URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 54642
[ Назад ]

Исходное сообщение
"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено opennews , 20-Май-09 15:52

За последние несколько дней исправлено несколько опасных уязвимостей:

- В демоне синхронизации точного времени ntpd 4.2.4p7 (http://www.ntp.org/) и 4.2.5p177-dev исправлено (http://lists.ntp.org/pipermail/announce/2009-May/000062.html) переполнение буфера в функции "crypto_recv()", что давало возможность совершения удаленной атаки (http://www.kb.cert.org/vuls/id/853097), направленной на выполнение кода в системе, через отправку модифицированного пакета. Эксплуатация уязвимости возможна только при включенном в файле конфигурации режиме Autokey аутентификации ("crypto pw пароль" в ntp.conf).
- В библиотеке libsndfile 1.0.20 (http://www.mega-nerd.com/libsndfile/) устранены (http://www.mega-nerd.com/erikd/Blog/CodeHacking/libsndfile/) несколько уязвимостей (http://trapkit.de/advisories/TKADV2009-006.txt), позволяющих выполнить код в системе при обработке специально оформленных звуковых файлов в форматах VOC и AIFF (в марте подобная проблема была найдена в обработчике CAF форма...
URL: http://www.theregister.co.uk/2009/05/19/open_ssh_hack/
Новость: http://www.opennet.me/opennews/art.shtml?num=21814

Содержание

Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,PereresusNeVlezaetBuggy, 15:52 , 20-Май-09
- Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,PereresusNeVlezaetBuggy, 15:53 , 20-Май-09
  - Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,User294, 22:46 , 20-Май-09
    - Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,PereresusNeVlezaetBuggy, 22:57 , 20-Май-09
Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,Vitaly_loki, 17:22 , 20-Май-09
- Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,Anonymous_, 07:09 , 22-Май-09
  - Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi...,Аноним, 08:58 , 22-Май-09

Сообщения в этом обсуждении

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено PereresusNeVlezaetBuggy , 20-Май-09 15:52

Ну вот, и OpenNet вслед за CyberSecurity слажал. :( Ребят, ента атака на OpenSSH была описана и пофиксена много месяцев назад. То, что дорогие британские товарищи только-только проснулись и захотели попиариться — не повод :)))

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено PereresusNeVlezaetBuggy , 20-Май-09 15:53

Сорри, чуть-чуть не дочитал. Приношу извинения, если кого-то задел.
Но в любом случае я бы вообще не стал писать об очередном открытии британских учёных ;)

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено User294 , 20-Май-09 22:46

А почему не писать собственно?Атака конечно на редкость черезжопная и малоэффективная, но слов из песни не выкинешь - она есть.

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено PereresusNeVlezaetBuggy , 20-Май-09 22:57

>А почему не писать собственно?Атака конечно на редкость черезжопная и малоэффективная, но
>слов из песни не выкинешь - она есть.
А если я напишу статью об использовании, скажем, вот этой уязвимости: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0029 — её тоже надо будет на Опеннете опубликовывать? ;) Так можно про любую багу, касающуюся безопасности, раз в несколько месяцев вспоминать :)

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено Vitaly_loki , 20-Май-09 17:22

Я уже думал новый cyrus-sasl никогда уже не выйдет )))

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено Anonymous_ , 22-Май-09 07:09

>Я уже думал новый cyrus-sasl никогда уже не выйдет )))
В 2.1.23 единственное изменение - это исправление упомянутой уязвимости. А вот в 2.1.24 уже пачка изменений...

"Критические уязвимости в ntpd, libsndfile, Cyrus SASL и Squi..."
Отправлено Аноним , 22-Май-09 08:58

А где он? На сайте только 2.1.23 последняя