Уязвимости в Squid, Quagga, KDE Okular и Linux-ядре
6 сентября 2010 года
Несколько свежих уязвимостей:
- В прокси-сервере Squid 3.1.8 устранена уязвимость, позволяющая вызвать удаленный отказ в обслуживании через отправку специально оформленного запроса, содержащего строки с нулевым символом. Проблеме подвержены только системы в конфигурации которых директива ignore_expect_100 установлена в значение "on". Кроме того, в прошлом выпуске Squid 3.1.7 исправлена была еще одна уязвимость, дающая возможность при приеме специально оформленного DNS-ответа организовать DoS-атаку на серверы, на которых активен только IPv4 DNS-резолвер.
- В пакете с реализацией протоколов маршрутизации Quagga 0.99.17 устранены две уязвимости. Первая уязвимость позволяет вызвать отказ в обслуживании при обработке специально оформленного BGP-пакета. Вторая приводит к переполнению буфера и потенциально может быть использована для выполнения кода злоумышленника при обработке полученного от пира Route-Refresh-сообщения с некорректно оформленной ORF-записью (Outbound Route Filtering);
- В программе для просмотра документов Okular найдена уязвимость, которая может привести к исполнению кода злоумышленника при открытии в приложении специально подготовленных PDB-файлов. Наличие проблемы подтверждено в KDE 4.3.0 - 4.4.5;
- Несколько уязвимостей в Linux-ядре:
- Копирование отрывков закрытых областей памяти ядра в пространство пользователя через отправку специально оформленного "SIOCGIWESSID" IOCTL;
- Ошибка в коде функции "irda_bind()" может привести к разыменовании NULL-указателя при биндинге AF_IRDA-сокета;
- Ошибка в функции keyctl_session_to_parent() может привести к разыменовании NULL-указателя при вызове keyctl() с указанием KEYCTL_SESSION_TO_PARENT.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
