The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в MySQL, PCRE, Tex Live, OpenTTD, GhostScript и KDE KGet

14.05.2010 08:53

Подборка новых уязвимостей:

  • В MySQL обнаружено три уязвимости, который позволяют вызвать отказ обслуживании, обойти ограничения системы привилегий (например, прочитать и удалить данные из закрытой для данного пользователя таблицы) и инициировать выполнение своего кода на сервере через отправку специально оформленного COM_FIELD_LIST-пакета с некорректным заданием имени таблицы (выполнение кода возможно из-за переполнения буфера, возникающего в результате передачи слишком длинного имени таблицы). Проблема исправлена в версии MySQL 5.1.47, релиз которой ожидается в ближайшие дни.
  • В реализации функции "compile_branch()" из состава библиотеки PCRE зафиксирована возможность переполнения буфера, которое может потенциально привести к выполнению кода злоумышленника при обработке в использующих данную функцию приложениях специально оформленного регулярного выражения. Проблема решена в версии PCRE 8.02.
  • В утилите dvipng, входящей в состав пакета Tex Live, найдена уязвимость, позволяющая организовать выполнение кода при обработке специально подготовленного DVI-файла. Ошибка исправлена в SVN-репозитории проекта.
  • В игре OpenTTD найдены три уязвимости, позволяющие подсоединиться к сетевой игре не зная пароля, вызвать DoS атаку игрового сервера через исчерпания доступных файловых дескрипторов или организовать выполнение кода на игровом сервере через передачу специально оформленной команды. Проблема решена в версии OpenTTD 1.0.1.
  • В GhostScript обнаружены две уязвимости, позволяющие злоумышленнику организовать выполнение кода при обработке специально оформленных PostScript-файлов. Наличие уязвимости подтверждено в версии GhostScript 8.70.
  • В свободном менеджере загрузок KGet, входящем в состав KDE SC, найдены две уязвимости. Первая уязвимость приводит к возможности организации сохранения файла за пределы текущей директории, определенной для загрузки файлов, при инициировании загрузки через открытие специально оформленного metalink-файла. Вторая уязвимость позволяет при определенных обстоятельствах инициировать загрузку заданного metalink-файла при открытии в интерфейсе содержимого директории без получения подтверждения от пользователя. Уязвимости подтверждены в версии KGet 2.4.2, поставляемой в KDE 4.4.2.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26587-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (4) RSS
  • 1, sceptic (?), 12:09, 14/05/2010 [ответить]  
    		• –1 +/
    > Проблема решена в версии OpenTTD 1.0.1.

    которая вышла уже стотысячлетназад.
    какие-то не актуальные уязвимости, больше шума.

     
     
  • 2, Zenithar (?), 12:27, 14/05/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Зато KGet этот вышел недавно, и первый не подвержен уязвимости.
     
     
  • 3, Аноним (-), 20:42, 14/05/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    а кому он нужен? этот кгет
     
     
  • 4, Zenithar (?), 21:23, 14/05/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну, мне нужен, например. Естественно первый, а не второй. Из комплекта третьего KDE.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру