Проблемы безопасности в ldd, Perl, Asterisk и ProFTPD
27 октября 2009 года
Несколько новых проблем безопасности:
- Продемонстрирована возможность создания исполняемого файла, для которого при просмотре связанных библиотек через утилиту ldd будет выполнен код злоумышленника. Например, типичный пример социальной инжененрии - пользователь хостинга или злоумышленник от его имени создает специальный исполняемый файл, звонит администратору и жалуется, что программа неработает. Администратор первым делом набирает ldd и сообщает пользователю, что не хватает библиотеки N, пользователь говорит спасибо, а администратор даже не подозревает, что только что запустил со своими правами код злоумышленника.
- В Perl 5.10.1 подтверждено наличие DoS уязвимости: передав некорректную UTF-8 строку злоумышленник может вызвать крах интерпретатора, при обработке этой строки внутри регулярного выражения в режиме игнорирования регистра символов (параметр 'i');
- Вышел релиз Asterisk 1.6.1.8 в котором исправлена проблема безопасности, связанная с отсутствием проверки ACL для SIP INVITE запросов. Например, злоумышленник может совершить звонок, находясь в запрещенной через ACL ("deny" и "permit" в sip.conf) сети;
- В FTP-сервере ProFTPD 1.3.2b исправлена уязвимость в модуле "mod_tls", позволяющая злоумышленнику подставить поддельный SSL сертификат. Для успешной эксплуатации уязвимости необходима активность настроек "UseReverseDNS" и "TLSVerifyClient" и установка "dNSNameRequired" в списке "TLSOptions".
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
