Уязвимости в ClamAV, OpenSSL, BIND, Kerberos, Gnash, NetBSD и WordPress

  • В вышедшем на днях релизе свободного антивирусного пакета ClamAV 0.96.5 устранено 2 уязвимости, потенциально позволяющие организовать выполнение кода злоумышленника: удаленный вызов краха процесса clamd при проверке специально оформленных PDF-файлов и переполнение буфера в функции "icon_cb()";
  • В релизе OpenSSL 1.0.0c устранены две уязвимости: возможность использования прошлой версии набора шифров через изменение прокэшированных параметров TLS/SSL сессии; ошибка в реализации протокола аутентификации J-PAKE позволяет сгенерировать предсказуемый сессионный ключ и успешно пройти аутентификацию;
  • В DNS-сервере BIND 9.6.2-P3 и 9.7.2-P3 устранено 3 уязвимости, позволяющие инициировать удаленный отказ в обслуживании, вызвать пометку в DNSSEC валидной DNS-зоны как небезопасной и обойти "allow-query" ограничение ACL;
  • В MIT Kerberos обнаружены 7 уязвимостей, которые позволяют осуществить подстановку данных (спуфинг), повысить свои привилегии и обойти некоторые ограничения безопасности. Исправление пока доступно только в виде патчей;
  • В свободном Flash-плеере Gnash найдена уязвимость, связанная с некорректным созданием временных файлов, что может быть использовано злоумышленником для подмены временного файла на символическую ссылку с целью повреждения определенных файлов другого пользователя;
  • В IPv6-стеке NetBSD найдена уязвимость, позволяющая вызвать отказ в обслуживании через отправку специально оформленного UDP6-пакета;
  • В релизе системы управления web-контентом WordPress 3.0.2 устранена уязвимость, позволяющая аутентифицированному пользователю CMS с правами автора ("Author-level") совершить подстановку SQL-кода через форму отправки комментария.

©  Root.UA