The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Chrome, ClamAV, Asterisk, GnuTLS, libzip, InspIRCd, Quagga, Gnash и LibreOffice

22.03.2012 21:41

Несколько недавно найденных уязвимостей:

  • Компания Google представила корректирующий выпуск web-браузера Chrome 17.0.963.83, в котором устранено 9 уязвимостей, из которых 6 помечены как опасные. В рамках программы выплаты вознаграждений за выявленные уязвимости исследователям безопасности выплачено 5.5 тысяч долларов: одна премия 2000$, одна 500$ и три премий по 1000$;
  • Сообщается о наличии в свободном антивирусном пакете ClamAV пяти опасных уязвимостей. В уведомлении утверждается, что проблемы проявляются в релизе ClamAV 0.96.4, вероятно имеет место опечатка и подразумевается 0.97.4. Уязвимости позволяют совершить атаку на сервер путем отправки специальным образом оформленных файлов TAR, RAR и CHM;
  • В Asterisk найдена опасная уязвимость в коде управляющего web-интерфейса, успешная эксплуатация которой может привести к выполнению кода злоумышленника на сервере при отправке специально оформленного "HTTP Digest" запроса аутентификации. Проблема наблюдается в ветках 1.8.x и 1.10.x и исправлена в релизах 1.8.10.1 и 10.2.1;
  • В релизах пакета GnuTLS 2.12.18 и 3.0.16 устранено две уязвимости. Уязвимость в коде расшифровки блочных шифров при обработке TLS-записей может привести к выполнению кода злоумышленника при отправке специально оформленной структуры "GenericBlockCipher". Вторая проблема присутствует в библиотеке libtasn1 и может привести к выполнению кода при обработке специально оформленного сертификата X.509;
  • В библиотеке libzip 0.10.1 устранены две уязвимости, каждая из которых может привести к переполнению буфера и выполнению кода злоумышленника при обработке специально скомпонованных ZIP-файлов;
  • В IRC-сервере InspIRCd найдена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику выполнить свой код на сервере путем манипуляции c DNS. Проблема присутствует в последнем выпуске 2.0.5. Проблема исправлена в GIT-репозитории проекта;
  • В свободном пакете с реализацией протоколов маршрутизации Quagga 0.99.20.1 устранено 3 уязвимости, две в ospfd и одна в bgpd. Подробности об опасности проблем не сообщаются, но не исключена возможность удалённой эксплуатации уязвимостей;
  • В свободном Flash-плеере GNU Gnash выявлена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла. Проблема подтверждена в версии 0.8.10 и пока устранена только в Git-репозитории проекта;
  • В вышедшем сегодня корректирующем выпуске LibreOffice 3.4.6 устранена потенциальная уязвимость, подробности о которой пока не афишируются. Судя по списку изменений в новой версии устранено несколько крахов, которые могут быть инициированы через открытие специально оформленных документов или при обработке XML-данных. Возможно проблема имеет связь с недавно устранённой уязвимостью в Apache OpenOffice, позволяющей организовать утечку содержимого ODF-документов при запуске специально сформированных внешних XML компонентов.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33426-security
Ключевые слова: security, chrome, clamav, asterisk, gnutls, libzip, inspircd, quagga, gnash, b, libreoffice
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 123 (??), 23:27, 22/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Имхо-предположение, в 3.5 ветке LO, сделано несколько значимых регрессий  в Calc по сравнению с 3.4, предположение основано на открытии xls-файлов, сгенеринных в ОдноЭс. В LO 3.3 все гуд, в 3.4 форматирование в жопе, в 3.5 все снова гуд.
    Сменить одноэс на <тут должна быть ваша реклама> не предлагать. К слову, в ОО 3.3 тоже все гуд.
     
     
  • 2.4, x0r (??), 01:09, 23/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сам понял, что написал?
     
  • 2.10, guest (??), 09:35, 23/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    в 3.5 починили 1с'вское сохранение xls, я правильно понял ? Надо будет потестить.
     
     
  • 3.15, Аноним (-), 13:06, 23/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не починили.
     
     
  • 4.16, qwerty (??), 17:19, 23/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Таки починили в большинстве своем
     
  • 2.20, Aleks Revo (?), 02:57, 26/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если исправление ошибок версии 3.4 назвать регрессией, то я даже не знаю, куда мир катится
     

  • 1.3, iZEN (ok), 01:05, 23/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Пишу из chromium 17 0 963 83, собранного из порта www chromium FreeBSD 9-STABLE ... большой текст свёрнут, показать
     
     
  • 2.21, Аноним (-), 03:31, 26/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В следующий раз не забудь свопфайл приаттачить.
     

  • 1.8, Аноним (-), 02:33, 23/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >В свободном Flash-плеере GNU Gnash выявлена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленного SWF файла.

    О, а вот и дырки драного флеша полезли в открытые аналоги. Flash - небезопасная недотехнология.

     
     
  • 2.11, Аноним (-), 09:36, 23/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это не объясняет наличие дыр в остальном по.
     
     
  • 3.19, СлаваТруду (ok), 00:58, 26/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ага, тем более в хроме

     

  • 1.13, kde (??), 10:34, 23/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пока остальные матерятся пользователи altlinux перемещают указанное ПО в хешер :)
     
     
  • 2.22, Аноним (-), 03:32, 26/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока остальные матерятся

    А чего материться то? Апдейтики уже прилетели.

     

  • 1.14, Аноним (-), 11:21, 23/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на http://www.clamav.net/lang/en/download/sources/ (последний
    стабильный) раздают версию 0.97.4.
    А ветка 0.96.4 была еще 2010-10-25.
    Кто-то явно долго спал...
     
     
  • 2.18, Аноним (-), 00:27, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > на http://www.clamav.net/lang/en/download/sources/ (последний
    > стабильный) раздают версию 0.97.4.
    > А ветка 0.96.4 была еще 2010-10-25.
    > Кто-то явно долго спал...

    Похоже на опечатку, CVE от 2012 года.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру