Перейти к содержанию

Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscript, LibTIFF, libpng, FFmpeg, Gajim, Puppet

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

16 апреля 2012 года

Несколько недавно найденных уязвимостей:

  • В MySQL 5.5.23 (Архивная копия от 11 апреля 2015 на Wayback Machine) устранена уязвимость про которую никаких подробностей не сообщается, кроме факта наличия проблемы неопределённого характера (последнее время Oracle перешла к практике сокрытия данных об уязвимостях в MySQL). Указан только номер закрытого для внешнего доступа отчёта об исправлении ошибки. По неофициальным данным, уязвимость позволяет подсоединиться к БД без ввода корректного пароля. В выпущенном незадолго до этого выпуске MySQL 5.5.22 также устранено две недетализированные уязвимости, для одной из которых в сети доступен эксплоит, позволяющий вызвать отказ сервера в обслуживании через выполнение специальным образом сформированного запроса;
  • В конфигураторе Wicd, используемом некоторыми дистрибутивами в качестве замены NetworkManager, выявлена уязвимость (Архивная копия от 29 мая 2016 на Wayback Machine), позволяющая локальному непривилегированному пользователю выполнить shell-скрипт с правами пользователя root. Проблем устранена в версии 1.7.2;
  • В FreePBX, web-интерфейсе для управления системами телефонии на базе Asterisk, устранена уязвимость (Архивная копия от 13 июня 2014 на Wayback Machine), позволяющая выполнить произвольный код на сервере через обращение к скрипту recordings/misc/callme_page.php с некорректным значением параметра "callmenum". Проблема устранена (Архивная копия от 15 ноября 2012 на Wayback Machine) в версии 2.11;
  • В пакетном менеджере RPM 4.9.1.3 устранено несколько уязвимостей, позволяющих организовать выполнение кода злоумышленника при выполнении действий со специально оформленным пакетом, например, при проверке сигнатуры;
  • В MediaWiki 1.17.3 и 1.18.2 устранена уязвимость, позволяющая вставить произвольный JavaScript-код на wiki-страницы;
  • В Ghostscript 9.05 устранено переполнение буфера при разборе параметра "OutputFile", которое может привести к выполнению кода при передаче в качестве аргумента специально оформленного длинного имени;
  • В LibTIFF найдена уязвимость(недоступная ссылка), позволяющая организовать выполнение кода при открытии специально оформленных TIFF-изображений. Информации об исправлении нет;
  • В libpng найдена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных PNG-изображений. Проблема устранена в версиях 1.5.10, 1.4.11, 1.2.49 и 1.0.59;
  • В мультимедиа пакете FFmpeg выявлено 8 уязвимостей, некоторые из которых позволяют добиться выполнения кода при открытии специально оформленного контента (субтитров, данных в формате кодека dirac). Проблемы устранены в версиях 0.10.2, 0.7.12 и 0.8.11;
  • В Jabber-клиенте Gajim 0.15 устранены две опасные уязвимости: первая позволяет выполнить произвольный код на машине клиента через отправку специально оформленного сообщения, а вторая осуществить подстановку SQL-запроса при обработке специально скомпонованного jid (Jabber ID);
  • В инструментарии для централизованного управления конфигурацией Puppet выявлено 6 уязвимостей, некоторые из которых позволяют локальному злоумышленнику на обслуживаемой через Puppet системе осуществить изменение произвольного файла, чтения файлов других пользователей или добиться выполнения своего кода с повышенными привилегиями, через осуществления различного рода манипуляций с символическими ссылками. Проблемы устранены в виде hotfix-обновлений.

Источники[править]

Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в MySQL, Wicd, FreePBX, RPM, MediaWiki, Ghostscript, LibTIFF, libpng, FFmpeg, Gajim, Puppet», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Уязвимости_в_MySQL,_Wicd,_FreePBX,_RPM,_MediaWiki,_Ghostscript,_LibTIFF,_libpng,_FFmpeg,_Gajim,_Puppet&oldid=16586178