The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от opennews (??) on 16-Апр-12, 12:06 
Несколько недавно найденных уязвимостей:


-  В MySQL 5.5.23 (http://permalink.gmane.org/gmane.comp.db.mysql.announce/655) устранена уязвимость про которую никаких подробностей не сообщается, кроме факта наличия проблемы неопределённого характера (последнее время Oracle перешла (http://www.opennet.me/opennews/art.shtml?num=33051) к практике сокрытия данных об уязвимостях в MySQL). Указан только номер закрытого (http://bugs.mysql.com/bug.php?id=59533) для внешнего доступа отчёта об исправлении ошибки. По неофициальным данным, уязвимость позволяет подсоединиться к БД без ввода корректного пароля;
-  В конфигураторе Wicd, используемом некоторыми дистрибутивами в качестве замены NetworkManager, выявлена (http://seclists.org/fulldisclosure/2012/Apr/123) уязвимость (http://www.infosecinstitute.com/courses/ethical_hacking_trai...), позволяющая локальному непривилегированному пользователю выполнить shell-скрипт с правами пользователя root. Проблем устранена (https://launchpad.net/wicd/+announcement/9888) в версии 1.7.2;

-  В FreePBX (http://www.freepbx.org), web-интерфейсе для управления системами телефонии на базе Asterisk, устранена уязвимость (http://archives.neohapsis.com/archives/fulldisclosure/2012-0...), позволяющая выполнить произвольный код на сервере через обращение к скрипту recordings/misc/callme_page.php с некорректным значением параметра "callmenum". Проблема устранена (http://www.freepbx.org/news/2012-03-26/security-concerns-2-1...) в версии 2.11;

-  В пакетном менеджере RPM 4.9.1.3 (http://rpm.org/wiki/Releases/4.9.1.3#Security) устранено несколько уязвимостей, позволяющих организовать выполнение кода злоумышленника при выполнении действий со специально оформленным пакетом, например, при проверке сигнатуры;
-  В MediaWiki 1.17.3 и 1.18.2 устранена (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...) уязвимость, позволяющая вставить произвольный JavaScript-код на wiki-страницы;
-  В Ghostscript 9.05 (http://www.ghostscript.com/) устранено переполнение буфера (http://bugs.ghostscript.com/show_bug.cgi?id=692856) при разборе параметра "OutputFile", которое может привести к выполнению кода при передаче в качестве аргумента специально оформленного длинного имени;
-  В LibTIFF найдена уязвимость (http://home.gdal.org/private/zdi-can-1221/zdi-can-1221.txt), позволяющая организовать выполнение кода при открытии специально оформленных TIFF-изображений. Информации об исправлении нет;
-  В libpng найдена уязвимость (http://www.libpng.org/pub/png/src/libpng-1.5.10-README.txt), позволяющая организовать выполнение кода при открытии специально оформленных PNG-изображений. Проблема устранена в версиях 1.5.10, 1.4.11, 1.2.49 и 1.0.59;

-  В мультимедиа пакете FFmpeg (http://ffmpeg.org/) выявлено 8 уязвимостей (http://secunia.com/advisories/48770/), некоторые из которых позволяют добиться выполнения кода при открытии специально оформленного контента (субтитров, dirac). Проблемы устранены (http://ffmpeg.org/download.html) в версиях 0.10.2, 0.7.12 и 0.8.11;
-  В Jabber-клиенте Gajim 0.15 (http://gajim.org/) устранены две опасные уязвимости (http://secunia.com/advisories/48708/): первая позволяет выполнить произвольный код на машине клиента через отправку специально оформленного сообщения, а вторая осуществить подстановку SQL-запроса при обработке специально скомпонованного  jid (Jabber ID);
-  В инструментарии для централизованного управления конфигурацией Puppet (http://puppetlabs.com/) выявлено 6 уязвимостей (http://puppetlabs.com/security/), некоторые из которых позволяют локальному злоумышленнику на обслуживаемой через Puppet системе осуществить изменение произвольного файла, чтения файлов других пользователей или добиться выполнения своего кода с повышенными привилегиями, через осуществления различного рода манипуляций с символическими ссылками. Проблемы устранены в виде hotfix-обновлений.


URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=33607

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от Аноним (??) on 16-Апр-12, 12:06 
Чего интересно Оракл боится ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от cobold (ok) on 16-Апр-12, 13:04 
Вот того что всё больше народа на MariaDB переползает они почему-то не боятся, если такое делают. Странно это.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  –3 +/
Сообщение от Аноним (??) on 16-Апр-12, 17:40 
Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше изумишься, как много и прочно оракл получает на сверхбольших базах, которые реально слабо без рукопашной даже постгресу осилить. И на эту поляну никакие мускули-просто-марии-чесноки просто тупо никогда не зайдут. Как ишак никогда не станет ахалтекинским скакуном.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от cobold (ok) on 16-Апр-12, 18:41 
ну, я как-то много лет в теме, где скакуны нужны, а где ишаки. Тут вроде-бы про мускуль речь шла.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от Аноним (??) on 16-Апр-12, 20:00 
> Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше
> изумишься, как много и прочно оракл получает на сверхбольших базах,

Мужик, чтобы сгонять в магаз за продуктами никуда не уперся боинг-767, вместе с толпой техников для его обслуживания. Для этого простенького велосипеда хватит, который я сам обслужу :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 21:11 
> Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше
> изумишься, как много и прочно оракл получает на сверхбольших базах, которые
> реально слабо без рукопашной даже постгресу осилить. И на эту поляну
> никакие мускули-просто-марии-чесноки просто тупо никогда не зайдут. Как ишак никогда не
> станет ахалтекинским скакуном.

Ораклоадмины до сих пор не в курсе, что мускул теперь тоже ораклом разрабатывается?
Блестящая эрудиция у вас.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  –6 +/
Сообщение от YetAnotherOnanym on 16-Апр-12, 12:20 
Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +4 +/
Сообщение от Аноним (??) on 16-Апр-12, 12:37 
Не знаю какие там удобные управлялки вы имели в виду, но например удобная управлялка пакетами ака пакетный манагер в таких случаях отлично помогает :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 18:05 
> Не знаю какие там удобные управлялки вы имели в виду, но например
> удобная управлялка пакетами ака пакетный манагер в таких случаях отлично помогает
> :)

А чтобы централизованно развернуть багфиксы на куче серверов - можно воспользоваться puppet с надстройкой для управления пакетным менеджером :)
Ну или , если puppet использовать религия не позволяет, можно сделать по Поттерингу - один /usr на всю ферму, экспортируемый в read-only по NFS и обновляемый один раз на главном сервере.

Ну а противники "удобных управлялок" (включая SSH) будут бегать по всем серверам, подключаться к последовательным портам и вручную накатывать обновления. Желательно с флешки :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от Аноним (??) on 16-Апр-12, 20:03 
> Ну а противники "удобных управлялок" (включая SSH) будут бегать по всем серверам,
> подключаться к последовательным портам и вручную накатывать обновления.

Вот чем-то таким Человек Разумный от Человека Умелого и отличается :)

Первый пустит вместо себя въе скрипт или тулзень. Второй будет умело тыкать флешки.

Disclaimer: все имена - вымышлены. Любые совпадения с реальными персонажами случайны.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от Аноним (??) on 16-Апр-12, 20:20 
> Вот чем-то таким Человек Разумный от Человека Умелого и отличается :)
> Первый пустит вместо себя въе скрипт или тулзень. Второй будет умело тыкать флешки.

Причем этих умелых большинство, и они громко кричат о том, что их условные рефлексы - это и есть unix way.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

5. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от Анонн on 16-Апр-12, 13:00 
Толсто-же
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от Аноним (??) on 16-Апр-12, 15:17 
> Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.

Да, например, bash. Вот уж зло абсолютное, сколько гадостей им можно сделать!
А ssh вообще открытая дыра для хакеров.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 17:26 
А вы можете продложить альтенативу SSH?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 17:40 
> А вы можете продложить альтенативу SSH?

А вы?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от Аноним (??) on 16-Апр-12, 17:56 
> А вы можете продложить альтенативу SSH?

Конечно. ttyS0.
А кто пользуется SSH - тот сам себе злобный буратино :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 22:38 
> Конечно. ttyS0.

...over tcp/ip :). А это можно...


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 23:18 
> ...over tcp/ip :). А это можно...

Зачем все эти новомодные свистоперделки? Только нульмодемный кабель, только хардкор!

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от XoRe (ok) on 16-Апр-12, 23:46 
>> ...over tcp/ip :). А это можно...
> Зачем все эти новомодные свистоперделки? Только нульмодемный кабель, только хардкор!

"Никакого удаленного управления, только голая консоль!" кричал один админ.
И показывал браузер, в котором открыта страничка ip-kvm, с которой грузился vnc клиент на java =)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 17-Апр-12, 15:05 
> И показывал браузер, в котором открыта страничка ip-kvm, с которой грузился vnc клиент на java =)
> ip-kvm

Тут же русским по белому писали, что "удобные управлялки" не нужны! :)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

9. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +2 +/
Сообщение от Аноним (??) on 16-Апр-12, 16:09 
> Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.

Зачем так витиевато? Скажите проще: "я не осилил".

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от YetAnotherOnanym on 16-Апр-12, 22:51 
Отвечу всем сразу: не передёргивайте. Bash и SSH - это Ъ, а веб-прокладки со свистелками и перделками - это зло, проникающее в мир при помощи тех, кто не осилил "man -S5 server.conf".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от etw (ok) on 18-Апр-12, 03:18 
> $ man -S5 server.conf
> Нет справочной страницы для server.conf

И про какие "прокладки" идет речь?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

7. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +1 +/
Сообщение от Дмитрий (??) on 16-Апр-12, 14:39 
Oracle такой Oracle!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от filosofem (ok) on 16-Апр-12, 16:48 
Злобный и деревянный?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Марк on 16-Апр-12, 17:47 
> В LibTIFF и libpng найдена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных изображений.

Здравствуй венда.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 17:58 
>> В LibTIFF и libpng найдена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных изображений.
> Здравствуй венда.

Это не венда. Потому что дыры уже прикрыли.
В венде их бы оставили открытыми лет на 10, бережно портируя в новые версии.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 20:09 
> В венде их бы оставили открытыми лет на 10, бережно портируя в новые версии.

А они там и останутся еще на десятилетие, ВНЕЗАПНО. Потому что софта юзающего эти либы - как грязи под ногами. Вот только виндозный апдейтер класть хотел что у третьесторонних прог - дырявые либы в комплекте.

Поэтому там где в пингвине качнется 1 мизерный пакет с libpng и все 20 прог резко его поюзают, в винде будет просто 20 разных прог. С своими собственными 20 копиями либы. А рюхается или не рюхается оно лишь в меру лени юзера и/или наличия/отсутствия у прог апдейтеров и чувства ответственности у их авторов.

Итого? Правильно - некоторые виндовые системы и через 10 лет можно будет этим сплойтом долбануть. Просто потому что на проблемы 3rd party олухов MS клал с прибором.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 21:10 
> Итого? Правильно - некоторые виндовые системы и через 10 лет можно будет этим сплойтом долбануть. Просто потому что на проблемы 3rd party олухов MS клал с прибором.

И правильно. Зачем париться обо всяких безопасностях, если есть неслабая рыночная доля и жесткий маркетинг?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 22:43 
> И правильно. Зачем париться обо всяких безопасностях, если есть неслабая рыночная доля
> и жесткий маркетинг?

Да. Вы как швабру предпочитаете - целиком или наполовину? У вас есть выбор :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 16-Апр-12, 23:20 
> Да. Вы как швабру предпочитаете - целиком или наполовину? У вас есть выбор :)

Пол мести удобнее целой шваброй. Впрочем, пылесос всяко лучше.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscri..."  +/
Сообщение от Аноним (??) on 17-Апр-12, 12:09 
> Пол мести удобнее целой шваброй.

Это предвыборная швабра. Ей не подметают пол :)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру