Опубликовано (http://www.postgresql.org/about/news/1454/) уведомление об обнаружении критической уязвимости в СУБД PostgreSQL. Никаких подробностей и данных о характере проблемы не сообщается до выпуска официальных обновлений, которые запланированы на 4 апреля. Судя по всему уязвимость очень опасная, так как впервые в истории проекта доступ к репозиториям будет ограничен (http://thread.gmane.org/gmane.comp.db.postgresql.devel.gener...), а обновления будут готовиться к выпуску и тестироваться в условиях повышенной секретности в узком кругу коммитеров, с целью избежания преждевременной утечки информации. Пользователям PostgreSQL рекомендуется подготовиться к выполнению 4 апреля внепланового обновления своих систем. Проблема затрагивает все поддерживаемые выпуски PostgreSQL.
Дополнительно можно отметить сведения об исправлении трех опасных уязвимостей:- В корректирующих выпусках DNS-сервера BIND 9.9.2-P2 и 9.8.4-P2 (http://www.isc.org/software/bind) устранена уязвимость (https://kb.isc.org/article/AA-00871/74/CVE-2013-2266%3A...) (CVE-2013-2266), позволяющая удалённо вывести из строя рекурсивные и авторитативные DNS-серверы, путем отправки специально оформленных запросов. Проблема вызвана утечкой памяти и проявляется в исчерпании всей доступной процессу named памяти. Проблема затрагивает только ветки BIND 9.7, 9.8 и 9.9. Пользователям ветки 9.7, которая уже не поддерживается, для решения проблемы рекомендуется пересобрать BIND без поддержки регулярных выражений (найти файл с "#define HAVE_REGEX_H 1" и поменять данную строку на "#undef HAVE_REGEX_H"). Проблему усугубляет достаточно простой (http://seclists.org/fulldisclosure/2013/Mar/252) метод эксплуатации.
- В обновлениях (https://www.kernel.org/) ядра Linux 3.8.5, 3.4.38, 3.2.42 и 3.0.71 устранена уязвимость (CVE-2013-0913) в drm-драйвере i915 для видеокарт Intel. Уязвимость позволяет записать данные за пределы кучи и инициировать выполнение кода с правами ядра. Проблема была продемонстрирована (http://www.opennet.me/opennews/art.shtml?num=36438) на конкурсе Pwnium, в рамках которого был подготовлен частично работающий эксплоит для атаки на ChromeOS.
- В платформе телефонии Asterisk 11.2.2 (http://www.asterisk.org) исправлены три уязвимости, позволяющие определить (http://downloads.asterisk.org/pub/security/AST-2013-003.html) наличие имён пользователей, осуществить (http://downloads.asterisk.org/pub/security/AST-2013-002.html) DoS-атаку через отправку специального HTTP POST-запроса и выполнить (http://downloads.asterisk.org/pub/security/AST-2013-001.html) код на сервере через передачу специально подготовленных атрибутов ресурсов в заголовке SDP.
URL: http://www.postgresql.org/about/news/1454/
Новость: http://www.opennet.me/opennews/art.shtml?num=36539
По bind:
Обновления для RHEL были доступны уже вчера https://rhn.redhat.com/errata/RHSA-2013-0690.html
Ночью пришли и под CentOS.
В Debian уже зарегистрирован номер бюллютеня с обновлением https://security-tracker.debian.org/tracker/DSA-2656-1 но самого обновления еще нет.
> По bind: Обновления для RHEL были доступны уже вчераа у меня ядро 3.2.42 уже третий день работает, и чё?!
> а у меня ядро 3.2.42 уже третий день работает, и чё?!Ну так у дыры в i915 уже борода растет, а bind regex dos - свежачок с пылу с жару.
> dos - свежачок с пылу с жару.Это что, спамхаус и кто там его зад прикрывает придумали как шатдаунить сервера которые им 300Гбит льют? :)
Gentoo тормозит в части обновления bind. Вчера еще версии p2 в портеджах не было. Печально... Хотя по логам трех ДНС-серваков пока все тихо, никаких аномалий.