LINUX.ORG.RU

[opennet][РЕШЕТО]Уязвимости в KDE, sudo, PDNS-Admin, Asterisk, OCS Inventory NG и TYPO3


0

0

Версия для Ъ

>>Несколько свежих уязвимостей:

> В KDE 4.4.0 обнаружена уязвимость, позволяющая инициировать крах хранителя экрана и осуществить вход в заблокированное пользовательское окружение без ввода пароля;

> В реализации команды sudoedit из комплекта sudo, позволяющей редактировать файлы в привилегированном режиме, найдена уязвимость, позволяющая локальному пользователю выполнить код с привилегиями суперпользователя. Для удачной эксплуатации уязвимости необходимо, чтобы пользователю были назначены права запуска «sudoedit» и чтобы вызов sudoedit был прописан в файле sudoers без указания полного пути. Проблема исправлена в sudo 1.6.9p21 и 1.7.2p4;

> В PDNS-Admin 1.1.8, web-интерфейсе для управления DNS-сервером PowerDNS, найдена уязвимость, позволяющая злоумышленнику получить содержимое любого файла на сервере, через передачу специальным образом оформленной переменной «lang»;

> В Asterisk 1.6.0.25, 1.6.1.17 и 1.6.2.5 исправлено две уязвимости: ошибка в парсере ACL может быть использована подключения к системе с запрещенных через список доступа адресов; возможность осуществления непредусмотренных диалпланом настроек, через подстановку строки, в случае использования в правилах диалплана переменной ${EXTEN};

> В открытом пакете для организации инвентаризации оборудования OCS Inventory NG найдена возможность подстановки SQL-кода на сервере через поле «login»;

> В системе управления web-контентом TYPO3 найдено 4 уязвимости, позволяющие злоумышленнику получить доступ к скрытым данным, осуществить подстановку JavaScript кода, организовать межсайтовый скриптинг и обойти некоторые ограничения безопасности. Проблемы исправлены в версии 4.3.2.

http://www.opennet.ru/opennews/art.shtml?num=25611

> В KDE 4.4.0 обнаружена уязвимость, позволяющая инициировать крах хранителя экрана и осуществить вход в заблокированное пользовательское окружение без ввода пароля;

помнится кедерасты смеялись с подобной ошибки в гноме...

lester ★★★★ ()
Ответ на: комментарий от lester

> помнится кедерасты смеялись с подобной ошибки в гноме...

Дада, помним :3 правда у себя я такого бага не обнаружил, может к тому времени уже апдейт пришел.

pevzi ★★★★★ ()
Ответ на: комментарий от Black_Shadow

>Над гномом грех не поржать
Тебя не учили, что смеяться над инвалидами - нехорошо?

root_at_localhost ★★★ ()
Ответ на: комментарий от root_at_localhost

>Тебя не учили, что смеяться над инвалидами - нехорошо?

Кстати скоро будет новая версия - инвалид3. Она будет еще инвалидистее и распугает всех врачей.

Pavval ★★★★★ ()
Ответ на: комментарий от Pavval

>Кстати скоро будет новая версия - инвалид3. Она будет еще инвалидистее и распугает всех врачей.
Не, мутант4 уже всех распугал.

anotheranonymous ()

>чтобы пользователю были назначены права запуска «sudoedit»

Ставьте мандриву, в ней юзер по умолчанию не входит в группу судоеров.

abraziv_whiskey ★★★★★ ()
Ответ на: комментарий от anotheranonymous

>>Кстати скоро будет новая версия - инвалид3. Она будет еще инвалидистее и распугает всех врачей.

Не, мутант4 уже всех распугал.


s/мутант4/мутант-2/

Pavval ★★★★★ ()
Ответ на: комментарий от Pavval

> s/мутант4/мутант-2/

Ну уж нет, мутант-то как раз 4.

pevzi ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.