The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Blender, CUPS и GRUB"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от opennews on 10-Ноя-09, 13:29 
Несколько новых уязвимостей:

-  В открытом пакете 3D-моделирования Blender найдена уязвимость (http://www.coresecurity.com/content/blender-scripting-injection), позволяющая злоумышленнику организовать выполнение произвольного Python скрипта, при открытии файла проекта ".blend". Уязвимость подтверждена в версии Blender 2.49b и более ранних, обновление с исправлением пока не выпущено;

-  Вышла новая версия сисетемы печати CUPS 1.4.2 (http://www.cups.org/articles.php?L590), в которой устранены две уязвимости (http://www.vupen.com/english/advisories/2009/3177). Web-интерфейс CUPS подвержен (http://www.cups.org/str.php?L3367) межсайтовому скриптингу (пример: http://127.0.0.1:631/admin/?kerberos=onmouseover=alert(1)&kerberos) и возможности (http://www.cups.org/str.php?L3367) подстановки злоумышленником HTTP заголовков;

-  В корректирующем выпуске (http://lists.gnu.org/archive/html/grub-devel/2009-11/msg0007...) менеджера загрузки GRUB 1.97.1 (http://www.gnu.org/software/grub/g...

URL: http://www.coresecurity.com/content/blender-scripting-injection
Новость: http://www.opennet.me/opennews/art.shtml?num=24190

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от Анон on 10-Ноя-09, 13:29 
>системы аутентификации по паролю

Просто раньше неправильно называлось. Было "запуск по настраиваемой угадай-кнопке", а теперь оно аутентификация по паролю )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Blender, CUPS и GRUB"  –1 +/
Сообщение от vitek (??) on 10-Ноя-09, 13:59 
да кому она вообще нафиг нужна?
итак этих паролей для параноиков понаставили - закачаешься!
биос, граб, монтирование по паролю/ключу,..... толку то.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от BirdGovorun email(??) on 10-Ноя-09, 14:13 
А за этот GRUB и руки оторвать мало, был полтора, чем мешал?
Из граба почти систему сделали.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в Blender, CUPS и GRUB"  +1 +/
Сообщение от Аноним (??) on 10-Ноя-09, 15:08 
Дык, родной, старая версия до сих пор доступна - пользуйся сколько душе угодна.
Можешь не бояться - тебя за это даже никто не побьёт :-D

По теме: я видел этот код!
Make me unseen it!!!
Автору надо в судебном порядке запретить использовать что-либо сложне калькулятора на следующие пять лет - во имя общественно безопасности!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от BirdGovorun email(??) on 10-Ноя-09, 16:16 
На компе стоят 2 системы FreeBSD 8.0RC2 и Ubuntu 9.10
только что обновил Ubuntu, попросила перезагрузиться и ....
Граб отказался грузить Ubuntu, грузится только FreeBSD,
Так я давно не смеялся.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от Zenitur email on 10-Ноя-09, 19:48 
С какой версии обновлял? У меня тоже так было. GRUB, установленный в Ubuntu 7.10, спокойно загружает Ubuntu 8.04 и не хочет загружать Ubuntu 8.10, 9.04 и 9.10! Любые другие дистрибутивы загружаются им. А для этиж трёх я создал второй GRUB. Гемморой неимоверный, старый переустанавливать лень. Создал раздел NTFS в 15 гигабайт и установил Ubuntu 8.10 туда из Windows, а в уже его GRUB вписал остальные неработавшие.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от BirdGovorun email(??) on 10-Ноя-09, 22:21 
У меня стояла 9.10 с нуля с грабом и FreeBSD была прописана в загрузку.
Я не систему обновлял, а пакеты, ядро обновилось и вроде граб, около 30 метров.
При загрузке появляется надпись GRUB и сразу FreeBSD грузится,
пытался прервать загрузку, что-бы GRUB в меню вывалился, не хочет и всё.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от pavel_simple (ok) on 10-Ноя-09, 22:57 
>У меня стояла 9.10 с нуля с грабом и FreeBSD была прописана
>в загрузку.
>Я не систему обновлял, а пакеты, ядро обновилось и вроде граб, около
>30 метров.
>При загрузке появляется надпись GRUB и сразу FreeBSD грузится,
>пытался прервать загрузку, что-бы GRUB в меню вывалился, не хочет и всё.
>

загрузись с livecd , поправь конфиг груба относительно таймаута

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от BirdGovorun email(??) on 11-Ноя-09, 11:09 
Уже восстановил, не в этом проблема, а в поведении Граба.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 11-Ноя-09, 07:57 
>Создал раздел NTFS в 15 гигабайт и установил Ubuntu 8.10 туда
>из Windows, а в уже его GRUB вписал остальные неработавшие.

