Уязвимости в phpMyAdmin, Mono, KOffice, Apache Geronimo, FreeBSD и Linux-ядре

Материал из Викиновостей, свободного источника новостей

25 августа 2010 года

Несколько недавно обнаруженных уязвимостей:

  • В phpMyAdmin обнаружена уязвимость, связанная с недостаточной проверкой параметров во время настройки программы, что может привести к подстановке неавторизированным злоумышленником PHP-кода в файл конфигурации, через манипуляцию с не удаленными после установки настроечными скриптами. Проблема устранена в версии 2.11.10.1, ветка 3.x уязвимости не подвержена.
  • В библиотеке libgdiplus, входящей в состав пакета Mono, найдены три уязвимости, позволяющие организовать выполнение кода при открытии специально оформленных TIFF, BMP и JPEG изображений в использующих данную библиотеку программах. Наличие уязвимости подтверждено в последней версии Mono 2.6.7;
  • В фильтре для импорта PDF-файлов из состава офисного пакета KOffice обнаружена уязвимость (Архивная копия от 17 августа 2014 на Wayback Machine), позволяющая скомпрометировать систему при открытии специально оформленного PDF-файла. Проблема вызвана заимствованием кода из проекта Xpdf, в котором в прошлом году было выявлено несколько опасных уязвимостей.
  • В сервере приложений Apache Geronimo 2.1.x и 2.2 зафиксировано несколько уязвимостей, позволяющих злоумышленнику получить доступ к закрытым данным, осуществить отказ в обслуживании и выполнить свой код на сервере;
  • Во FreeBSD найдена уязвимость, позволяющая локальному пользователю обойти некоторые установленные лимиты на потребление ресурсов через создание в своей домашней директории специально оформленного файла "~/.login_conf", перекрывающего системные настройки, и последующего входа по SSH;
  • В Linux ядре найдено несколько уязвимостей:
  • В 64-разрядном окружении локальный пользователь может исчерпать всю память в системе, путем некорректной установки размера стека в специально оформленном 32-разрядном приложении;
  • В реализации файловой системы JFS найдена ошибка, позволяющая обойти заданные в списках доступа ограничения путем указания валидного xattr-имени с добавлением префикса "os2";
  • Ошибка в функции drm_ioctl() может привести к получению доступа добавленного в группу "video" пользователя к закрытым областям памяти ядра, через отправку специально оформленного IOCTL.
  • В 2.6.25 и более поздних версиях ядра обнаружено целочисленное переполнение в коде с реализацией протокола BCM (Broadcast Manager) в подсистеме CAN (Controller Area Network), что может привести к выполнению кода злоумышленника при обработке специально сформированного CAN-трафика.

Источники[править]

Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в phpMyAdmin, Mono, KOffice, Apache Geronimo, FreeBSD и Linux-ядре», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.