Несколько новых уязвимостей:

-  В Linux ядре найдена уязвимость (http://secunia.com/advisories/38199/), при удачном стечении обстоятельств позволяющая локальному пользователю повысить свои привилегии в системе. Проблема связана (http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6...) с обращением  к блоку памяти, после его очистки через вызов функции free(), при обработке файловых дескрипторов с установленным флагом FASYNC;

-  В реализации функции CRYPTO_free_all_ex_data() из библиотеки OpenSSL найдена (http://www.ubuntu.com/usn/USN-884-1) ошибка, позволяющая злоумышленнику инициировать значительную утечку памяти, приводящую к DoS атаке через исчерпание доступной процессу памяти. Уязвимая функция используется во многих приложениях, в частности в mod_php для http-сервера Apache. Проблема устранена (http://cvs.openssl.org/chngview?cn=19069) в CVS-репозитории OpenSSL;

-  В MIT Kerberos KDC сервере устранена опасная уяз...

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=25012

• Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,Аноним, 18:56 , 14-Янв-10
  • Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,User294, 19:50 , 14-Янв-10
    • Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,Злостный бздун, 05:19 , 15-Янв-10
• Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,RapteR, 18:56 , 14-Янв-10
• Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,pavlinux, 20:11 , 14-Янв-10
  • Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,Аноним, 20:56 , 14-Янв-10
• Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,аноним, 22:07 , 15-Янв-10
  • Уязвимости в Linux ядре, OpenSSL, Kerberos KDC, СУБД Oracle ...,phpcoder, 08:58 , 17-Янв-10

Вот почитаешь багтрак, и понимаешь, что Линукс локально-небезопасен...

А кто безопасен то? Вон фряху стали пилить и у них тоже дыры и баги точно так же оптом полезли. А у остальных с поддержкой хардвара такой пэ что они интересны чисто теоретически. А вообще как известно не ошибается тот кто ничего не делает...

Ну вы мистер user294, не можете прямо жить спокойно, видимо пока на свете есть BSD. :-D

Прямо уж так и оптом? :) http://www.freebsd.org/security/advisories.html - по-моему в среднем в год находится примерно одинаковое кол-во багов. Если отфильтровать баги которые имеено баги ядра, а не openssl, bind, ntpd и т. п. (которые присутствуют и в остальных юникс-подобных), то не такой уж и опт получается.

Приятно читать о дырках, после того, как поставил апргейты. А не будем говорить в какой ОС сначала читаешь про дырку, а потом несколько месяцев а то и лет ожидаешь костыльного патча.

Ньюс-Свежак [Wed, 16 Dec 2009 16:23:37 +0000]

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6...

>Ньюс-Свежак [Wed, 16 Dec 2009 16:23:37 +0000]
>
>http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6...

У разработчиков Linux ядра такая политика, не сообщать, что определенная ошибка может привести к проблемам безопасности. Поэтому, иногда через месяц вскрывается, что определенную ошибку можно использовать для взлома.

Как обычно показательно количество и значимость уязвимостей в СПО и проприетарном г-не (oracle и zend).

JFYI: ZF распространяется под лицензией BSD (иначе говоря, исходный код открыт).