Версия для Ъ
>>Несколько свежих уязвимостей: > В KDE 4.4.0 обнаружена уязвимость, позволяющая инициировать крах хранителя экрана и осуществить вход в заблокированное пользовательское окружение без ввода пароля; > В реализации команды sudoedit из комплекта sudo, позволяющей редактировать файлы в привилегированном режиме, найдена уязвимость, позволяющая локальному пользователю выполнить код с привилегиями суперпользователя. Для удачной эксплуатации уязвимости необходимо, чтобы пользователю были назначены права запуска «sudoedit» и чтобы вызов sudoedit был прописан в файле sudoers без указания полного пути. Проблема исправлена в sudo 1.6.9p21 и 1.7.2p4; > В PDNS-Admin 1.1.8, web-интерфейсе для управления DNS-сервером PowerDNS, найдена уязвимость, позволяющая злоумышленнику получить содержимое любого файла на сервере, через передачу специальным образом оформленной переменной «lang»; > В Asterisk 1.6.0.25, 1.6.1.17 и 1.6.2.5 исправлено две уязвимости: ошибка в парсере ACL может быть использована подключения к системе с запрещенных через список доступа адресов; возможность осуществления непредусмотренных диалпланом настроек, через подстановку строки, в случае использования в правилах диалплана переменной ${EXTEN}; > В открытом пакете для организации инвентаризации оборудования OCS Inventory NG найдена возможность подстановки SQL-кода на сервере через поле «login»; > В системе управления web-контентом TYPO3 найдено 4 уязвимости, позволяющие злоумышленнику получить доступ к скрытым данным, осуществить подстановку JavaScript кода, организовать межсайтовый скриптинг и обойти некоторые ограничения безопасности. Проблемы исправлены в версии 4.3.2.
