URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81917
[ Назад ]

Исходное сообщение
"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено opennews , 19-Дек-11 23:07

Несколько недавно найденных уязвимостей:

- В программном обеспечении Tor 0.2.2.35 (https://www.torproject.org) для работы в анонимной сети Tor устранена опасная уязвимость (https://lists.torproject.org/pipermail/tor-announce/2011-Dec...), позволяющая инициировать выполнение кода злоумышленника, имеющего доступ к созданию Tor-сессии через SOCKS-прокси;
- В системе управления web-контентом TYPO3 4.6.2 (http://typo3.org/) устранена критическая уязвимость (http://typo3.org/teams/security/security-bulletins/typo3-cor.../), позволяющая неавторизированному внешнему злоумышленнику выполнить свой PHP-код на сервере через передачу некорректного значения параметра "BACK_PATH" для скрипта typo3/sysext/workspaces/Classes/Controller/AbstractController.php. Для успешной эксплуатации в настройках PHP должны быть активны опции "register_globals", "allow_url_include" и "allow_url_fopen". Имеются сведения о появлении червя, поражающего необновлённые версии TYP...
URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=32604

Содержание

Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,ЧИМ, 23:07 , 19-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Харитон, 23:38 , 19-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,dimss, 15:29 , 20-Дек-11
  - Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 03:28 , 22-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 09:46 , 21-Дек-11
  - Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 03:29 , 22-Дек-11
Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,StreamThreader, 23:46 , 19-Дек-11
Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 03:52 , 20-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 06:43 , 20-Дек-11
Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,xdsl, 06:38 , 20-Дек-11
Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Анонитор, 08:32 , 20-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 09:55 , 20-Дек-11
- Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,...,Аноним, 03:23 , 22-Дек-11

Сообщения в этом обсуждении

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено ЧИМ , 19-Дек-11 23:07

В последнее время стали частыми новости об уязвимости, видимо Linux начинает всё больше интересовать хакеров и вирусо-писателей. С одной стороны это хорошо(двигатель прогресса), с другой плохо, так как не все авторы свободного ПО смогут своевременно устранять уязвимости.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Харитон , 19-Дек-11 23:38

уязвимости которые интересуют хакеров - не разглашаются. ибо бабло.
скорее всего больше привлекается народу для работы а разработке и находят их разработчики...

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено dimss , 20-Дек-11 15:29

Программы становятся все сложнее, и все больше косяков связано с ошибками с дизайне и спецификации. Пиши хоть супер-пупер безопасным образом, все равно вылезек какая-то _непредусмотренная_ гадость.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:28

По этому поводу D.J. Berstein сделал гениальный вывод: keep it simple, stupid. И кстати его программы на "небезопасном" си так толком никто и не поломал. Жаль что он их не особо майнтайнит, но PoC вполне годный вышел :)

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 21-Дек-11 09:46

Обилие вирусов под форточки - картина маслом "хакер вендузятник".
Как-то слабо в это верится. Харество зародилось еще за долго до венды.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:29

> картина маслом "хакер вендузятник".
Хакер вендузятников скорее ;)

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено StreamThreader , 19-Дек-11 23:46

Дырки в программном обеспечении будут залатываться не только авторами но и сообществом. Если конечно это ПО будет интересовать это самое сообщество.

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 03:52

Какое отношение имеет Nagios XI к каким-то рпм и к какому-то линуксу?

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 06:43

В Linux-инсталляторе системы...

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено xdsl , 20-Дек-11 06:38

>>Для успешной эксплуатации в настройках PHP должны быть активны опции "register_globals", "allow_url_include" и "allow_url_fopen".
Кто-то до сих пор держит register_globals==on ?

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Анонитор , 20-Дек-11 08:32

Тор спалился? :)

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 20-Дек-11 09:55

Тор и не скрывал, что ничего не гарантирует. На их сайте это на первой странице написано. Для тех, кто умеет читать, разумеется :)))))))

"Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti,..."
Отправлено Аноним , 22-Дек-11 03:23

> Тор спалился? :)
Да там паливо достаточно условное. По дефолту, сокс вешается только на 127.0.0.1. Так что юзер конечно может себя хакнуть, но зачем? А внешние атакующие как-то на чужой 127.0.0.1 и не попадут :)