The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Plone, ProFTPD, OpenSSL, Tomcat, Chrome, WordPress, RealPlayer и Adobe Flash

10.02.2011 15:30

Несколько свежих уязвимостей:

  • Во всех версиях системы управления web-контентом Plone обнаружена уязвимость, позволяющая внешнему анонимному злоумышленнику получить доступ к административной консоли, через которую можно изменить оформление сайта, добавить контент и модифицировать страницы. Исправление доступно в виде патча, для анализа возможных фактов взлома по логу apache подготовлен специальный скрипт.
  • В модуле "mod_sftp" из состава FTP-сервера ProFTPD найдена уязвимость, позволяющая удаленной инициировать отказ в обслуживании через исчерпание всей доступной памяти, при обработке SSH-пакетов в которых установлено огромное значение в поле, указывающем на размер прикрепленного блока данных. Исправление пока доступно только в виде патча.
  • В релизе OpenSSL 0.9.8r и 1.0.0d устранена уязвимость, при обработке некорректных значений, переданных в сообщении ClientHello, приводящая к чтению области памяти за границей буфера и потенциально способная привести к утечке закрытых данных (например, к ранее обработанным значениям OCSP (Online Certificate Status Protocol)). Уязвимости подвержены приложения, использующие функцию "SSL_CTX_set_tlsext_status_cb()", например, Apache httpd начиная с версии 2.3.3;
  • В Apache Tomcat найдено три уязвимости, позволяющие обойти системные ограничения (ограниченное возможностью только чтения, web-приложение может получить привилегии на запись данных), инициировать отказ в обслуживании (израсходование всей памяти после специального web-запроса) и организовать проведение XSS-атаки. Уязвимости устранены в версиях 7.0.8, 6.0.32 и 5.5.33.
  • В web-браузере Google Chrome 9.0.597.94 устранено пять уязвимостей, три из которых имеют высокую степень опасности и две - среднюю;
  • В системе управления контентом WordPress 3.0.5 исправлены две уязвимости, позволяющие пользователям с правами контрибьютора или автора поднять свои привилегии в CMS и получить доступ к скрытым публикациям других участников;
  • В медиа-плеере RealPlayer найдена уязвимость, позволяющая организовать выполнение кода при попытке открытия специально оформленного AVI-файла. Проблема устранена в версии 14.0.2;
  • В вышедшем вчера релизе Adobe Flash Player 10.2 без лишней огласки (в официальном анонсе про уязвимости не упоминалось) устранено 9 уязвимостей, каждая из которых позволяет организовать выполнение кода злоумышленника при открытии специально сформированных страниц. Примечательно, что о данных уязвимостях компании Adobe было сообщено в конце сентября - на выпуск исправления ушло 4 месяца.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29556-security
Ключевые слова: security, plone, openssl, proftpd, tomcat
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Поцыус Клей (?), 17:22, 10/02/2011 [ответить]  
  • +2 +/
    Адоб опять радует. С утра порадовал, после обновления ридера попросил выполнить перезагрузку(sic)! И вот опять "на выпуск исправления ушло 4 месяца". Молодцы.
     
     
  • 2.2, KroArtem (ok), 18:14, 10/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а куда торопиться? :)
     
     
  • 3.6, User294 (ok), 21:42, 10/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и правда - надо же дать хаксорам ботнеты набрать, или где?!
     
     
  • 4.9, Аноним (-), 09:09, 12/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем вы используете Adobe реадер? Вроде бы в GNOME и KDE встроенные средства просмотра справляются на ура и даже быстрее работают, а у вантузоидов есть тоже альтернативы которые 1 в 1 типа foxit ридера
     

  • 1.4, Sylvia (ok), 19:34, 10/02/2011 [ответить]  
  • +/
    при этом в WordPress сломали тэг <img src= для комментариев пользователей

    и похоже 3.0.6 не торопятся выпускать,
    для 3.0.5 есть хотфикс в плагине Akismet 2.5.3
    3.1-RC4 (тоже обновление безопасности) баге не подвержен.

     
  • 1.7, Аноним (-), 11:54, 11/02/2011 [ответить]  
  • +/
    Скажите, у одного меня поломался русский язык в тытрубке?
    http://s007.radikal.ru/i302/1102/f1/729b194684fc.png
     
     
  • 2.8, Гоша (?), 02:33, 12/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не у одного, было такое недавно один раз, потом само как-то исправилось. Или новый билд плагина скачал, не помню.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру