (http://secunia.com/advisories/34971/), которую локальный пользователь может использовать для организации краха системы, через исчерпание shared-памяти через "/tmp/shm".
- В Jabber сервере Openfire найдена уязвимость, проявляющаяся в возможности (http://secunia.com/advisories/34976/) обхода ограничений безопасности через установку пароля другому пользователю, путем отправки специально оформленного запроса. Проблемы решены в Openfire 3.6.4.
-...
URL: http://secunia.com/advisories/34977/
Новость: http://www.opennet.me/opennews/art.shtml?num=21606
В Убунте 9.04 libwmf уже обновился.
ага, оперативно :)
> установку пароля другому пользователюЖесть!Как видим жаба - не панацея от дыр oO
Не протокол, а сервер, и кто мешает использовать ejabberd...
А вообще ПО несовершенно, и в нем будут ошибки — пока его будут писать люди...
>будут писать люди...Да уж.Слава роботам!Ой, то есть, Клава :)
>> установку пароля другому пользователю
>
>Жесть!Как видим жаба - не панацея от дыр oOСогласен.
Но, думаю, стоит разделить идею (RFC, протокол, и т.д.) и её реализацию (openfire, ejabberd, и т.д.).
Глюк в реализации (в конкретном ПО) - не есть глюк в идее (в протоколе).
>Глюк в реализации (в конкретном ПО) - не есть глюк в идее (в протоколе).Все так.Протокол не бажный сам по себе.Хотя на мой вкус и довольно дурной: пухлый - генерит траффа намного больше аналогов, геморный в парсинге - наворочен до попы хз ради чего.Вплоть до извратов с uu-кодированием откровенно бинарных данных типа аватарок чтобы пропихать их в XML(распухон и без того пухлого добра на треть vs бинарных аналогов).Зато на бинарность utf-8 кладут и шлют прям так.Оригинально.Могу себе представить поведение большинства парсеров если приколоться и дать на вход рандом (обычный fuzzy тест, никакой ракетной науки).Мне что-то кажется что если задаться целью то при таком дизайне протокола отсылкой malformed пакетов можно добиться весьма интересных вещей.
Еще достаточно туго пролетает через файрволы и нестандартные сетевые окружения, SSL на малопопулярный порт - это не совсем то что везде разрешено.Режима HTTP-прокся, столь актуального для корпоративщиков (и он есть, как минимум у "тети аси" и мсн) в изначальной редакции - нет.Что довольно странно для XML-ного протокола.Ну а файлтрансферы - просто halfworking.То некоторые клиенты требуют прописывать руками bytestream проксь и прочая (китайская грамота для юзерей!), то у клиентов методы файлтрансфера несовместимы, то на файрволе застревает.
И сферическая секурити в вакууме у протокола тоже оставляет желать лучшего.
Например: размер сообщения которое в вас пуляют с той стороны провода ничем особо не лимитирован.А потому в принципе могут и гиг XML заставить пропарсить.Сколько там хотят прислать-заранее неизвестно.Отказаться - низзя.Валится потоком, заранее размер мессаги неизвестен(в лучшем случае-сервак может подыграть.А может и не подыгрывать, никто его не обязывает это делать).
Более того - когда этот протокол делали - думали о чем угодно, кроме malicious использования.Например: в групчат можно выстрелить тонну хлама 1 мессагой (несколько Кбайт минимум).Отскроллив 1 сообщением на несколько скринов беседу и загеморроив ее - нужно будет скроллить лог.Ну это еще полбеды.Эффективного метода забанить засранца - нет.То есть, jid забанить можно.Но его перерегать - минутное дело.Далее можно еще раз сплюнуть эн Кб точно так же испортив все в хлам.И в итоге модераторы выбирают между постоянным перебиванием беседы большими кусками вынуждающими скроллить экран и как результат злющими юзерами или между аппрувом всех юзеров, что опять же адский головняк для модеров (требуется их постоянное внимание) и опять же злит юзеров создавая им гемор.А что, на защитные меры например у того же IRC при диайне протокола групчата велосипедистостроителям посмотреть было не судьба?
Openfire вообще... своеобразен. К примеру, если к аккаунту подключены транспорты, и одно из подключений ушло в Away, или еще какой статус - транспорты тоже в него становятся, несмотря на то, что из другого места пользователь подключен как Online. Да и еще странности есть... Если в общем, по сравнению с ejabberd - неудобная зараза на редкость. А уж как надо писать, чтобы кривым сообщением поменять пароль другому пользователю можно было - ума не приложу.
Угу. Еще посмотреть бы это сообщение