Несколько недавно найденных уязвимостей:
- Компания Google представила (http://googlechromereleases.blogspot.com/2012/03/stable-chan...) корректирующий выпуск web-браузера Chrome 17.0.963.83, в котором устранено 9 уязвимостей, из которых 6 помечены как опасные. В рамках программы выплаты вознаграждений за выявленные уязвимости исследователям безопасности выплачено тысяч долларов: три премии по 5.5 тыс. долларов, одна премия 2000$, одна 500$ и три премий по 1000$;- Сообщается (http://permalink.gmane.org/gmane.comp.security.oss.general/7249) о наличии в свободном антивирусном пакете ClamAV пяти опасных уязвимостей (http://www.securityfocus.com/archive/1/522005), которые остаются неисправленными в недавно выпущенном релизе ClamAV 0.96.4. Уязвимости позволяют совершить атаку на сервер путем отправки специальным образом оформленных файлов TAR, RAR и CHM;
- В Asterisk найдена опасная уязвимость (http://downloads.asterisk.org/pub/security/AST-2012-003.html) в коде управляющего web-интерфейса, успешная эксплуатация которой может привести к выполнению кода злоумышленника на сервере при отправке специально оформленного "HTTP Digest" запроса аутентификации. Проблема наблюдается в ветках 1.8.x и 1.10.x и исправлена в релизах 1.8.10.1 и 10.2.1;
- В релизах пакета GnuTLS 2.12.18 и 3.0.16 устранено (http://secunia.com/advisories/48488/) две уязвимости. Уязвимость в коде расшифровки блочных шифров при обработке TLS-записей может привести к выполнению кода злоумышленника при отправке специально оформленной структуры "GenericBlockCipher". Вторая проблема присутствует (http://blog.mudynamics.com/2012/03/20/gnutls-and-libtasn1-vulns/) в библиотеке libtasn1 и может привести к выполнению кода при обработке специально оформленного сертификата X.509;
- В библиотеке libzip 0.10.1 устранены две уязвимости (http://www.nih.at/listarchive/libzip-discuss/msg00252.html), каждая из которых может привести к переполнению буфера и выполнению кода злоумышленника при обработке специально скомпонованных ZIP-файлов;
- В IRC-сервере InspIRCd (https://github.com/inspircd/inspircd) найдена критическая уязвимость (http://www.kb.cert.org/vuls/id/212651), позволяющая неаутентифицированному злоумышленнику выполнить свой код на сервере путем манипуляции c DNS. Проблема присутствует в последнем выпуске 2.0.5. Проблема исправлена в GIT-репозитории проекта;
- В свободном пакете с реализацией протоколов маршрутизации Quagga 0.99.20.1 устранено 3 уязвимости (http://secunia.com/advisories/48388/), две в ospfd и одна в bgpd. Подробности об опасности проблем не сообщаются, но не исключена возможность удалённой эксплуатации уязвимостей;
- В свободном Flash-плеере GNU Gnash выявлена уязвимость (http://secunia.com/advisories/47183/), позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла. Проблема подтверждена в версии 0.8.10 и пока устранена (http://git.savannah.gnu.org/cgit/gnash.git/commit/?id=bb4dc7...) только в Git-репозитории проекта;
- В вышедшем (http://blog.documentfoundation.org/2012/03/22/tdf-announces-.../) сегодня корректирующем выпуске LibreOffice 3.4.6 устранена потенциальная уязвимость, подробности о которой пока не афишируются. Судя по списку изменений в новой версии устранено несколько крахов, которые могут быть инициированы через открытие специально оформленных документов или при обработке XML-данных. Возможно проблема имеет связь с недавно устранённой уязвимостью (http://www.openoffice.org/security/cves/CVE-2012-0037.html) в Apache OpenOffice, позволяющей организовать утечку содержимого ODF-докумнтов при запуске специально сформированных внешних XML компонентов.
URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=33426
Имхо-предположение, в 3.5 ветке LO, сделано несколько значимых регрессий в Calc по сравнению с 3.4, предположение основано на открытии xls-файлов, сгенеринных в ОдноЭс. В LO 3.3 все гуд, в 3.4 форматирование в жопе, в 3.5 все снова гуд.
Сменить одноэс на <тут должна быть ваша реклама> не предлагать. К слову, в ОО 3.3 тоже все гуд.
Сам понял, что написал?
в 3.5 починили 1с'вское сохранение xls, я правильно понял ? Надо будет потестить.
Не починили.
Таки починили в большинстве своем
Если исправление ошибок версии 3.4 назвать регрессией, то я даже не знаю, куда мир катится
Пишу из chromium 17.0.963.83, собранного из порта www/chromium FreeBSD 9-STABLE.
После сборки системным LLVM/Clang не запускается. Запустился и работает после сборки системным GCC 4.2.
Опции сборки:
% cat /var/db/ports/chromium/options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for chromium-17.0.963.83
_OPTIONS_READ=chromium-17.0.963.83
WITH_CODECS=true
WITH_GCONF=true
WITHOUT_PULSEAUDIO=true
WITHOUT_CLANG=true
WITHOUT_GCC46=true
WITHOUT_DEBUG=trueПериодически вылетают сообщения запущенного из графического терминала приложения:
> chrome[13619:76775424:20816773734:ERROR:gl_surface_glx.cc(64)] GLX 1.3 or later is required.
[13619:76775424:20816774017:ERROR:gl_surface_linux.cc(66)] GLSurfaceGLX::InitializeOneOff failed.
[13618:115027968:20819116923:ERROR:platform_thread_posix.cc(264)] Not implemented reached in static void base::PlatformThread::SetThreadPriority(pthread*, base::ThreadPriority)
Thread 60f2000 has exited with leftover thread-specific data after 4 destructor iterations
[13618:103840768:20826466425:ERROR:platform_thread_posix.cc(264)] Not implemented reached in static void base::PlatformThread::SetThreadPriority(pthread*, base::ThreadPriority)
В следующий раз не забудь свопфайл приаттачить.
>В свободном Flash-плеере GNU Gnash выявлена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла.О, а вот и дырки драного флеша полезли в открытые аналоги. Flash - небезопасная недотехнология.
Это не объясняет наличие дыр в остальном по.
ага, тем более в хроме
Пока остальные матерятся пользователи altlinux перемещают указанное ПО в хешер :)
> Пока остальные матерятсяА чего материться то? Апдейтики уже прилетели.
на http://www.clamav.net/lang/en/download/sources/ (последний
стабильный) раздают версию 0.97.4.
А ветка 0.96.4 была еще 2010-10-25.
Кто-то явно долго спал...
> на http://www.clamav.net/lang/en/download/sources/ (последний
> стабильный) раздают версию 0.97.4.
> А ветка 0.96.4 была еще 2010-10-25.
> Кто-то явно долго спал...Похоже на опечатку, CVE от 2012 года.