Есть соблазн запостить это в какие-нибудь цитатники, ибо вы нереально жжоте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от iZEN (ok) on 10-Ноя-09, 23:21 
>На компе стоят 2 системы FreeBSD 8.0RC2 и Ubuntu 9.10

А что, boot0, установленный в MBR из FreeBSD, не сможет загрузить какую-то Ubuntu? Ведь WindowsXP им грузится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 11-Ноя-09, 07:57 
>Ubuntu? Ведь WindowsXP им грузится.

Вы, кстати тоже отжигаете вполне достойно цитатников :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от BirdGovorun email(??) on 11-Ноя-09, 11:13 
>>На компе стоят 2 системы FreeBSD 8.0RC2 и Ubuntu 9.10
>
>А что, boot0, установленный в MBR из FreeBSD, не сможет загрузить какую-то
>Ubuntu? Ведь WindowsXP им грузится.

Можно, но нельзя!! Проще Граб использовать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 10-Ноя-09, 22:34 
> итак этих паролей для параноиков понаставили - закачаешься!

Дык это... насильно же не заставляют юзать? А если кому хочется - почему это надо запретить? Иногда может быть полезно. А вот дыра в проверке пароля - смешная :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от hren email on 10-Ноя-09, 17:54 
Странный идиотизм о Blender
То что Blend файлы можно сделать с автоматически исполняемым кодом давно не секрет
и даже используется как фича
Нафига ее исправлять?????
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от Аноним (??) on 10-Ноя-09, 19:22 
Просто запускать блендер надо из под отдельного юзера, тогда он не сможет напортачить.

Я про это тоже давно знаю, но думал что это фича...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 10-Ноя-09, 22:49 
>Я про это тоже давно знаю, но думал что это фича...

Безусловно, это фича, позволяющая например стереть вам все файло во всех каталогах куда вы можете писать. А также запустить прикольного спамбота, ддосер или что там еще :).Вот только с моей точки зрения это скорее называется "security problem" т.к. позволяет некисло поиметь обладателя оной фичи любому кто ему пришлет "анимацию в блендере". По факту - хуже запускать только неизвестно чей бинарник. Хотя не хуже, однохренственно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 10-Ноя-09, 22:37 
>Странный идиотизм о Blender
>То что Blend файлы можно сделать с автоматически исполняемым кодом давно не
>секрет

Да, давайте я вам автоматически rm -rf запущу для прикола?Также неплохая идея запустить небольшой проксик, спамер и ддосер на радость хакерам и умыкнуть пароли до которых дотянулись :).Совсем никаих проблем :D.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от iZEN (ok) on 10-Ноя-09, 23:18 
Накой чйорд тебе впились захэшированные пароли? Что, будешь устраивать на них брут-форс-атаку?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от User294 (ok) on 11-Ноя-09, 03:18 
>Накой чйорд тебе впились захэшированные пароли?

Это не лечится. Скажите, а в всяких там браузерах, IM и прочая - у вас пароли тоже хешированные? И, конечно, пачка свистнутых чатов, писем, фото, документов, ... и прочая вас тоже не напряжет? А то ведь их тоже можно для профилактики braindead-ства умыкнуть. Или у вас ничего ценнее порно в вашем хомяке - нет? Ну тогда можно хотя-бы поспамить хардкорненько, с паршивого бота хоть какой-то да толк. Спамерье хотя-бы наварится, ну а заспамленые ессно будут рвать на куски вашего ISP, который в принципе может и отключить проблемного клиента. Особенно приятно будет если отключат в аккурат когда вам что-то позарез надо было.

Вообще - если вы такой храбрый, заинстальте ssh и скажите нам всем айпишник, логин и пасс вашего юзверя под которым вы сидите. Уровень доступа к вашей системе - совершенно эквивалентный, только чуть менее через задницу :).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от hren on 11-Ноя-09, 12:40 
Аминь с вами, любитель запускать на своем компе всякую хрень!
Или может теперь любой исполняемый файл считается уязвимостью ОС?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от pavlinux (ok) on 11-Ноя-09, 10:40 
Опять дебиан, и безопастность. ....
сто пудов там функция типа strcmp() вместо  strncmp()


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в Blender, CUPS и GRUB"  +/
Сообщение от mike lee on 11-Ноя-09, 10:45 
не, там все круче. у них же свое все, чтоб libc не тащить:

int
grub_auth_strcmp (const char *user_input, const char *template)
{
  int ok = 1;
  const char *ptr1, *ptr2;
  for (ptr1 = user_input, ptr2 = template; *ptr1; ptr1++)
    if (*ptr1 == (ptr2 ? *ptr2 : ptr1[1]) && ok && ptr2 != NULL)
      ptr2++;
    else
      ok = 0;

  return !ok;
}

Ы!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру