The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в VLC, Adobe Flash, Python, Plone и Libxml2

06.06.2011 18:52

Несколько новых уязвимостей:

  • Вышел релиз медиаплеера VLC 1.1.10, в котором кроме исправления накопившихся ошибок устранена уязвимость в коде xspf-демуксера ((XML Shareable Playlist Format), которая позволяет организовать выполнение кода злоумышленника при открытии специально оформленных плейлистов в формате xspf;
  • Вышло обновление Adobe Flash Player 10.3.181.22 в котором устранена уязвимость для которой в сети уже были зафиксированы факты успешных атак на пользователей. Уязвимость позволяет организовать выполнение JavaScript-кода в браузере в контексте другого сайта (универсальный межсайтовый скриптинг через Flash).
  • Вышел корректирующий релиз Python 2.6.7 в котором устранено несколько незначительных уязвимостей: Устранена возможность совершения XSS-атак в модуле SimpleHTTPServer; В urllib и urllib2 добавлено игнорирование перенаправлений, если схема URL отлична от HTTP, HTTPS и FTP (можно было выполнить редирект на локальный файл); Устранена возможность совершения DoS-атаки через smtpd.py;
  • В hotfix-выпуске системы управления web-контентом Plone 20110531 устранены три уязвимости, среди которых две проблемы позволяют совершить XSS-атаки, а одна проблема дает возможность аутентифицированному пользователю CMS обойти ограничения доступа и отредактировать параметры других пользователей (например, поменять пароль администратора).
  • В коде обработки наборов узлов XPath в библиотеке Libxml2 найдена опасная уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке специально оформленного XPath-кода в приложении, использующем Libxml2.


Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/30793-security
Ключевые слова: security, libxml, VLC, flash
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, bircoph (ok), 19:22, 06/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в библиотеке Libxml2 найдена опасная уязвимость

    Сама libxml2 является опасной уязвимостью, что ни месяц, то критическая ошибка.

     
     
  • 2.2, Аноним (-), 19:46, 06/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Как и у большинства более-менее навороченных парсеров текста. Достаточно вспомнить популярные браузеры.
     
  • 2.7, Sylvia (ok), 00:53, 07/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в дебиане уже закрыли, хотя DSA еще не опубликована
    кому горит - можно взять исходники
    http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.7.8.dfsg.
    набор патчей - http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.7.8.dfsg-


    сообщение в рассылке - http://lists.debian.org/debian-security-announce/2011/msg00125.html

    тип уязвимости - buffer overflow

     

  • 1.5, Аноним (-), 22:40, 06/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто-нибудь в курсе - Adobe Flash Player "Square" 64bit для Linux будет развиваться или проект умер? Последнее обновление 64-х битной версии 30 ноября 2010, после этого вышло полно обновений для 32-бит.
     
     
  • 2.6, bang (??), 22:55, 06/06/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    use nspluginwrapper Luke.
     

  • 1.8, Anonus (?), 01:49, 07/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уязвимость в Adobe Flash раз в неделю это такая традиция, как я понял.
     
     
  • 2.10, ffirefox (?), 05:08, 07/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это Adobe так себе на жизнь трафиком зарабатывает.
    Еще бы на платные файловые сервера выкладывали бы. ;)
     

  • 1.9, iZEN (ok), 02:27, 07/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая версия libxml2 подвержена уязвимости, не говорится?

    % pkg_info -Ex libxml2
    libxml2-2.7.8_1
    py27-libxml2-2.7.8_1

    % pkg_info -Ex python
    python27-2.7.1_1

    Flash и VLC не установлены.

     
     
  • 2.12, Sylvia (ok), 12:13, 07/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    2.7.8 с дырками (причем может быть даже и не только с этой дыркой, но и со старыми тоже),
    несколько напрягает политика релизов libxml2, обнаруживаются дыры - исправляются в git, и тишина, многие майнтейнеры дистрибутивов даже и не знают например, если специально не следят или если их не тыкнуть, в дебиан очень оперативно исправляют, который раз уже беру их исходники и собираю.
     

  • 1.11, Аноним (-), 11:49, 07/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    запарили с флешем, если бы свободные вьюеры не требовали нажатия на них для проигрывания анимации, то флеш был бы не нужен.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру