The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в ClamAV, OpenSSL, BIND, Kerberos, Gnash, NetBSD и WordPress

03.12.2010 15:19

Несколько недавно обнаруженных уязвимостей:

  • В вышедшем на днях релизе свободного антивирусного пакета ClamAV 0.96.5 устранено 2 уязвимости, потенциально позволяющие организовать выполнение кода злоумышленника: удаленный вызов краха процесса clamd при проверке специально оформленных PDF-файлов и переполнение буфера в функции "icon_cb()";
  • В релизе OpenSSL 1.0.0c устранены две уязвимости: возможность использования прошлой версии набора шифров через изменение прокэшированных параметров TLS/SSL сессии; ошибка в реализации протокола аутентификации J-PAKE позволяет сгенерировать предсказуемый сессионный ключ и успешно пройти аутентификацию;
  • В DNS-сервере BIND 9.6.2-P3 и 9.7.2-P3 устранено 3 уязвимости, позволяющие инициировать удаленный отказ в обслуживании, вызвать пометку в DNSSEC валидной DNS-зоны как небезопасной и обойти "allow-query" ограничение ACL;
  • В MIT Kerberos обнаружены 7 уязвимостей, которые позволяют осуществить подстановку данных (спуфинг), повысить свои привилегии и обойти некоторые ограничения безопасности. Исправление пока доступно только в виде патчей;
  • В свободном Flash-плеере Gnash найдена уязвимость, связанная с некорректным созданием временных файлов, что может быть использовано злоумышленником для подмены временного файла на символическую ссылку с целью повреждения определенных файлов другого пользователя;
  • В IPv6-стеке NetBSD найдена уязвимость, позволяющая вызвать отказ в обслуживании через отправку специально оформленного UDP6-пакета;
  • В релизе системы управления web-контентом WordPress 3.0.2 устранена уязвимость, позволяющая аутентифицированному пользователю CMS с правами автора ("Author-level") совершить подстановку SQL-кода через форму отправки комментария.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28877-security
Ключевые слова: security, bind, wordpress, clamav, kerberos, netbsd, openssl, gnash
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (-), 17:47, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    О, в Gnash уже находят уязвимости? Это хорошо. Значит, альтернатива Adobe Flash выходит адекватная)
     
     
  • 2.10, dimqua (ok), 23:11, 03/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Это дебианщики нашли, а не разработчики. Поэтому не факт, что они им вообще занимаются.
     
     
  • 3.18, Mna (??), 09:47, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    хоть Gnash и в приоритетном списке ГНУ, денег у них нет, спонсор ушел, и в последний год они им меньше занимаются. А дебиан - единственный интегрирующий в систему. наверное потому и нашли
     

  • 1.5, Alen (??), 18:42, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    PDF до того агрессивный, что валит даже антивирусы :)
     
  • 1.9, Аноним (-), 21:17, 03/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Flash-плеере Gnash найдена уязвимость, связанная с некорректным созданием временных файлов, что может быть использовано злоумышленником для подмены временного файла на символическую ссылку с целью повреждения определенных файлов другого пользователя

    Если я не имею доступа к файлам другого пользователя, то почему запущенный мною Flash-плеере имеет к ним доступ ? Он что сам себе привелегии повышает ?

     
     
  • 2.11, pavlinux (ok), 01:14, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Приз за комментарий недели! :)

     
     
  • 3.20, Аноним (-), 21:24, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по Вашему ответу, я задал наивный вопрос (не коментарий). Пусть так. Но это не прибавляет мне понимания что _акцент_ делается на обнаружении уязвимости в Flash-плеере Gnash. Меня больше заинтересовал вопрос - а зачем эта программа повыщает себе привелегии ? Не повышала бы, так и уязвимость не была бы критичной


     
     
  • 4.21, SubGun (??), 21:46, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не обращайте на него внимания, pavlinux вечно строит из себя умника, хотя гнобят его за глупость постоянно.
     
  • 2.12, б.б. (?), 02:59, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Через уязвимость в OpenSSL, ClamAV или в NetBSD
     

  • 1.13, ананим (?), 08:25, 04/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот думаю, а так ли уж нужен мне кламав на сервере для проверки почты?
    а вообще в этом что-то забавное есть - основные дыры в антивирусе.
     
     
  • 2.14, Xaionaro (ok), 08:58, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Мой отец с моего раннего детства твердил мне, что в _любой_ программе есть ошибка, если подобрать нужные условия. Т.е. получается, что если избавляться от всего того, что имеет удалённые дыры, то тогда лучше сразу отключиться от доступа в Интернет. ;)

    Вы лучше оценивайте по оперативности и квалифицированности реакции на багрепорты - это, IMHO, намного более показательный показатель (извиняюсь за стилистику).

    И я не пытаюсь оправдать ClamAV, я с ним тоже в своё время напарился достаточно. Однако не стоит от него отказываться исходя только из данной новости ;)

     
     
  • 3.19, ананим (?), 10:53, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    удачи вашему папе и всё такое.
    >И я не пытаюсь оправдать ClamAV, я с ним тоже в своё время напарился достаточно. Однако не стоит от него отказываться исходя только из данной новости ;)

    если бы только эта новость.
    последний год каждый месяц подобные сюрпризы. то ли после продажи, то ли после перетряса с новыми возможностями типа ллвм, но регулярные дыры (даже так - дырищи) уже стали традицией.
    зы:
    и вы ниже не правы
    >Обычно, люди, которые могут придумать, как нужно сформировать pdf-файл, чтобы clamav таким образом отреагировал,

    чтобы использовать дыру (пусть и найденную супер-дупер спецом) особого ума не нужно.
    более того, как раз эксплуатируют их довольно посредственные личности.
    и кто даст гарантию, что эта дыра не используется уже некоторое время?
    поэтому и закономерный вопрос, что безопаснее - использовать ли данное средство безопасности или отказаться от него вообще.

     
     
  • 4.22, SubGun (??), 21:51, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если вам кажется, что вас постоянно атакуют кул-хацкеры, то это к врачу.
    Я с кламава перелез на касперского, но пока использовал кламав особо не заморачивался с обновлениями программы. И ничего, жив-здоров. Паранойя нужна там, где ваши яйца на одной чаше весов, а безопастность сервера - на другой. Остальное от лукавого.
     
  • 4.26, Xaionaro (ok), 23:14, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > удачи вашему папе и всё такое.
    >>И я не пытаюсь оправдать ClamAV, я с ним тоже в своё время напарился достаточно. Однако не стоит от него отказываться исходя только из данной новости ;)
    > если бы только эта новость.
    > последний год каждый месяц подобные сюрпризы. то ли после продажи, то ли
    > после перетряса с новыми возможностями типа ллвм, но регулярные дыры (даже
    > так - дырищи) уже стали традицией.

    Ну дак так и надо обосновывать свой пост, а не опираться лишь на данную новость.

    > зы:
    > и вы ниже не правы
    >>Обычно, люди, которые могут придумать, как нужно сформировать pdf-файл, чтобы clamav таким образом отреагировал,
    > чтобы использовать дыру (пусть и найденную супер-дупер спецом) особого ума не нужно.

    Хм, залесть в код, найти случайным образом нетривиальную ошибку, использую которую сформировать соответствующий pdf... ну, конечно не надо быть гением, но надо быть неплохим специалистом.

    > более того, как раз эксплуатируют их довольно посредственные личности.
    > и кто даст гарантию, что эта дыра не используется уже некоторое время?

    Это только в случай, если эксплойт соответствующий данной дыре давно опубликован, как то бывает очень часто со всякой проприетарщиной (я не хочу холиварить, просто сложно написать патч к программе, код которой закрыт).

    > поэтому и закономерный вопрос, что безопаснее - использовать ли данное средство безопасности
    > или отказаться от него вообще.

    Я согласен, что clamav кривоват, и в принципе, есть смысл задуматься о том, чтобы отказаться он него. Но не на основе лишь данной новости... Кстати говоря, если контора не слишком большая, то, IMHO, пока ещё рано отказываться от clamav.

     
  • 2.15, Хацкер294 (?), 09:00, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, уже в который раз задумываюсь, а не снести ли его нафиг. Частенько в нем находят неприятные баги, а он ведь у хацкеров как на ладони, если к почтовому сервису прикручен.
     
     
  • 3.16, Xaionaro (ok), 09:04, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, уже в который раз задумываюсь, а не снести ли его нафиг.
    > Частенько в нем находят неприятные баги, а он ведь у хацкеров
    > как на ладони, если к почтовому сервису прикручен.

    Обычно, люди, которые могут придумать, как нужно сформировать pdf-файл, чтобы clamav таким образом отреагировал, являются хорошими специалистами, которые зарабатывают нормальные белые деньги, а не страдают фигнёй дома весь день на пролёт. Если у вас не слишком большая контора и вы вовремя обновляетесь, то, крайне маловероятно, что вас взломают через clamav)

     
     
  • 4.17, Хацкер294 (?), 09:28, 04/12/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот так и появляются ботнеты, потому что многие считают, что это маловероятно, это не никогда не случится со мной и т. п. Такова человеческая природа, но закон Мерфи гласит, если какая-нибудь неприятность может случиться, то она случается. :)

    А clamav, реально похоже дальний родственник proftpd и php. :)

     
     
  • 5.24, Pahanivo (ok), 22:42, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот так и появляются ботнеты, потому что многие считают, что это маловероятно,
    > это не никогда не случится со мной и т. п. Такова
    > человеческая природа, но закон Мерфи гласит, если какая-нибудь неприятность может случиться,
    > то она случается. :)

    основные доноры ботнетов это win-юзерасты

     
  • 5.25, Xaionaro (ok), 23:05, 05/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот так и появляются ботнеты, потому что многие считают, что это маловероятно,
    > это не никогда не случится со мной и т. п. Такова
    > человеческая природа, но закон Мерфи гласит, если какая-нибудь неприятность может случиться,
    > то она случается. :)
    > А clamav, реально похоже дальний родственник proftpd и php. :)

    Не надо сравнивать "забыл сменить заводской пароль на собственный" (бот-нет на основе некоторых роутеров) или "я люблю порносайты, но не люблю антивирусники, т.к. они тормозят компьютер" с "сервером на основе того же centos, ПО на котором _вовремя_ обновляется, где каждый процесс работает из под соответствующего uid-а, который закрыт фаерволлом и который админится достаточно пряморуким админом, который в свою очередь в случай падения clamav попытается провести расследование".

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру