A PHP Error was encountered

Severity: 8192

Message: mysql_escape_string(): This function is deprecated; use mysql_real_escape_string() instead.

Filename: mysql/mysql_driver.php

Line Number: 319

Обнаружены Уязвимости в Cyrus IMAPd, Spring Framework, rsyslog, KMPlayer, CUPS, OpenTTD, Wireshark, Tomcat, librsvg и QEMU

Обнаружены Уязвимости в Cyrus IMAPd, Spring Framework, rsyslog, KMPlayer, CUPS, OpenTTD, Wireshark, Tomcat, librsvg и QEMU


Рубрика: Новости Linux
Метки: | | | | | | | | |
Просмотров: 3298

Несколько свежих уязвимостей 2:

В nntpd из состава пакета Cyrus IMAPD обнаружена критическая уязвимость, дающая возможность удаленному злоумышленнику сделать собственный код на сервере ч/з передачу специально оформленных NNTP-команд. Трудность устранена в выпусках 2.4.11 и 2.3.17;

В Spring Framework найдены 2 уязвимости. I-я уязвимость дает возможность из-за ошибке в коде десериализации объектов добиться исполнения собственного кода или обойти механизмы аутентификации. II-ая уязвимость, из-за ошибки в коде вычисления блоков Expression Language (EL) в тегах и контейнерах MVC, дает возможность определить идентификаторы сессии или путь к классам и рабочим директориям. Трудность устранена в версии 3.0.6;

В rsyslog найдена уязвимость, дающая возможность потенциально добиться исполнения кода при передаче чересчур длинного тега в legacy syslog-сообщении. Трудность устранена в версиях 4.6.8 и 5.8.5;

В мультимедиа проигрывателе KMPLAYER найдена уязвимость, дающая возможность сделать код злоумышленника при открытии специально оформленного плейлиста в формате KPL;

В системе печати CUPS обнаружена уязвимость, которая может привести к выполнению кода при обработке специально оформленных файлов в формате GIF. Трудность пока исправлена лишь в SVN-репозитории;

В многопользовательской игре OPENTTD найдено 7 уязвимостей, которые дают возможность организовать исполнение кода удаленного злоумышленника ч/з передачу специально скомпонованных значений для нескольких команд. Трудность устранена в OPENTTD 1.1.3-RC1;

В сетевом анализаторе Wireshark найдены 3 уязвимости: зацикливание или провал при обработке IKE-пакетов, провал при обработке некорректных таких дисектором CSN.1, вероятность организации запуска произвольных скриптов на языке Lua ч/з атаку по подстановке разделяемых библиотек. Сложности исправлены в версиях 1.4.9 и 1.6.2;

В Apache Tomcat найдена уязвимость, дающая возможность осуществить подстановку AJP-сообщений и обойти ограничения механизма аутентификации. Уязвимы лишь системы не использующие коннектор org.apache.jk.server.JKCOYOTEHANDLER, принимающие POST-запросы и не обрабатывающие опциональное тело запроса (request body). Проблем устранена в версиях 7.0.21, 5.5.34 и 6.0.34;

В библиотеке librsvg, развиваемой в рамках проекта GNOME, найдена уязвимость, дающая возможность добиться исполнения кода при открытии в использующем библиотеку приложении специально оформленного SVG-файла. Трудность устранена в версии 2.34.1;

В QEMU найдена уязвимость, дающая возможность начать провал гостевого окружения локальным пользователем из этой гостевой системы, ч/з отправку SCSI-подсистеме специально оформленной команды "READ CAPACITY";