Уязвимости в sudo, OpenOffice, Sympa, Libxml2, gdk-pixbuf, QuickTime, RealPlayer и Pidgin

Несколько недавно обнаруженных уязвимостей:

  • В корректирующих обновлениях утилиты sudo 1.8.5p1 и 1.7.9p1 устранена уязвимость, позволяющая обойти заданное в конфигурации sudoers ограничение выполнения операций для заданных IPv4-подсетей. Проблема вызвана ошибке в коде разбора сетевых масок и может быть использована пользователем для выполнения команд на любом доступном хосте, невзирая на заданное в настройках явное перечисление подсетей на которые распространяется действия выполняемой команды. Проблема наблюдается в sudo с 1.6.9p3 по 1.8.4p4 версии. В качестве обходного пути защиты вместо подсети можно использовать netgroup, имена хостов или перечисления IP;
  • Разработчики Apache OpenOffice раскрыли информацию о том, что в недавно выпущенном OpenOffice 3.4 были исправлены две уязвимости, проявляющиеся в OpenOffice.org 3.3 и 3.4 Beta. Уязвимости позволяли организовать выполнение кода при открытии в офисном пакете DOC-файлов с интегрированными специально оформленными JPEG-объектами и при импорте файлов в формате WPD (Wordperfect);
  • В открытом менеджере почтовых рассылок Sympa выявлена уязвимость, позволяющая получить доступ к функциям архивирования без предварительной проверки параметров аутентификации, что может быть использовано для создания, удаления и загрузки архивов. Проблема исправлена в версии 6.1.11;
  • В Libxml2 найдено переполнение буфера в реализации функции "xmlXPtrEvalXPtrPart()", используемой для декодирования значений XPointer. Проблема может привести к инициированию записи за допустимые границы буфера при обработке специально оформленного XML-контента в приложениях, использующих Libxml2. Проблема исправлена в Git-репозитории проекта;
  • В библиотеке gdk-pixbuf найдена уязвимость, которая может привести к выполнению кода при открытии специально оформленного XBM-файла в приложении, использующем библиотеку gdk-pixbuf. Проблема исправлена в Git-репозитории проекта;
  • В мультимедиа плеере RealPlayer 15.0.4.53 устранены 3 уявзимости, позволяющих организовать выполнение кода при обработке специально скомпонованных файлов в форматах MP4, ASMRuleBook и RealJukebox;
  • В обновлении Apple QuickTime 7.7.2 устранено 17 уязвимостей, большинство из которых могут привести к выполнению кода злоумышленника при открытии специально оформленных данных (например, TeXML, H.264, MP4, MPEG, QTMovie, PNG, QTVR, JPEG2000, RLE, Sorenson);
  • В программе для мгновенного обмена сообщениями Pidgin 3.2.1 устранена уязвимость в плагине pidgin-otr, которая может быть использована для организации выполнения кода на машине пользователя через отправку специально оформленного сообщения, в случае использования плагина pidgin-otr (проблема вызвана ошибкой форматирования строки при помещении записей в лог).


Источник:
http://www.opennet.ru/opennews/art.shtml?num=33875

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>