The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от opennews (??) on 24-Янв-11, 22:32 
Обзор недавно обнаруженных уязвимостей:


-  В канальном SIP-драйвере из состава пакета Asterisk обнаружена уязвимость (http://downloads.asterisk.org/pub/security/AST-2011-001.pdf), потенциально позволяющая злоумышленнику организовать выполнение своего кода на сервере путем передачи специально оформленного блока информации об инициаторе звонка. Для успешного проведения атаки  SIP-драйвер должен быть сконфигурирован со включенной опцией "pedantic". Проблема исправлена (http://www.asterisk.org/node/51557) в корректирующих выпусках  Asterisk 1.4.38.1,
1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 и 1.8.2.2 (исправление было заявлено в версии 1.8.2.1 но из-за ошибки уязвимость не была (http://www.asterisk.org/node/51564) в ней исправлена);
-  Компания Oracle выпустила (http://www.oracle.com/technetwork/topics/security/cpujan2011...) январский набор патчей с устранением 66 уязвимостей в своих продуктах.


- В офисных пакетах Oracle Open Office 3.2.1 и StarOffice/Star...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=29361

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +1 +/
Сообщение от Аноним (??) on 24-Янв-11, 22:32 
> Примечательно, что в OpenOffice.org данные уязвимости были устранены еще летом;

что бы не утверждали рекламы, но в проприетарном софте(будь то os windows или oracle субд) дырки не торопятся латать...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  –1 +/
Сообщение от Аноним (??) on 25-Янв-11, 04:46 
если у Вас нет договора на поддкржку...
Например у Нас куплен дрвеб ентерпрайс и подписка, Наш сервер получает новые вирусные базы на несколько часов раньше, нежели обновится куреит или ливсиди...
За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +1 +/
Сообщение от reinhard (ok) on 25-Янв-11, 06:19 
А мне вот интересно, те бедолаги, которые купили обычный drweb за 700 р. тоже получают обновления на несколько часов позже, чем счастлывые обладатели Ынтерпрайза?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +4 +/
Сообщение от Sergey722 on 25-Янв-11, 10:10 
Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти вирусы появляются в сети.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от Аноним (??) on 25-Янв-11, 15:49 
> Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
> вирусы появляются в сети.

Это как? В интернете вирусы еще не появились, а базы с ними уже есть?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +2 +/
Сообщение от незарегистрированный аноним on 25-Янв-11, 17:28 
>> Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
>> вирусы появляются в сети.
> Это как? В интернете вирусы еще не появились, а базы с ними
> уже есть?

Именно так. Сначала обновляем базу тем, кто заплатил, через несколько часов пускаем вирус для тех, кто ещё заплатит :)))

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от Гость on 28-Янв-11, 20:56 
ей богу ! не удивлюсь, если именно так и окажется :) и  когда-нибудь и как всегда случайно раскроется :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

7. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от User294 (ok) on 25-Янв-11, 15:46 
> За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...

А на багрепорт о крахе при попытке проверить некий безобидный тарбол с сорсами от триального юзера - паутинычи вааще положили жирный болт. И не ответили ничего, и баг не починен оставался, как минимум несколько лет - точно (потом я просто забил на мониторинг состояния дел у паутиныча болт).

При том дох паутиныч весьма эпично: засирая %TEMP% и выжирая оперативку оптом. Когда место в темпе или оперативка кончается - паутиныч с грохотом наворачивается. Запросто утащив за собой полсистемы, т.к. мало какакие программы ожидают невозможность создать временный файл или выкроить себе память.

Кстати, я как-то не думаю что для Ынтерпрайзных юзеров они отдельно от всех сделали специальную версию не снабженную таким багом. Какой же дебил будет майнтенансить кучу версий ради неизвестно чего? :))) В общем ынтерпрайзники с лапшой на ушах - забавные парни. Наивно верят что для них специально попу рвут. Ну да, щаззз. Чтобы для вас специально девелопали именно кастом версию - надо как правило весьма много денег отсандалить ;)

P.S. кстати чем оперативнее вы получаете апдейт, тем вероятнее что грабли в нем (if any) икнутся именно вам. Если вы протупите несколько часов и саппорт встанет раком от наплыва кастомеров с проблемами - проблемный апдейт скорее всего резвенько выпилят чтобы избежать развития ситуации. Но если вы его на свой окорок отхватили уже скорее-быстрее - ну извините. В общем гордиться тем что вы выступаете тестером всех апдейтов "на передовой" в крутом Ынтерпрайзе может только не сильно умный человек, имхо ;).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от вася (??) on 24-Янв-11, 23:24 
> В СУБД Oracle найдено 6 опасных уязвимостей, используя которые аутентифицированный злоумышленник может получить доступ к закрытой информации и повысить свои привилегии;

Ужас, любой SCOTT мог стать DBA ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  –1 +/
Сообщение от Аноним (??) on 25-Янв-11, 08:07 
Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."  +/
Сообщение от User294 (ok) on 25-Янв-11, 15:51 
> Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.

А практика подсказывает: "дефолты решают". Готов поспорить, вы были бы удивлены узнав сколько в мире найдется дебилов, которые именно это самое и сделают. Просто не ожидая подлян в дефолтах и не грея мозг особо. Дефолты должны быть безопасными.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру