Несколько новых уязвимостей:
- В функции vmd_read_header() из состава библиотеки FFmpeg обнаружено целочисленное переполнение, которое может привести к выполнению кода в системе, при открытии специально подготовленного VMD-файла в приложении, использующем FFmpeg для обработки видео. Проблема пока устранена только в Git-репозитории проекта.
- Несколько серьезных уязвимостей найдено в системе управления web-контентом Drupal:
- Ошибка в OpenID модуле позовляет злоумышленнику выполнить ряд действий в CMS не имея на это прав, используя OpenID идентификатор других аккаунтов;
- Возможность перехвата параметров аккунта другого пользователя, вошедшего в систему с использованием OpenID 2.0;
- Ошибка в реализации обработчика файловых расширений в File API может быть использована злоумышленником для загрузки файлов, которые могут быть выполнены на сервере, при условии, что web-сервер настроен на игнорирование ".htaccess" файлов, создаваемых Drupal.
Проблемы исправлены в выпущенных вчера релизах 5.20 и 6.14.
- В x86 сборке NetBSD найдена уязвимость позволяющая локальному пользователю повысить свои привилегии в системе. Исправление пока недоступно.
|