The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Xen, KVM, Bogofilter, ownCloud, MediaWiki и Dovecot

04.12.2012 10:17

Несколько недавно обнаруженных уязвимостей:

  • Опубликована информация об исправлении в Xen семи уязвимостей ("XSA-26", "XSA-27", "XSA-28", "XSA-29", "XSA-30", "XSA-31", "XSA-32" ), которые могут привести к инициированию отказа в обслуживании хост-системы из гостевого окружения. Для двух уязвимостей (XSA-32, XSA-29) не исключается возможность инициирования администратором гостевого PV-окружения выполнения кода на стороне хост-системы. Исправления пока доступны в виде патчей;
  • В системе для блокирования спама Bogofilter 1.2.3 устранена уязвимость в компоненте bogolexer, которая может привести к переполнению кучи при обработке специально оформленной в обрабатываемом сообщении вставки в формате base64;
  • В корректирующих выпусках открытой платформы для организации хранения, синхронизации и обмена данными ownCloud 4.5.2 и 4.0.9 устранено несколько уязвимостей, две из которых могут привести к организации выполнения кода через манипуляции с /lib/migrate.php и /lib/filesystem.php;
  • В MediaWiki 1.18.6, 1.19.3 и 1.20.1 устранены две уязвимости (1, 2). Первая проблема позволяет организовать перехват сессионных данных, если пользователь осуществил вход, перейдя по специально оформленной злоумышленником ссылке. Вторая проблема даёт возможность заблокировать доступ к странице с последними изменениями ("Special:RecentChanges");
  • В IMAP-сервере Dovecot устранена уязвимость, которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.

Дополнение: В вышедших сегодня обновлениях ядра Linux 3.6.9 и 3.4.21 устранена уязвимость в механизме виртуализации KVM (CVE-2012-4461), позволяющая непривилегированному злоумышленнику из гостевого окружения инициировать крах ядра хост-системы.

  1. OpenNews: Релиз системы виртуализации Xen 4.2.0
  2. OpenNews: Уязвимость в Xen, позволяющая получить доступ к ресурсам хост-системы
  3. OpenNews: Первый релиз операционной системы Qubes, использующей Xen для изоляции приложений
  4. OpenNews: Опасные уязвимости в Xen и FreeBSD, проявляющиеся на 64-разрядных CPU Intel
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35493-xen
Ключевые слова: xen, security, owncloud, mediawiki, dovecot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ананим (?), 10:42, 04/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В IMAP-сервере Dovecot устранена уязвимость, которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.

    дык уже и 2.1.12 относительно давно есть…
    если уж сидишь на 2.1 версии, то обновляйся

     
     
  • 2.16, Аноним (-), 19:14, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что плохого скажете о Zimbra? Выбираем сейчас.
     
     
  • 3.19, commiethebeastie (ok), 19:45, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Клиент тяжелый, а MAPI платный.
     
     
  • 4.20, Аноним (-), 20:21, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ... Или web.
     
     
  • 5.21, Andrey Mitrofanov (?), 20:31, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ...

    Можно.... Если Сверхчеловеки и Высокие Профессоналы, которые его админят, соизволят "запустить" на нём imap _и smtp, _и дать тебе доступ, и если _потом, не найдётся какая-нибудь причина их снова отключить совсем и навсегда. Вирусы, например, да.

    > Или web.

    OWA, да, это серьёзно. Почти как "чтоб тебе жить на одну зарплату".

     
     
  • 6.27, ананим (?), 03:58, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Э-э-э... человек про зимбру говорил, а не про эксченч.
     
  • 3.29, ананим (?), 05:25, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Что плохого скажете о Zimbra? Выбираем сейчас.

    ничего плохого не скажу.
    кроме того, что коннектор к оутлуку платный.

     
  • 3.30, zystem (ok), 15:50, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что плохого скажете о Zimbra? Выбираем сейчас.

    Клиент лучше вообще не использовать. Он почти идентичен web-интерфейсу но тяжелее.
    Нормально прикручивается тот-же thunderbird. Причем возможно прикрутить Lightning для задач и календарей. И Contacts Sidebar для общей адресной книги из ldap.
    MAPI только в платной версии.
    Сам сервер тяжелый. Пришлось выделить отдельный сервер под zimbra.
    Задачи и календари реализованы по минимуму. До функционала exchange не дотягивают. Для групповой работы лучше смотреть какое нибудь groupware.
    Как именно почтовый сервер очень неплох. Основное достоинство GUI. В смысле web интерфейс для администрирования.
    Ничего более близкого по функционалу к exchange найти не удалось.

     

  • 1.2, Аноним (-), 11:12, 04/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за всем... А уже четвёртая версия...
     
     
  • 2.3, savant (ok), 11:37, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё потому, что пишут на Си.
     
     
  • 3.6, Аноним (-), 12:43, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы так говорите как будто делать баги - привиления сишных программеров :). А медиа-вики на пыхе, что им почему-то не помешало. Да даже вон питонисты со своей Zope-ой баги сажают.
     
     
  • 4.7, ананим (?), 13:00, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ага.
    И даже новости про то, что плагин жабы стал основным средством распространенич вирусти таким троллям тоже не помеха.
     
     
  • 5.10, pavel_simple (ok), 14:33, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага.
    > И даже новости про то, что плагин жабы стал основным средством распространенич
    > вирусти таким троллям тоже не помеха.

    а на чём написан плагин ?

     
     
  • 6.12, Аноним (-), 14:40, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    На С.
     
  • 6.14, Аноним (-), 14:43, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ага.
    >> И даже новости про то, что плагин жабы стал основным средством распространенич
    >> вирусти таким троллям тоже не помеха.
    > а на чём написан плагин ?

    Подойдем с другой стороны: на чем написана эта вирусня?

     
  • 6.15, ананим (?), 14:54, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >а на чём написан плагин ?

    мне в общем пофигу на чём вы словите эпикфэйл — на том что «жаба дырявая» или на том что «жаба дырявая, т.к. написана на С».

     
  • 3.11, Аноним (-), 14:40, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Всё потому, что пишут на Си.

    Точно. А надо - на баше. Прозрачно, удобно, безопасно.
    Аналогично, и в ядре Linux дыр так много, потому что на сях, а не на баше.

     
  • 3.17, Аноним (-), 19:16, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    От Паскаля прешься?
     
     
  • 4.26, savant (ok), 01:13, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > От Паскаля прешься?

    От Scheme. Но на си таки писать приходится.

     
     
  • 5.28, Аноним (-), 04:28, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > От Scheme.

    Ну так ты же не переписал на нем ядро, драйвера и системные программы. Да и не факт что это тебе понравилось бы. А что, в scheme уже можно напрямую записать нечто в конкретный адрес памяти? Драйверам это надо буквально каждому первому. Да, это - потенциально опасная операция. Но оборудование работает вот так. Или еще как, например получая адрес буфера в DMA и драйвер оттуда потом вытаскивает. Опять же, работая с вполне конкретными адресами. Эту операцию кто-то должен делать. Чем прямее, тем лучше. Си с этим справляется.

    А еще если взять пистолет, зарядить и стрельнуть себе в пятку - говорят что будет больно. Но пистолет в данном поступке вообще не виноват.

     
  • 2.13, Аноним (-), 14:42, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за
    > всем... А уже четвёртая версия...

    KVM to the rescue! Это модуль еще меньшего размера, который является просто интерфейсом к аппаратным функциям.

     
     
  • 3.31, Аноним (-), 20:10, 05/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В котором также нашли уязвимость, лол.
    А вообще он не нужен, потому что linux-only.
     
  • 2.18, Motif (ok), 19:30, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Порядок в стране определяется не наличием воров, а умением властей их обезвреживать! (с)
     

  • 1.8, pavlinux (ok), 13:27, 04/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > устранена уязвимость в механизме виртуализации KVM (CVE-2012-4461),

    Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
    хотя КВМ всунули в ядро только в версии 2.6.17!!!  

     
     
  • 2.9, Andrey Mitrofanov (?), 14:24, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > хотя КВМ всунули в ядро только в версии 2.6.17!!!

    А не в .6.20? Впрочем, это совершенно не важно.

    Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.

     
     
  • 3.22, Ytch (?), 20:58, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.

    Кто управляет прошлым, тот управляет будущим: кто управляет настоящим, управляет прошлым? Где-то я это уже слышал.

     
     
  • 4.23, Andrey Mitrofanov (?), 21:34, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Где-то я это уже слышал.

    Ну да, вот он :( я, поселивший ложь в истории. Я УПРАВЛЯ-А-А-А-Ю!!!

     
  • 2.24, Аноним (-), 21:48, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
    > хотя КВМ всунули в ядро только в версии 2.6.17!!!

    Ты никогда не видел http://lurkmore.to/%D0%92%D0%B7%D0%B0%D0&# ? :)

     
     
  • 3.25, Andrey Mitrofanov (?), 21:50, 04/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >lurkmore.to

    Полиция! Экстремизм!!!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру