Обзор свежих уязвимостей и обновлений безопасности31.01.2010 01:20

Обзор свежих уязвимостей в DokuWiki, MoinMoin, LedgerSMB, OCS Inventory NG, Sun Web Server, yaSSL, MySQL, RealPlayer, libthai и IRC-серверах.
  • В популярном свободном wiki-движке DokuWiki было найдено сразу две уязвимости, одна из которых позволяет просмотр списка файлов в произвольной директории на сервере через использования ".." в путях, а вторая дает возможность получить доступ к скрытым разделам wiki, по умолчанию не доступным для просмотра текущим пользователем. Для устранения уязвимостей следует обновится до версии 2009-12-25b.
  • Исправлена уязвимость в MoinMoin Wiki 1.9.1, позволявшая получить доступ к закрытым данным.
  • Сразу несколько серьезных уязвимостей найдено в LedgerSMB и SQL-Ledger ERP, которые позволяют просмотривать локальные файлы, использовать пароль администратора по умолчанию и подставлять произвольный SQL-код.
  • Найдена уязвимость в OCS Inventory NG, позволяющая осуществить подстановку SQL-кода.
  • Три серьезные уязвимости найдено в Sun Java System Web Server. Они позволяют злоумышленнику выполнять произвольной код на сервере, а также получать доступ к служебным файлом и изменять их.
  • Найдена критическая уязвимость в коде библиотеки yaSSL, позволяющая злоумышленнику выполнить произвольный код в момент обработки специальным образом оформленного SSL-сертификата. Подтверждена подверженность MySQL данной уязвимости, при его сборке с yaSSL и активации поддержки SSL-шифрования для соединений с СУБД. Проблема исправлена в версии yaSSL 1.9.9.
  • Найдена уязвимость в библиотеке libthai с реализацией языка Thai . Она позволяет выполнить произвольный код при обработке слишком длинных строк. Проблема устранена в версии libthai 1.1.3.
  • Целых 11 уязвимостей найдено в Helix Player и RealPlayer, некоторые из которых носят критический характер. При эксплуатировании некоторых из них возможно выполнение кода злоумышленника за счет проигрывания специальным образом скомпонованного мультимедиа файла или GIF изорбажения.
  • В нескольких IRC серверах найдены уязвимости, позволяющие произвести DoS атаку или выполнить произвольный код на сервере через передачу некорректных аргументов в команде "LINKS". Уязвимости подвержены Hybrid2, oftc-hybrid, ircd-hybrid и ircd-ratbox

©  Root.UA