Уязвимости в Solaris, PostgreSQL, ModSecurity, glib, libc, dash и VirtualBox

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

17 марта 2009 года

Обнаружено несколько новых уязвимостей:

  • Solaris:
  • В подсистеме ядра Doors из Sun Solaris 8, 9, 10 найдено несколько уязвимостей, которые можно использовать для вызова отказа в обслуживании, доступа к системным файлам или потенциально возможно выполнение кода локального злоумышленника с привилегиями ядра;
  • Ошибка в коде файловой системы UFS, может быть использована локальными злоумышленниками для вызова краха системы;
  • Уязвимость в модуле ядра keysock из состава Solaris 10, позволяет локальному злоумышленнику, имеющему право создавать PF_KEY сокеты, инициировать крах системы;
  • Несколько способов ( первый, второй) обхода ограничений NFS сервера Solaris, что позвляет злоумышленнику получить доступ к файлам NFS раздела не имея на это прав;
  • Проблема безопасности в Kerberos сервере может быть использована для совершения DoS атак на вторичные KDC (Key Distribution Center) системы.
  • В СУБД PostgreSQL найдено две уязвимости, одна из которых позволяет получить доступ к скрытым записям, а другая совершить DoS атаку через рекурсивное зацикливание конвертации кодировок. Официальный выпуск обновлений с исправлением уязвимостей ожидаются на днях, тем не менее новые релизы 8.3.7, 8.2.13, 8.1.17, 8.0.21 и 7.4.25 уже доступен на ftp.
  • В ModSecurity найдено несколько уязвимостей. Первая проблема в коде PDF XSS защиты (по умолчанию отключено), позволяет удаленно вызвать крах процесса через отправку специально сформированного HTTP запроса. Вторая проблема в коде парсера запросов, состоящих из нескольких частей, может привести к краху процесса при приеме запроса с недостающими заголовками;
  • Уязвимость в функциях кодирования и декодирования Base64 библиотеки Glib при передаче специально скомпонованных длинных строк может привести к выполнению кода злоумышленника;
  • В реализации fts_ функций стандартной Си библиотеки OpenBSD и некоторых других ОС найдена уязвимость, которая может привести к краху приложения при обработке в данных функциях директорий с определенным содержимым;
  • Особенности выполнения .profile файов в shell оболочке dash из текущей директории, могут быть использованы злоумышленном для формирования подставного .profile файла в определенной общедоступной директории, который может быть выполнен при выполнение login-операций пользователем (например, su), находясь в данной директории;
  • В Linux сборке VirtualBox найдена уязвимость, позволяющая локальному пользователю, имеющему права на запуск VirtualBox, выполнить свой код в системе с повышенными привилегиями. Уязвимость присутствует только в общедистрибутивных ("All distributions") сборках 2.0.0, 2.0.2, 2.0.4, 2.0.6r39760, 2.1.0, 2.1.2, и 2.1.4r42893. Проблема исправлена в версиях 2.0.6r43001 и 2.1.4r43001.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в Solaris, PostgreSQL, ModSecurity, glib, libc, dash и VirtualBox», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Уязвимости_в_Solaris,_PostgreSQL,_ModSecurity,_glib,_libc,_dash_и_VirtualBox&oldid=8645945