Уязвимости в gem-модуле Ruby Mail, MaraDNS, Bugzilla, syslog-ng, Linux-ядре и ISC DHCP

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

27 января 2011 года

Несколько свежих уязвимостей:

  • В gem-модуле Ruby Mail, предназначенном для отправки электронной почты, обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код в системе через передачу специально скомпонованного адреса электронной почты. Уязвимость проявляется только при использовании метода доставки "Sendmail" (методы отправки SMTP и File проблеме не подвержены), так как при запуске программы sendmail не экранируются определенные спецсимволы. Уязвимость исправлена в версии 2.2.15, дополнительно доступен патч;
  • В открытом DNS-сервере MaraDNS найдена критическая уязвимость, позволяющая выполнить код на сервере через отправку специально сформированного DNS-запроса (резолвинг имени домена длиннее 254 символов). Статус устранения уязвимости пока неизвестен;
  • В свободной системе отслеживания ошибок Bugzilla найдено 5 уязвимостей, среди которых возможность подстановки JavaScript-кода на страницы и ошибка генерации случайных чисел, позволяющая подобрать параметры сессии другого пользователя. Проблемы устранены в версиях 3.2.10, 3.4.10 и 3.6.4;
  • В выпусках syslog-ng 3.0.6a и 3.2.1a устранено 7 уязвимостей, позволяющих получить доступ к закрытым данным, выполнить DoS-атаку и организовать выполнение кода в системе;
  • В Linux-ядре найдена уязвимость, теоретически позволяющая повысить свои привилегии в системе через отправку специально подготовленного IOCTL драйверу av7110. Проблема исправлена в 2.6.38-rc2;
  • В пакете ISC DHCP найдена уязвимость, которую можно использовать для инициирования краха сервера через отправку DHCPv6-сообщения от имени ранее отклоненного адреса. Проблема исправлена в версиях 4.1.2-P1, 4.1-ESV-R1 и 4.2.1b1. Конфигурации DHCPv4 проблеме не подвержены.

Источники[править]

Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в gem-модуле Ruby Mail, MaraDNS, Bugzilla, syslog-ng, Linux-ядре и ISC DHCP», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Уязвимости_в_gem-модуле_Ruby_Mail,_MaraDNS,_Bugzilla,_syslog-ng,_Linux-ядре_и_ISC_DHCP&oldid=8666306