Уязвимости в Moonlight, libmodplug, VLC, HttpClient, Ruby on Rails, WordPress, rsyslog и Glibc

11.04.2011 21:50

Несколько недавно обнаруженных уязвимостей:

В браузерном плагине Moonlight со свободной реализацией технологии Silverlight найдено четыре уязвимости, среди который присутствуют проблемы, которые могут привести к выполнению кода злоумышленника и выходу за пределы изолированной виртуальной машины при открытии специальным образом оформленного контента. Проблемы исправлены в версии 2.4.1;
В libmodplug найдена критическая уявзимость, которая может быть использована для выполнения кода злоумышленника при обработке специальным образом оформленных S3M-файлов. Проблема исправлена в версии 0.8.8.2. Так как libmodplug используется в проекте VLC, то уязвимость затрагивает также пользователей данного медиаплеера;
В компоненте HttpClient из состава Apache HttpComponents найдена уязвимость, связанная с передачей при работе через прокси на конечный хост заголовка "Proxy-Authorization" в котором содержатся параметры аутентификации к прокси-серверу;
В форуме vBulletin найдена уязвимость, позволяющая осуществить подстановку SQL запроса из-за недостаточной проверки некоторых входящих параметров. Патч можно загрузить здесь;
Во фреймворке Ruby on Rails найдена уязвимость, позволяющая осуществить подстановку JavaScript кода на сайт из-за некорректной работы функции "auto_link". Проблема устранена в версии 3.0.6;
В релизе WordPress 3.1.1 решено несколько проблем безопасности, которые можно было использовать для вызова краха PHP-интерпретатора, осуществления межсайтового скриптинга (XSS) и CSRF-атак;
В rsyslog 5.6.4 устранено несколько DoS-уязвимостей, которые могли привести с исчерпанию всей доступной процессу памяти;
В GNU C Library найдена уязвимость, которая может быть использована для повышения привилегий приложений при достаточно маловероятных обстоятельствах. Проблема вызвана ненадлежащим квотингом вывода команды locale - злоумышленник может установить определенным образом переменные окружения и добиться запуска привилегированного скрипта, в котором вызывается команда locale. Проблема решена в Glibc 2.13.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/30204-security

Ключевые слова: security, Moonlight, VLC, WordPress, rsyslog, Glibc

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (5)

RSS

1.1, pavlinux (ok), 13:50, 12/04/2011 [ответить]	+1 +/–
А я Moonlight даже не видел. :/

2.3, анонимище (?), 14:37, 12/04/2011 [^] [^^] [^^^] [ответить]	+1 +/–
>А я Moonlight даже не видел. :/ +1. Даже и не собираюсь.

2.4, Avator (ok), 22:23, 12/04/2011 [^] [^^] [^^^] [ответить]	+/–
а я видел... пытался с помощью него посмотреть сайт "Ельцинской библиотеки"... которую с помпой открывали (Медвед был, Матвиенко и т.д).. лучше бы я этот moonlight не видел... очевидно, что Silverlight - не кросплатформенная технология...

3.5, анон (?), 23:33, 12/04/2011 [^] [^^] [^^^] [ответить]	+/–
> а я видел... пытался с помощью него посмотреть сайт "Ельцинской библиотеки"... которую > с помпой открывали (Медвед был, Матвиенко и т.д).. > лучше бы я этот moonlight не видел... > очевидно, что Silverlight - не кросплатформенная технология... Оно? http://www.prlib.ru/Pages/Default.aspx А еще они пишут, что им нужен для работы сайта жабоскрипт и пытаются выполнить редирект на страницу с сообщением, но сайт прекрасно паботает и без него, а редирект мозилла отлавливает :-) Странные люди..

1.2, FFASM (ok), 14:04, 12/04/2011 [ответить]	+/–
Не новость, а какая-то страшилка на ночь.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: