форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
Сообщение от opennews (??) on 17-Янв-11, 20:01
Обзор недавно обнаруженных уязвимостей: -  В пакете для работы в анонимной сети Tor 0.2.1.29 (https://www.torproject.org/download/download.html.en#source) устранена критическая уязвимость (http://archives.seul.org/or/announce/Jan-2011/msg00000.html), которая может привести к организации атаки по удаленному выполнению кода. Примечательно, что похожая уязвимость (https://blog.torproject.org/blog/tor-02128-released-security...) была устранена в версии 0.2.1.28, выпущенной в конце декабря. -  В программе для просмотра документов GNOME Evince обнаружено четыре уязвимости (http://secunia.com/advisories/42769/), которые могут привести к выполнению кода злоумышленника при открытии специальным образом оформленного DVI-файла; -  В централизованной системе управления версиями Apache Subversion 1.6.15 устранены две уязвимости (http://secunia.com/advisories/42780/), которые можно использовать для удаленного инициирования краха mod_dav_svn  или исчерпания доступной памяти при выполнении к... URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=29295
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
Сообщение от Аноним (??) on 17-Янв-11, 20:01
>>В растровом графическом редакторе Gimp устранено 4 уязвимости, >>Исправление пока не доступно; Это как?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+3 +/–
	Сообщение от Аноним (??) on 17-Янв-11, 21:14
	>>В растровом графическом редакторе Gimp устранено 4 уязвимости, >>Исправление пока не доступно; >Это как? Это разработчики у себя исправили, но хотят пока ещё поюзать дыру )) А вообще не стоит паниковать сразу увидев столько фиксов, я уверен в той же винде в 2 раза больше, просто никто не в курсе и все спокойны.. >_> Наобород радоватся нужно, что любимое ПО стало ещё лучше и ещё секьюрнее, а вообще это только от пользователя зависит, на сколько секьюрно его окружение...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–8 +/–
	Сообщение от Аноним (??) on 17-Янв-11, 22:49
	А вообще не стоит паниковать сразу увидев столько фиксов, я уверен в той же винде в 2 раза больше, просто никто не в курсе и все спокойны.. >_> А можно спросить - на чем базируется такая уверенность? Может просто промытые мозги и не грамма опыта?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+6 +/–
	Сообщение от linux0Ed on 17-Янв-11, 23:43
	Тролль решил покормиться? Ладно, отвечу. В винде пачками находят уязвимости, которые не исправляются годами. Любой школьник может получить удаленный доступ к твоей системе за каких-нибудь полчаса. Всего-то надо почитать последние новости о "дырках", да накатать простенький скрипт. Один чел из lug'а поставил 7-ое ведро, так у него уже через 10 минут блокиратор появился. По-этому ни о какой промывке здесь и речи нет, все это - объективные и хорошо известные "особенности" венды.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	21. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–1 +/–
	Сообщение от User294 (ok) on 18-Янв-11, 14:43
	Насчет уязвимостей винды: > В свободной библиотеке libpng обнаружена уязвимость, которая позволят выполнить код злоумышленника Ну ладно, в линухе как обычно, приедет 1 пакет. И все программы юзающие эту либу опять станут неуязвимы, одним чихом, скачкой 1 мелкого пакета. В винде ... господа пользователи винды, а вы хотя-бы знаете сколько и каких программ пользуют эту (довольно популярную) либу? И вы их все обновили? Вы можете ответить за все программы содержащие эту либу что они у вас уже исправленные и без дырок? А можете себе представить трах с обновлением всего этого зоопарка? Ну или как обычно - будете троянцев вычищать оптом? Пролезших через типа безобидные картиночки, хе-хе-хе :)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	28. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Аноним (??) on 18-Янв-11, 18:54
	> В винде ... господа пользователи винды, а вы хотя-бы знаете сколько и каких программ пользуют эту (довольно популярную) либу? И вы их все обновили? Вы можете ответить за все программы содержащие эту либу что они у вас уже исправленные и без дырок? А можете себе представить трах с обновлением всего этого зоопарка? Ну или как обычно - будете троянцев вычищать оптом? Пролезших через типа безобидные картиночки, хе-хе-хе :) К ОС с репозиториями (вы ведь их противопоставляете Венде?) всё точно так же. Значительная часть программ статически компонуется с собственными копиями zlib, libpng и др.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

2. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–8 +/–
Сообщение от Zenitur on 17-Янв-11, 20:09
DVI-файлы... Я с ними намучился! Суть проблемы: поставил в системе use-флаг dvi, думая, что это что-нибудь для мониторов. Envice из-за этого зависел от latex. Затем возникли проблмы при обновлении tex с версии 2009 до 2010. И я решил его совсем удалить! И все равно вместо обновления мира я видел ошибку того, что 2010-й текс замаскирован! Долго искал ту программу, которая его требовала. Оказалась Envice с флагом dvi. Теперь в системе латекса нет. Хорошая подборка уязвимостей! Просьба автору начать включать в обзор также и KDE-уязвимости тоже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+4 +/–
	Сообщение от Vkni on 17-Янв-11, 20:26
	TEX - это тау, эпсилон, хи. То есть, читается как тех, а не как текс. Да и вообще, с учётом того, что кириллица - это слегка покоцанный греческий устав, можно считать, что Кнут писал ТЕХ кириллицей :-) (шутка).
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+2 +/–
	Сообщение от Sadok (??) on 17-Янв-11, 21:21
	Году так в 94, видел толстую книгу (перевод) о LaTEX, где было написано, что не шутка. Таки кириллица. Правда, я с техом работал то всего полгода в те времена, с тех пор не трогал. Но понравилось )
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+3 +/–
	Сообщение от Vkni on 18-Янв-11, 00:42
	Это не шутка, но, конечно, греческий алфавит - это не кириллица. По крайней мере, когда мы их сравниваем с латиницей, которая тоже пошла из греческого алфавита.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	17. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от щ (??) on 18-Янв-11, 10:56
	>Суть проблемы: поставил в системе use-флаг dvi, думая, что это что-нибудь для мониторов. Zenitur, такой Zenitur...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	26. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+1 +/–
	Сообщение от User294 (ok) on 18-Янв-11, 15:14
	> DVI-файлы... Я с ними намучился! Суть проблемы: поставил в системе use-флаг dvi, > думая, что это что-нибудь для мониторов. Буду краток(с). Эпично!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
Сообщение от Аноним (??) on 17-Янв-11, 20:10
> В сетевом анализаторе Wireshark найдена уязвимость, позволяющая выполнить код злоумышленника при перехвате трафика, содержащего определенным образом модифицированные пакеты для протокола ENTTEC (UDP-порт 3333). Проблема исправлена в SVN-репозитории проекта; Wireshark 1.4.3 Release Notes The following vulnerabilities have been fixed. FRAsse discovered that the ENTTEC dissector could overflow a buffer. (Bug 5539) http://www.wireshark.org/docs/relnotes/wireshark-1.4.3.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Аноним (??) on 17-Янв-11, 22:38
	Кстати, в ветке 1.2.x тоже исправили (Bug 5539) http://www.wireshark.org/docs/relnotes/wireshark-1.2.14.html
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+1 +/–
Сообщение от Аноним (??) on 17-Янв-11, 21:23
tor расстраивает :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–5 +/–
Сообщение от iZEN (ok) on 18-Янв-11, 00:45
Специально созданные картинки рушат систему безопасности. Превосходно! Так держать любители C/C++! :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Sylvia (ok) on 18-Янв-11, 01:45
	нечего панику устраивать ) мало кто пользуется libpng 1.5.x многие еще даже на 1.4 не перешли, сидят с 1.2
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	19. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от iZEN (ok) on 18-Янв-11, 11:28
	> нечего панику устраивать ) мало кто пользуется libpng 1.5.x > многие еще даже на 1.4 не перешли, сидят с 1.2 % pkg_info -Ex png gstreamer-plugins-libpng-0.10.26,3 png-1.4.5
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–3 +/–
	Сообщение от xxx (??) on 18-Янв-11, 09:33
	А ты уже наверное периписал всё на Java...
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	22. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–1 +/–
	Сообщение от User294 (ok) on 18-Янв-11, 14:49
	> Специально созданные картинки рушат систему безопасности. Дык это... в твоей любимой яве дыреней в 100500 раз больше чем в любой libpng. Что, ты скажешь что она на нативном коде написана? Мля, ну так перепиши свою яву на яве, если ты такой умный :))) И вообще - ругать других конечно круто, но почему-то жабисты не лезут писать околосистемные библы с базовым функционалом. Наверное потому что на яве это получается криво и тормозно. Нормально на ней получается всякий бизнес-крап, которому сервер менее чем с 8 процами и 128 гиг оперативы - вообще не компьютер. Ну еще бывают потуги городить гуйные проги на этом, но тормозные уроды с массой проблем почему-то пользователям не доставляют.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+4 +/–
Сообщение от Sylvia (ok) on 18-Янв-11, 01:49
libxml2 это плохо, она же и на серверах живет, в составе расширений php например проверила chromium 9 с гентушной libxml2 2.7.7 - падает, т.е. уязвимость присутствует.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Sylvia (ok) on 18-Янв-11, 01:56
	патчи тут http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=607922 Patch: http://git.gnome.org/browse/libxml2/commit/?id=df83c17e5a264...        http://git.gnome.org/browse/libxml2/commit/?id=fec31bcd452e7... и вообще у дебиановцев давно уже все исправлено: http://www.debian.org/security/2010/dsa-2137 вот так вот , вылезают баги и выясняется что в некоторых дистрибутивах секьюрити тим работает не то что плохо, а очень плохо
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+1 +/–
	Сообщение от iZEN (ok) on 18-Янв-11, 11:23
	>вот так вот , вылезают баги и выясняется что в некоторых дистрибутивах секьюрити тим работает не то что плохо, а очень плохо Порт net/wireshark в FreeBSD вчера обновился до v.1.4.3. Но чтобы сканер сети пробивать специальным образом сформированными пакетами, это, пожалуй, — Epic Fail.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	24. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	–1 +/–
	Сообщение от User294 (ok) on 18-Янв-11, 14:54
	> — Epic Fail. Напиши свой сканер который сможет жрать не меньше протоколов, будет не меньше фич и не будет аццки тормозить когда там хотя-бы 100Мбит вдруг полетят со всей дури. У меня есть подозрение что если это написать на яве - там для запуска потребуется купить отдельный сервак, с кучей ядер и много гигазов оперативы. Дыру в сканере это конечно не оправдывает, но и голословный пиндеж - тоже не рулит. А может ты у нас настолько крут что готов переписать еще и libpcap на яве? Ну так, чтобы нативный код не дай боже не имел дел с сетью :). Правда для пущей безопасности надо еще и драйвер сетевухи переписать. Ну и ядро. Хе-хе. А то вдруг в ядре окажется дырка? Мало ли чего.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от bircoph (ok) on 18-Янв-11, 14:51
	У тебя гентушка, как я понимаю, так вот посмотри на багзилле: все эти баги давно обсуждают и двигаются к решению; патчи и, зачастую ебилды уже есть для всех желающих. GLSA всегда с задержкой выходит из-за того, что нужно стабилизировать новые пакеты с исправлениями.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	27. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Sylvia (ok) on 18-Янв-11, 18:25
	я смотрела багзиллу, 2 месяца жуют закрытие предыдущих (!) уязвимостей, г-н Рамос так и не смог решить проблему с версионированием символов в библиотеке, а посему дыры в гентушной libxml2 живут еще с ноября, мою багу прикрыли, старую 2 месячной давности - обновили... то что обсуждают и двигаются это хорошо, но не с обновлениями безопасности так тянуть надо, тем более libxml2, которая вообще используется много чем, реальная альтернатива ей - expat, но expat используется гораздо реже. Вообщем тянуть для генты исходники из Дебиана, где давно все исправлено.... у меня чувство что что-то явно не так как хотелось бы
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+1 +/–
	Сообщение от User294 (ok) on 18-Янв-11, 14:56
	> http://www.debian.org/security/2010/dsa-2137 Вот чего-чего а по части секурити дебианщики - практически всегда радуют.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	30. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
	Сообщение от Sylvia (ok) on 19-Янв-11, 01:34
	не всегда, у них больное место - freetype, месяцами копят перед тем как пропатчить, хотя в целом DSA для stable достаточно оперативны, GLSA плохо работают, к сожалению, могут вообще не исправлять отдельные вещи, ну а обычная политика - ждать пока обновится апстрим, далее в ~ и через некоторое время в stable. Цикл достаточно долгий, что разочаровывает. идеала наверное и нет, я уж не знаю как в rhel дела обстоят
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

20. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
Сообщение от crunch (??) on 18-Янв-11, 13:40
Как раз на днях прошил dir-300 dd-wrt. Проверил. Действительно, выдает всю подноготную шлюза: мак-адреса его интерфейсов, внутренний IP, используемые ресурсы, канал wifi, IP клиентов и др. А вот в мак адресах клиентов видны только последние два октета. Не такая уж и страшная уязвимость, ибо нечего web-морду шлюза наружу выставлять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshar..."	+/–
Сообщение от Аноним (??) on 19-Янв-11, 13:46
Значительная часть уязвимостей-выполнение кода с помощью специально сформированного файла. Здорово! Выложил невинный файлик в инет, все его открыли и заразились! Вопрос: 1. не слишком ли странно, что уязвимости с открытием файлом ещё не решена и продолжается много лет? 2. возможны были бы такие уязвимости, если бы программировали не на С/С++, а на паскале?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема