Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Linux ядре


Рубрика: Новости Linux
Метки: | | | | |
Просмотров: 4609

Ряд новых уязвимостей:

* В системе управления web-контентом Typo3 найдено 7 уязвимостей, средь которых есть серьезная проблема - возможность исполнить подстановку SQL кода аутентифицированным пользователем. Другие проблемы связаны с совершением XSS атак (межсайтовый скриптинг), обходом механизмов контроля доступа и возможностью выполнить shell-скрипты на сервере, при наличии редакторского уровня доступа и установке стороннего upload-расширений. С исправлением проблем в экстренном порядке выпущены версии 4.1.13, 4.2.10 и 4.3beta2.

* В открытой игре Alien Arena найдена критическая уязвимость, позволяющая злоумышленнику выполнить свой код на игровом сервере, отправив специально модифицированный UDP-пакет на сетевой порт 27901. Трудность испрошена в выпуске 7.31;

* В продуктах Oracle найдено 14 новых уязвимостей, средь которых присутствуют ошибки, позволяющие выполнить код злоумышленника или обрести доступ на изменение или чтение закрытых данных;

* В свободном пакете для web-аналитики Piwik (позиционируется как свободная альтернатива сервису Google Analytics) зафиксирована критическая уязвимость, позволяющая любому имеющему доступ к статистике посетителю выполнить личный код на сервере, через загрузку через web-форму файла с расширением php и его последующего запроса. Трудность устранена в выпуске Piwik 0.44;

* В VMware ESX Server устранено ряд опасных уязвимостей, позволяющих локальному пользователю потребовать отказ в обслуживании, увеличить свои привилегии в системе, обойти ограничения безопасности и получить вход к закрытым данным;

* Три уязвимости зафиксированы в коде Linux ядра:

o Вызов отказа в обслуживании через выполнения через функцию unix_stream_connect() некорректных операций с сокетами;

o Возможность доступа к участку памяти ядра из-за ненадлежащей очистки структуры "tcm__pad2", используемой в функции "tcf_fill_node()";

o Вызов краха ядра и потенциальная возможность повышения привилегий в системе из-за ошибки в функции "get_instantiation_keyring()". Из за трудности эксплуатации уязвимостям присвоен незначительный уровень опасности.


  • Комментариев: 0

  • Вконтакте

  • Facebook:

    Оставьте комментарий!

    grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

    Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

    Имя и сайт используются только при регистрации

    Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

    Авторизация 

    MaxSiteAuth.

    (обязательно)