В OpenSSL, Exim и Linux-ядре найдены новые уязвимости

Среда, 2 июня 2010 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Новые уязвимости были найдены в OpenSSL, Exim и Linux-ядре. Доступны корректирующие версии тулкита OpenSSL 0.9.8o и 1.0.0a, в которых исправлена уязвимость, которая присутствует в CMS-коде и позволяет осуществить запись за пределы области памяти буфера через передачу некорректного значения в поле OriginatorInfo. Кроме того, в версии 1.0.0a исправлена еще одна уязвимость, дающая возможность записи данных произвольного размера в неинициализированную область памяти. Проблеме подвержены приложения, использующие для работы с RSA-ключами функцию pkey_rsa_verifyrecover, появившуюся только в версии OpenSSL 1.0.0. В почтовом сервере Exim найдены две локальные уязвимости: злоумышленник, имеющий shell-доступ к серверу, может организовать добавление данных к файлам другого пользователя, путем манипуляции с хардлинками в директории с почтовыми ящиками, которая должна для успешной эксплуатации быть доступна всем на запись и иметь установленный sticky bit; Вторая проблема проявляется при использовании MBX-блокировок и может быть использована для осуществления изменения прав доступа на чужие файлы, через подстановку символических ссылок на данные файлы в условиях "race condition". Уязвимости уже исправлены в тестовой версии Exim 4.72RC2. Что касается Linux ядра, то в реализации файловой системы ext4 найдена уязвимость, позволяющая злоумышленникам обойти ограничение "RLIMIT_FSIZE" и создать файл размером больше дозволенного при помощи функции "posix_fallocate()". Проблема исправлена в тестовой версии 2.6.35-rc1.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 957
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003