The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.12.2011 21:42  Уязвимости в Tor, Typo3, libicu, mnoGoSearch, Zabbix, Cacti, Nagios XI и OpenStack Nova

Несколько недавно найденных уязвимостей:

  • В программном обеспечении Tor 0.2.2.35 для работы в анонимной сети Tor устранена опасная уязвимость, позволяющая инициировать выполнение кода злоумышленника, имеющего доступ к созданию Tor-сессии через SOCKS-прокси;
  • В системе управления web-контентом TYPO3 4.6.2 устранена критическая уязвимость, позволяющая неавторизированному внешнему злоумышленнику выполнить свой PHP-код на сервере через передачу некорректного значения параметра "BACK_PATH" для скрипта typo3/sysext/workspaces/Classes/Controller/AbstractController.php. Для успешной эксплуатации в настройках PHP должны быть активны опции "register_globals", "allow_url_include" и "allow_url_fopen". Имеются сведения о появлении червя, поражающего необновлённые версии TYPO3 в автоматическом режиме;
  • В С/С++ библиотеке libicu (International Components for Unicode, icu4c), содержащей типовые функции для работы с символами Unicode, найдена уязвимость, которая может привести к переполнению буфера и выполнению кода при обработке в функции "_canonicalize()" подготовленных злоумышленником данных. Libicu используется в большом числе популярных проектов, таких как OpenOffice.org/LibreOffice, Firebird, webkit, php. Исправления пока доступны в виде патча;
  • В открытом поисковом движке mnoGoSearch 3.3.12 устранена уязвимость, которая позволяла выполнить SQL-запрос на сервере через подстановку специально оформленных значений в поле с именем хоста внутри гиперссылок;
  • В системах мониторинга Cacti 0.8.7i и Zabbix 1.8.10rc устранена серия XSS-уязвимостей, позволяющих злоумышленнику организовать подстановку JavaScript-кода на выводимые пользователям страницы;
  • В Linux-инсталляторе системы мониторинга Nagios XI найдена уязвимость дающая возможность локальному злоумышленнику во время установки Nagios организовать установку любых своих пакетов или создать свои задания для cron, выполняемые от имени пользователя root. Проблемы вызваны использованием в скриптах маcки "rpm -Uvh epel-release*.rpm" при установке дополнительных пакетов из директории /tmp и предварительного формирования содержимого crontab в файле /tmp/root.crontab.new;
  • В компоненте Nova из состава облачного стека OpenStack найдена уязвимость, позволяющая пользователям облачных систем при загрузке EC2-образа выйти за пределы базовой директории и создать файлы вне хранилища образов.


Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor, typo3, unicode, security, zabbix, nagios, cacti, mnogosearch, openstack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, ЧИМ (?), 23:07, 19/12/2011 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    В последнее время стали частыми новости об уязвимости, видимо Linux начинает всё больше интересовать хакеров и вирусо-писателей. С одной стороны это хорошо(двигатель прогресса), с другой плохо, так как не все авторы свободного ПО смогут своевременно устранять уязвимости.
     
     
  • 2.2, Харитон (?), 23:38, 19/12/2011 [^] [ответить]    [к модератору]
  • +1 +/
    уязвимости которые интересуют хакеров - не разглашаются. ибо бабло.
    скорее всего больше привлекается народу для работы а разработке и находят их разработчики...
     
  • 2.12, dimss (?), 15:29, 20/12/2011 [^] [ответить]    [к модератору]
  • +/
    Программы становятся все сложнее, и все больше косяков связано с ошибками с дизайне и спецификации. Пиши хоть супер-пупер безопасным образом, все равно вылезек какая-то _непредусмотренная_ гадость.
     
     
  • 3.16, Аноним (-), 03:28, 22/12/2011 [^] [ответить]     [к модератору]
  • +/
    По этому поводу D J Berstein сделал гениальный вывод keep it simple, stupid И... весь текст скрыт [показать]
     
  • 2.13, Аноним (-), 09:46, 21/12/2011 [^] [ответить]    [к модератору]  
  • +/
    Обилие вирусов под форточки - картина маслом "хакер вендузятник".
    Как-то слабо в это верится. Харество зародилось еще за долго до венды.
     
     
  • 3.17, Аноним (-), 03:29, 22/12/2011 [^] [ответить]    [к модератору]  
  • +/
    > картина маслом "хакер вендузятник".

    Хакер вендузятников скорее ;)


     
  • 1.3, StreamThreader (ok), 23:46, 19/12/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дырки в программном обеспечении будут залатываться не только авторами но и сообществом. Если конечно это ПО будет интересовать это самое сообщество.
     
  • 1.4, Аноним (-), 03:52, 20/12/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Какое отношение имеет Nagios XI к каким-то рпм и к какому-то линуксу?
     
     
  • 2.6, Аноним (-), 06:43, 20/12/2011 [^] [ответить]    [к модератору]  
  • +/
    В Linux-инсталляторе системы...
     
  • 1.5, xdsl (?), 06:38, 20/12/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >>Для успешной эксплуатации в настройках PHP должны быть активны опции "register_globals", "allow_url_include" и "allow_url_fopen".

    Кто-то до сих пор держит register_globals==on ?

     
  • 1.8, Анонитор (?), 08:32, 20/12/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Тор спалился? :)
     
     
  • 2.10, Аноним (-), 09:55, 20/12/2011 [^] [ответить]    [к модератору]  
  • +4 +/
    Тор и не скрывал, что ничего не гарантирует. На их сайте это на первой странице написано. Для тех, кто умеет читать, разумеется :)))))))
     
  • 2.14, Аноним (-), 03:23, 22/12/2011 [^] [ответить]     [к модератору]  
  • +/
    Да там паливо достаточно условное По дефолту, сокс вешается только на 127 0 0 1... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor