Обзор новых уязвимостей (ядро Linux, OpenSSL, Kerberos KDC, СУБД Oracle и Zend Framework)

Некоторые новые уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle и Zend Framework:
  • Найдена уязвимость в ядре Linux, связанная с обращением к блоку памяти, после его очистки через вызов функции free(), при обработке файловых дескрипторов с установленным флагом FASYNC. Уязвимость позволяет локальному пользователю повысить свои привилегии в системе.
  • В библиотеке OpenSSL найдена уязвимость, связанная с реализацией функции CRYPTO_free_all_ex_data(). Эта функция используется во многих приложениях, среди которых числится mod_php для http-сервера Apache. Уязвимость позволяет провести DoS атаку путем исчерпания памяти, доступной процессу.
    Обновление безопасности доступно из CVS-репозитории OpenSSL.
  • Найдена уязвимость в MIT Kerberos KDC сервере, связанная с раскодированием данных, зашифрованных методами AES и RC4. Уязвимость позволяет выполнить произвольный код путем отправки специальных последовательностей. Уязвимость устранена в версиях Kerberos KDC 1.6.4 и 1.7.1.
  • Найдено и исправлено 9 уязвимостей в СУБД Oracle. Среди них были связанные с получением прав непривилегированным пользователем на чтение, изменение закрытых данных и выполнению своего кода с правами управляющего процесса СУБД.
  • Найдены уязвимости в компонентах Zend Framework: Zend_Json, Zend_Service_ReCaptcha_MailHide, Zend_Filter_StripTags, Zend_Dojo_View_Helper_Editor и Zend_File_Transfer. Они позволяют провести атаку типа XSS и выполнять подстановку MIME-данных.
    Эти уязвимости исправлены в версиях 1.9.7, 1.8.5 и 1.7.9.


©  Root.UA