| 1.1, Аноним (-), 20:01, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>>В растровом графическом редакторе Gimp устранено 4 уязвимости,
>>Исправление пока не доступно;
Это как?
| | |
| |
| 2.5, Аноним (-), 21:14, 17/01/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
>>В растровом графическом редакторе Gimp устранено 4 уязвимости,
>>Исправление пока не доступно;
>Это как?
Это разработчики у себя исправили, но хотят пока ещё поюзать дыру ))
А вообще не стоит паниковать сразу увидев столько фиксов, я уверен в той же винде в 2 раза больше, просто никто не в курсе и все спокойны.. >_>
Наобород радоватся нужно, что любимое ПО стало ещё лучше и ещё секьюрнее, а вообще это только от пользователя зависит, на сколько секьюрно его окружение...
| | |
| |
| 3.9, Аноним (-), 22:49, 17/01/2011 [^] [^^] [^^^] [ответить]
| –8 +/– | |
А вообще не стоит паниковать сразу увидев столько фиксов, я уверен в той же винде в 2 раза больше, просто никто не в курсе и все спокойны.. >_>
А можно спросить - на чем базируется такая уверенность? Может просто промытые мозги и не грамма опыта?
| | |
| |
| 4.10, linux0Ed (?), 23:43, 17/01/2011 [^] [^^] [^^^] [ответить]
| +6 +/– |
Тролль решил покормиться? Ладно, отвечу. В винде пачками находят уязвимости, которые не исправляются годами. Любой школьник может получить удаленный доступ к твоей системе за каких-нибудь полчаса. Всего-то надо почитать последние новости о "дырках", да накатать простенький скрипт. Один чел из lug'а поставил 7-ое ведро, так у него уже через 10 минут блокиратор появился. По-этому ни о какой промывке здесь и речи нет, все это - объективные и хорошо известные "особенности" венды.
| | |
| |
| 5.21, User294 (ok), 14:43, 18/01/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Насчет уязвимостей винды:
> В свободной библиотеке libpng обнаружена уязвимость, которая позволят выполнить код злоумышленника
Ну ладно, в линухе как обычно, приедет 1 пакет. И все программы юзающие эту либу опять станут неуязвимы, одним чихом, скачкой 1 мелкого пакета.
В винде ... господа пользователи винды, а вы хотя-бы знаете сколько и каких программ пользуют эту (довольно популярную) либу? И вы их все обновили? Вы можете ответить за все программы содержащие эту либу что они у вас уже исправленные и без дырок? А можете себе представить трах с обновлением всего этого зоопарка? Ну или как обычно - будете троянцев вычищать оптом? Пролезших через типа безобидные картиночки, хе-хе-хе :)
| | |
| |
| 6.28, Аноним (-), 18:54, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> В винде ... господа пользователи винды, а вы хотя-бы знаете сколько и каких программ пользуют эту (довольно популярную) либу? И вы их все обновили? Вы можете ответить за все программы содержащие эту либу что они у вас уже исправленные и без дырок? А можете себе представить трах с обновлением всего этого зоопарка? Ну или как обычно - будете троянцев вычищать оптом? Пролезших через типа безобидные картиночки, хе-хе-хе :)
К ОС с репозиториями (вы ведь их противопоставляете Венде?) всё точно так же. Значительная часть программ статически компонуется с собственными копиями zlib, libpng и др.
| | |
|
|
|
|
|
| 1.2, Zenitur (?), 20:09, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– | |
DVI-файлы... Я с ними намучился! Суть проблемы: поставил в системе use-флаг dvi, думая, что это что-нибудь для мониторов. Envice из-за этого зависел от latex. Затем возникли проблмы при обновлении tex с версии 2009 до 2010. И я решил его совсем удалить! И все равно вместо обновления мира я видел ошибку того, что 2010-й текс замаскирован! Долго искал ту программу, которая его требовала. Оказалась Envice с флагом dvi. Теперь в системе латекса нет.
Хорошая подборка уязвимостей! Просьба автору начать включать в обзор также и KDE-уязвимости тоже.
| | |
| |
| 2.4, Vkni (?), 20:26, 17/01/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
TEX - это тау, эпсилон, хи. То есть, читается как тех, а не как текс.
Да и вообще, с учётом того, что кириллица - это слегка покоцанный греческий устав, можно считать, что Кнут писал ТЕХ кириллицей :-) (шутка).
| | |
| |
| 3.6, Sadok (??), 21:21, 17/01/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Году так в 94, видел толстую книгу (перевод) о LaTEX, где было написано, что не шутка. Таки кириллица. Правда, я с техом работал то всего полгода в те времена, с тех пор не трогал. Но понравилось )
| | |
| |
| 4.11, Vkni (?), 00:42, 18/01/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это не шутка, но, конечно, греческий алфавит - это не кириллица. По крайней мере, когда мы их сравниваем с латиницей, которая тоже пошла из греческого алфавита.
| | |
|
|
| 2.17, щ (??), 10:56, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Суть проблемы: поставил в системе use-флаг dvi, думая, что это что-нибудь для мониторов.
Zenitur, такой Zenitur...
| | |
| 2.26, User294 (ok), 15:14, 18/01/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> DVI-файлы... Я с ними намучился! Суть проблемы: поставил в системе use-флаг dvi,
> думая, что это что-нибудь для мониторов.
Буду краток(с). Эпично!
| | |
|
| 1.3, Аноним (-), 20:10, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В сетевом анализаторе Wireshark найдена уязвимость, позволяющая выполнить код злоумышленника при перехвате трафика, содержащего определенным образом модифицированные пакеты для протокола ENTTEC (UDP-порт 3333). Проблема исправлена в SVN-репозитории проекта;
Wireshark 1.4.3 Release Notes
The following vulnerabilities have been fixed.
FRAsse discovered that the ENTTEC dissector could overflow a buffer. (Bug 5539)
http://www.wireshark.org/docs/relnotes/wireshark-1.4.3.html
| | |
| 1.12, iZEN (ok), 00:45, 18/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 Специально созданные картинки рушат систему безопасности. Превосходно! Так держать любители C/C++! :))
| | |
| |
| 2.13, Sylvia (ok), 01:45, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
 нечего панику устраивать ) мало кто пользуется libpng 1.5.x
многие еще даже на 1.4 не перешли, сидят с 1.2
| | |
| |
| 3.19, iZEN (ok), 11:28, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
> нечего панику устраивать ) мало кто пользуется libpng 1.5.x
> многие еще даже на 1.4 не перешли, сидят с 1.2
% pkg_info -Ex png
gstreamer-plugins-libpng-0.10.26,3
png-1.4.5
| | |
|
| 2.22, User294 (ok), 14:49, 18/01/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Специально созданные картинки рушат систему безопасности.
Дык это... в твоей любимой яве дыреней в 100500 раз больше чем в любой libpng. Что, ты скажешь что она на нативном коде написана? Мля, ну так перепиши свою яву на яве, если ты такой умный :)))
И вообще - ругать других конечно круто, но почему-то жабисты не лезут писать околосистемные библы с базовым функционалом. Наверное потому что на яве это получается криво и тормозно. Нормально на ней получается всякий бизнес-крап, которому сервер менее чем с 8 процами и 128 гиг оперативы - вообще не компьютер. Ну еще бывают потуги городить гуйные проги на этом, но тормозные уроды с массой проблем почему-то пользователям не доставляют.
| | |
|
| 1.14, Sylvia (ok), 01:49, 18/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
libxml2 это плохо, она же и на серверах живет, в составе расширений php например
проверила chromium 9 с гентушной libxml2 2.7.7 - падает, т.е. уязвимость присутствует.
| | |
| |
| |
| 3.18, iZEN (ok), 11:23, 18/01/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>вот так вот , вылезают баги и выясняется что в некоторых дистрибутивах секьюрити тим работает не то что плохо, а очень плохо
Порт net/wireshark в FreeBSD вчера обновился до v.1.4.3.
Но чтобы сканер сети пробивать специальным образом сформированными пакетами, это, пожалуй, — Epic Fail.
| | |
| |
| 4.24, User294 (ok), 14:54, 18/01/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> — Epic Fail.
Напиши свой сканер который сможет жрать не меньше протоколов, будет не меньше фич и не будет аццки тормозить когда там хотя-бы 100Мбит вдруг полетят со всей дури. У меня есть подозрение что если это написать на яве - там для запуска потребуется купить отдельный сервак, с кучей ядер и много гигазов оперативы. Дыру в сканере это конечно не оправдывает, но и голословный пиндеж - тоже не рулит. А может ты у нас настолько крут что готов переписать еще и libpcap на яве? Ну так, чтобы нативный код не дай боже не имел дел с сетью :). Правда для пущей безопасности надо еще и драйвер сетевухи переписать. Ну и ядро. Хе-хе. А то вдруг в ядре окажется дырка? Мало ли чего.
| | |
|
| 3.23, bircoph (ok), 14:51, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
 У тебя гентушка, как я понимаю, так вот посмотри на багзилле: все эти баги давно обсуждают и двигаются к решению; патчи и, зачастую ебилды уже есть для всех желающих. GLSA всегда с задержкой выходит из-за того, что нужно стабилизировать новые пакеты с исправлениями.
| | |
| |
| 4.27, Sylvia (ok), 18:25, 18/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
я смотрела багзиллу, 2 месяца жуют закрытие предыдущих (!) уязвимостей,
г-н Рамос так и не смог решить проблему с версионированием символов в библиотеке,
а посему дыры в гентушной libxml2 живут еще с ноября, мою багу прикрыли, старую 2 месячной давности - обновили... то что обсуждают и двигаются это хорошо, но не с обновлениями безопасности так тянуть надо, тем более libxml2, которая вообще используется много чем, реальная альтернатива ей - expat, но expat используется гораздо реже.
Вообщем тянуть для генты исходники из Дебиана, где давно все исправлено.... у меня чувство что что-то явно не так как хотелось бы
| | |
|
| |
| 4.30, Sylvia (ok), 01:34, 19/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
не всегда, у них больное место - freetype, месяцами копят перед тем как пропатчить,
хотя в целом DSA для stable достаточно оперативны, GLSA плохо работают, к сожалению,
могут вообще не исправлять отдельные вещи, ну а обычная политика - ждать пока обновится апстрим, далее в ~ и через некоторое время в stable. Цикл достаточно долгий, что разочаровывает.
идеала наверное и нет, я уж не знаю как в rhel дела обстоят
| | |
|
|
|
| 1.20, crunch (??), 13:40, 18/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как раз на днях прошил dir-300 dd-wrt. Проверил. Действительно, выдает всю подноготную шлюза: мак-адреса его интерфейсов, внутренний IP, используемые ресурсы, канал wifi, IP клиентов и др. А вот в мак адресах клиентов видны только последние два октета.
Не такая уж и страшная уязвимость, ибо нечего web-морду шлюза наружу выставлять.
| | |
| 1.31, Аноним (-), 13:46, 19/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Значительная часть уязвимостей-выполнение кода с помощью специально сформированного файла. Здорово! Выложил невинный файлик в инет, все его открыли и заразились!
Вопрос:
1. не слишком ли странно, что уязвимости с открытием файлом ещё не решена и продолжается много лет?
2. возможны были бы такие уязвимости, если бы программировали не на С/С++, а на паскале?
| | |
|
