The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox, RVM и Linksys

24.01.2011 14:26

Обзор недавно обнаруженных уязвимостей:

  • В канальном SIP-драйвере из состава пакета Asterisk обнаружена уязвимость, потенциально позволяющая злоумышленнику организовать выполнение своего кода на сервере путем передачи специально оформленного блока информации об инициаторе звонка. Для успешного проведения атаки SIP-драйвер должен быть сконфигурирован со включенной опцией "pedantic". Проблема исправлена в корректирующих выпусках Asterisk 1.4.38.1, 1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 и 1.8.2.2 (исправление было заявлено в версии 1.8.2.1 но из-за ошибки уязвимость не была в ней исправлена);
  • Компания Oracle выпустила январский набор патчей с устранением 66 уязвимостей в своих продуктах.
    • В офисных пакетах Oracle Open Office 3.2.1 и StarOffice/StarSuite 7/8 устранено несколько опасных уязвимостей, позволяющих выполнить код злоумышленника при обработке специально оформленных файлов с презентациями. Примечательно, что в OpenOffice.org данные уязвимости были устранены еще летом;
    • В СУБД Oracle найдено 6 опасных уязвимостей, используя которые аутентифицированный злоумышленник может получить доступ к закрытой информации и повысить свои привилегии;
    • В VirtualBox 4.0 найдена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе. Подробности не сообщаются.
  • В утилите RVM (Ruby Version Manager) 1.2.1 исправлена ошибка, которая позволяла пользователям выполнять команды с повышенными привилегиями;
  • В прошивке к точке доступа Linksys WRT54GC найдено переполнение буфера, позволяющее организовать выполнение кода на устройстве, через формирование специально оформленного длинного HTTP POST-запроса к web-интерфейсу. Проблема исправлена в прошивке 1.06.1.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29361-Asterisk
Ключевые слова: Asterisk, oracle, virtualbox, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:32, 24/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Примечательно, что в OpenOffice.org данные уязвимости были устранены еще летом;

    что бы не утверждали рекламы, но в проприетарном софте(будь то os windows или oracle субд) дырки не торопятся латать...

     
     
  • 2.3, Аноним (-), 04:46, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если у Вас нет договора на поддкржку...
    Например у Нас куплен дрвеб ентерпрайс и подписка, Наш сервер получает новые вирусные базы на несколько часов раньше, нежели обновится куреит или ливсиди...
    За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...
     
     
  • 3.4, reinhard (ok), 06:19, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А мне вот интересно, те бедолаги, которые купили обычный drweb за 700 р. тоже получают обновления на несколько часов позже, чем счастлывые обладатели Ынтерпрайза?
     
  • 3.6, Sergey722 (?), 10:10, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти вирусы появляются в сети.
     
     
  • 4.8, Аноним (-), 15:49, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
    > вирусы появляются в сети.

    Это как? В интернете вирусы еще не появились, а базы с ними уже есть?

     
     
  • 5.10, незарегистрированный аноним (?), 17:28, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
    >> вирусы появляются в сети.
    > Это как? В интернете вирусы еще не появились, а базы с ними
    > уже есть?

    Именно так. Сначала обновляем базу тем, кто заплатил, через несколько часов пускаем вирус для тех, кто ещё заплатит :)))

     
     
  • 6.11, Гость (?), 20:56, 28/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ей богу ! не удивлюсь, если именно так и окажется :) и  когда-нибудь и как всегда случайно раскроется :)
     
  • 3.7, User294 (ok), 15:46, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...

    А на багрепорт о крахе при попытке проверить некий безобидный тарбол с сорсами от триального юзера - паутинычи вааще положили жирный болт. И не ответили ничего, и баг не починен оставался, как минимум несколько лет - точно (потом я просто забил на мониторинг состояния дел у паутиныча болт).

    При том дох паутиныч весьма эпично: засирая %TEMP% и выжирая оперативку оптом. Когда место в темпе или оперативка кончается - паутиныч с грохотом наворачивается. Запросто утащив за собой полсистемы, т.к. мало какакие программы ожидают невозможность создать временный файл или выкроить себе память.

    Кстати, я как-то не думаю что для Ынтерпрайзных юзеров они отдельно от всех сделали специальную версию не снабженную таким багом. Какой же дебил будет майнтенансить кучу версий ради неизвестно чего? :))) В общем ынтерпрайзники с лапшой на ушах - забавные парни. Наивно верят что для них специально попу рвут. Ну да, щаззз. Чтобы для вас специально девелопали именно кастом версию - надо как правило весьма много денег отсандалить ;)

    P.S. кстати чем оперативнее вы получаете апдейт, тем вероятнее что грабли в нем (if any) икнутся именно вам. Если вы протупите несколько часов и саппорт встанет раком от наплыва кастомеров с проблемами - проблемный апдейт скорее всего резвенько выпилят чтобы избежать развития ситуации. Но если вы его на свой окорок отхватили уже скорее-быстрее - ну извините. В общем гордиться тем что вы выступаете тестером всех апдейтов "на передовой" в крутом Ынтерпрайзе может только не сильно умный человек, имхо ;).

     

  • 1.2, вася (??), 23:24, 24/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В СУБД Oracle найдено 6 опасных уязвимостей, используя которые аутентифицированный злоумышленник может получить доступ к закрытой информации и повысить свои привилегии;

    Ужас, любой SCOTT мог стать DBA ;)

     
     
  • 2.5, Аноним (-), 08:07, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.
     
     
  • 3.9, User294 (ok), 15:51, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.

    А практика подсказывает: "дефолты решают". Готов поспорить, вы были бы удивлены узнав сколько в мире найдется дебилов, которые именно это самое и сделают. Просто не ожидая подлян в дефолтах и не грея мозг особо. Дефолты должны быть безопасными.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру