Во FreeBSD исправлены три уязвимости: freebsd-update, rtld и ssl

4 декабря 2009 года

Разработчики FreeBSD выпустили официальное исправление для обнаруженной несколько дней назад уязвимости, позволяющей локальному непривилегированному злоумышленнику выполнить код с правами суперпользователя. В уведомлении подтверждена информация, что уязвимости подвержены только ветки FreeBSD 7.x и 8.x, для версий FreeBSD 4.x, 5.x и 6.x проблема не проявляется. Интересно, что в в устраняющем проблему патче устранена не причина, а следствие - введены дополнительные проверки в код rtld (run-time link-editor), но не исправлена некорректная работа функции очистки переменных окружения.

Кроме того, сообщается об исправлении двух менее опасных уязвимостей:

  • Некорректная установка прав доступа для файлов обновлений, загруженных во временную директорию (/var/db/freebsd-update) при проведения обновления с помощью утилиты freebsd-update. Проблема связана с тем, что локальный пользователь имеет возможность просмотреть содержимое устанавливаемых файлов, например, прочитать данные из резервной копии файла с паролями.
  • Во входящей в состав FreeBSD версии библиотеки openssl добавлен код отключающих возможность выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки по подстановке данных в устанавливаемое между двумя точками защищенное соединение.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Во FreeBSD исправлены три уязвимости: freebsd-update, rtld и ssl», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.