The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  +/
Сообщение от opennews (ok) on 29-Мрт-13, 20:57 
Опубликовано (http://www.postgresql.org/about/news/1454/) уведомление об обнаружении критической уязвимости в СУБД PostgreSQL. Никаких подробностей и данных о характере проблемы не сообщается до выпуска официальных обновлений, которые запланированы на 4 апреля. Судя по всему уязвимость очень опасная, так как впервые в истории проекта доступ к репозиториям будет ограничен (http://thread.gmane.org/gmane.comp.db.postgresql.devel.gener...), а обновления будут готовиться к выпуску и тестироваться в условиях повышенной секретности в узком кругу коммитеров, с целью избежания преждевременной утечки информации. Пользователям PostgreSQL рекомендуется подготовиться к выполнению 4 апреля внепланового обновления своих систем. Проблема затрагивает все поддерживаемые выпуски PostgreSQL.


Дополнительно можно отметить сведения об исправлении трех опасных уязвимостей:

-  В корректирующих выпусках DNS-сервера BIND 9.9.2-P2 и 9.8.4-P2 (http://www.isc.org/software/bind) устранена уязвимость (https://kb.isc.org/article/AA-00871/74/CVE-2013-2266%3A...)  (CVE-2013-2266), позволяющая удалённо вывести из строя рекурсивные и авторитативные DNS-серверы, путем отправки специально оформленных запросов. Проблема вызвана утечкой памяти и проявляется в исчерпании всей доступной процессу named памяти. Проблема затрагивает только ветки  BIND 9.7, 9.8 и 9.9. Пользователям ветки 9.7, которая уже не поддерживается, для решения проблемы рекомендуется пересобрать BIND без поддержки регулярных выражений (найти файл с "#define HAVE_REGEX_H 1" и поменять данную строку на "#undef HAVE_REGEX_H"). Проблему усугубляет достаточно простой (http://seclists.org/fulldisclosure/2013/Mar/252) метод эксплуатации.

-  В обновлениях (https://www.kernel.org/) ядра Linux  3.8.5,      3.4.38,      3.2.42 и 3.0.71 устранена уязвимость (CVE-2013-0913) в drm-драйвере i915 для видеокарт Intel. Уязвимость позволяет записать данные за пределы кучи и инициировать выполнение кода с правами ядра. Проблема была продемонстрирована (https://www.opennet.ru/opennews/art.shtml?num=36438) на конкурсе Pwnium, в рамках  которого был подготовлен частично работающий эксплоит для атаки на ChromeOS.

-  В платформе телефонии Asterisk 11.2.2 (http://www.asterisk.org) исправлены три уязвимости, позволяющие определить (http://downloads.asterisk.org/pub/security/AST-2013-003.html) наличие имён пользователей, осуществить (http://downloads.asterisk.org/pub/security/AST-2013-002.html) DoS-атаку через отправку специального HTTP POST-запроса и выполнить (http://downloads.asterisk.org/pub/security/AST-2013-001.html) код на сервере через передачу специально подготовленных атрибутов ресурсов в заголовке SDP.


URL: http://www.postgresql.org/about/news/1454/
Новость: https://www.opennet.ru/opennews/art.shtml?num=36539

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  +/
Сообщение от Аноним (??) on 29-Мрт-13, 20:57 
По bind:
Обновления для RHEL были доступны уже вчера https://rhn.redhat.com/errata/RHSA-2013-0690.html
Ночью пришли и под CentOS.
В Debian уже зарегистрирован номер бюллютеня с обновлением https://security-tracker.debian.org/tracker/DSA-2656-1 но самого обновления еще нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  –1 +/
Сообщение от pavlinux (ok) on 29-Мрт-13, 20:59 
> По bind: Обновления для RHEL были доступны уже вчера

а у меня ядро 3.2.42 уже третий день работает, и чё?!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  –1 +/
Сообщение от Аноним (??) on 29-Мрт-13, 23:57 
> а у меня ядро 3.2.42 уже третий день работает, и чё?!

Ну так у дыры в i915 уже борода растет, а bind regex dos - свежачок с пылу с жару.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  +1 +/
Сообщение от Аноним (??) on 30-Мрт-13, 03:22 
> dos - свежачок с пылу с жару.

Это что, спамхаус и кто там его зад прикрывает придумали как шатдаунить сервера которые им 300Гбит льют? :)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Критические уязвимости в PostgreSQL, BIND, ядре Linux и Aste..."  +/
Сообщение от Дядя_Федор on 03-Апр-13, 08:19 
Gentoo тормозит в части обновления bind. Вчера еще версии p2 в портеджах не было. Печально... Хотя по логам трех ДНС-серваков пока все тихо, никаких аномалий.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру