Переполнение динамической памяти при обработке LHA архивов в Dr.Web (эксплоит под Linux)

0

0

Уязвимость существует из-за ошибки при обработке LHA архивов, содержащих длинные имена директорий в расширенном заголовке директории. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Написан рабочий эксплоит для Dr.Web (R) Scanner for Linux v4.33 (4.33.0.09211).

>>> Подробности

Ссылка

←	Kerberos и электронная почта.

Ошибка обработки SCTP сокетов в ядре Linux

→

Нда, баг с распаковой bzip2 уже не котируется :-)

Все дружно обновляются

anonymous
(20.09.06 08:55:28 MSD)

Ответ на: комментарий от anonymous 20.09.06 08:55:28 MSD

>Все дружно обновляются

Да кто обновляется?
Им никто не пользуется.

ManJak ★★★★★
(20.09.06 08:56:02 MSD)

Ответ на: комментарий от ManJak 20.09.06 08:56:02 MSD

Да и куда? Авторы пока ничего не предпринял пока.

ManJak ★★★★★
(20.09.06 08:56:39 MSD)

Ответ на: комментарий от ManJak 20.09.06 08:56:02 MSD

s-max
(20.09.06 08:57:02 MSD)

Ссылка

Ответ на: комментарий от ManJak 20.09.06 08:56:39 MSD

>Да и куда? Авторы пока ничего не предпринял пока.

на clamav :)

mic ★★★★★
(20.09.06 09:04:16 MSD)

Ссылка

Кто этим lha пользуется?

anonymous
(20.09.06 09:44:51 MSD)

Ответ на: комментарий от anonymous 20.09.06 09:44:51 MSD

>Кто этим lha пользуется?

А головой думать пробовал? Может никто и не пользуется, но это не запрещает отправлять письма с lha архивом.

Dubrovsky ★
(20.09.06 10:00:18 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 09:44:51 MSD

Этим LHA пользуются те кто хочет запустить произвольный код на удалённой системе! ;)

anonymous
(20.09.06 10:00:23 MSD)

Ответ на: комментарий от anonymous 20.09.06 10:00:23 MSD

>Этим LHA пользуются те кто хочет запустить произвольный код на удалённой системе! ;)

Ну, хоть для чего-то он пригодился.
=))))))))))))

ЗЫ
Нежто, нужен этот антивирь?
Вирусов-то нет, а на сегодняшний день, получается, что вреда от него даже больше =)))))

ManJak ★★★★★
(20.09.06 10:19:21 MSD)

Ссылка

интересное средство предлагают для решения этой проблемы,

CheckArchives = No

что равносильно отключению проверки вообще. У меня через почтавик вирусы ходят в основном в архивах.

В общем новость херовая.

anonymous
(20.09.06 10:30:56 MSD)

Ссылка

ps: венде то теперь точно капец :)

anonymous
(20.09.06 10:31:31 MSD)

Ответ на: комментарий от anonymous 20.09.06 10:00:23 MSD

Вообще-то он запускается от своего пользователя. В принципе нехорошо - но не фатально =)

rusxakep ★
(20.09.06 10:38:01 MSD)

Ответ на: комментарий от rusxakep 20.09.06 10:38:01 MSD

согласен.

anonymous
(20.09.06 10:40:45 MSD)

Ссылка

Ответ на: комментарий от ManJak 20.09.06 08:56:02 MSD

>Все дружно обновляются

>Да кто обновляется? >Им никто не пользуется.

Действительно, неужели остались еще динозавры юзающие это...

anonymous
(20.09.06 11:05:38 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 09:44:51 MSD

NEC например - прошивки для приводов в нём пакует в sfx

botrops-schlegelii ★★
(20.09.06 11:07:20 MSD)

Ссылка

только что попробовал эксплойт

при drweb:x:500:500:Dr.Web(R) daemon account:/opt/drweb:/sbin/nologin

проверка выдает *** glibc detected *** double free or corruption (!prev): 0x093c4ab8 *** Aborted

никакого shell не предоставляется!

anonymous
(20.09.06 11:21:40 MSD)

Ответ на: комментарий от anonymous 20.09.06 11:21:40 MSD

> проверка выдает *** glibc detected *** double free or corruption (!prev): 0x093c4ab8 *** Aborted

И наверняка drweb подыхает :) Мелочь, а приятно :)

zenith ★★★
(20.09.06 11:27:02 MSD)

Ответ на: комментарий от zenith 20.09.06 11:27:02 MSD

не почтовый демон после этого выжил! а почему ты так не любишь drweb?

anonymous
(20.09.06 11:32:32 MSD)

Ответ на: комментарий от anonymous 20.09.06 09:44:51 MSD

>Кто этим lha пользуется?

awardовские биосы им упаковываются

arax ★★
(20.09.06 11:36:23 MSD)

Ссылка

а зачем он нужен, когда есть clamav?

anonymous
(20.09.06 12:20:53 MSD)

Ответ на: комментарий от ManJak 20.09.06 08:56:02 MSD

Держу только для проверки базы виндовых прог.

post-factum ★★★★★
(20.09.06 12:23:08 MSD)

Ответ на: комментарий от post-factum 20.09.06 12:23:08 MSD

Я вообще не пользуюсь, отсюда вопрос:

А claimav не умеет?
Вроде он ближе к нам =)

ManJak ★★★★★
(20.09.06 12:54:06 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 11:32:32 MSD

>не почтовый демон после этого выжил! а почему ты так не любишь drweb?
Потому, что это говно.

anonymous
(20.09.06 13:03:27 MSD)

Ответ на: комментарий от anonymous 20.09.06 13:03:27 MSD

Ногами не пинайте, но Подоконники говорят, что Двэб лучший =)
По мне, конечно пофигу, вирус еще написать надо =)

ManJak ★★★★★
(20.09.06 13:31:57 MSD)

Ссылка

Весь японский софт

Все патчи для японского софта

Любые документы, запаковынные в японии.

ТОЛЬКО lha. Да, жмет плохо. Да, программ мало. Да, мало метаинформации в архивах. Но это из той же серии, почему в России почти все используют ICQ, несмотря на существование более прямых сетей, или почему у нас так много людей любит RAR, когда в остальной части света фаворитом является ZIP. Вот в японии - все жмут только с помощью LHA.

anonymous
(20.09.06 15:36:07 MSD)

Ответ на: комментарий от anonymous 20.09.06 09:44:51 MSD

> Кто этим lha пользуется?

Те, кто хотят удаленно поиметь сервер, на котором стоит drweb?

dmesg
(20.09.06 15:38:48 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 12:20:53 MSD

То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат. Вот, к примеру, у любимого Вами clamav такое случается не реже одного раза в месяц и, похоже, это не излечимо. Назовите хотя бы одну серьезную организацию, которая использует clamav как корпоративное решение.

anonymous
(20.09.06 16:12:29 MSD)

Ответ на: комментарий от anonymous 20.09.06 16:12:29 MSD

>То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат

может не искал никто, или очень мало искали

Firestorm
(20.09.06 16:42:13 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 10:31:31 MSD

> ps: венде то теперь точно капец :)

Не это пингвиньим админчегам и бсдунам писец пришел. Раз-два-три-четыре-пять мы идем вас всех рутать. Кто не спрятался - сам и виноват. :)

anonymous
(20.09.06 18:16:42 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 16:12:29 MSD

> То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат.

Угу остальные используемые для взлома уязвимости в закрытом коде drweb пока еще не обнаружились. Действительно это очень хороший результат. :)

anonymous
(20.09.06 18:20:16 MSD)

Ссылка

Ответ на: комментарий от anonymous 20.09.06 15:36:07 MSD

Это у тебя взгляд на вещи кривой :)
ZIP-ом пользуются потому что он везде есть - и в том числе в XP например !
А так по степени сжатия и фичам ZIP совершенно не может конкурировать против RAR или ACE.
Взять например многотомные архивы в ZIP - они вообще есть ? Их кто-нибудь поддерживает ? А создание архивов больше 2 Gb ?

odip ★★
(21.09.06 08:34:35 MSD)

Ответ на: комментарий от odip 21.09.06 08:34:35 MSD

>Взять например многотомные архивы в ZIP - они вообще есть ?

Ты чего, они еще были когда ты пешком под стол ходил....

2All:Нафига спрашивается придумали SELinux ?

anonymous
(21.09.06 23:15:13 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Kerberos и электронная почта.

Безопасность

Ошибка обработки SCTP сокетов в ядре Linux

→

Похожие темы