Несколько недавно найденных уязвимостей:
- В MySQL 5.5.23 (http://permalink.gmane.org/gmane.comp.db.mysql.announce/655) устранена уязвимость про которую никаких подробностей не сообщается, кроме факта наличия проблемы неопределённого характера (последнее время Oracle перешла (http://www.opennet.me/opennews/art.shtml?num=33051) к практике сокрытия данных об уязвимостях в MySQL). Указан только номер закрытого (http://bugs.mysql.com/bug.php?id=59533) для внешнего доступа отчёта об исправлении ошибки. По неофициальным данным, уязвимость позволяет подсоединиться к БД без ввода корректного пароля;
- В конфигураторе Wicd, используемом некоторыми дистрибутивами в качестве замены NetworkManager, выявлена (http://seclists.org/fulldisclosure/2012/Apr/123) уязвимость (http://www.infosecinstitute.com/courses/ethical_hacking_trai...), позволяющая локальному непривилегированному пользователю выполнить shell-скрипт с правами пользователя root. Проблем устранена (https://launchpad.net/wicd/+announcement/9888) в версии 1.7.2;- В FreePBX (http://www.freepbx.org), web-интерфейсе для управления системами телефонии на базе Asterisk, устранена уязвимость (http://archives.neohapsis.com/archives/fulldisclosure/2012-0...), позволяющая выполнить произвольный код на сервере через обращение к скрипту recordings/misc/callme_page.php с некорректным значением параметра "callmenum". Проблема устранена (http://www.freepbx.org/news/2012-03-26/security-concerns-2-1...) в версии 2.11;
- В пакетном менеджере RPM 4.9.1.3 (http://rpm.org/wiki/Releases/4.9.1.3#Security) устранено несколько уязвимостей, позволяющих организовать выполнение кода злоумышленника при выполнении действий со специально оформленным пакетом, например, при проверке сигнатуры;
- В MediaWiki 1.17.3 и 1.18.2 устранена (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...) уязвимость, позволяющая вставить произвольный JavaScript-код на wiki-страницы;
- В Ghostscript 9.05 (http://www.ghostscript.com/) устранено переполнение буфера (http://bugs.ghostscript.com/show_bug.cgi?id=692856) при разборе параметра "OutputFile", которое может привести к выполнению кода при передаче в качестве аргумента специально оформленного длинного имени;
- В LibTIFF найдена уязвимость (http://home.gdal.org/private/zdi-can-1221/zdi-can-1221.txt), позволяющая организовать выполнение кода при открытии специально оформленных TIFF-изображений. Информации об исправлении нет;
- В libpng найдена уязвимость (http://www.libpng.org/pub/png/src/libpng-1.5.10-README.txt), позволяющая организовать выполнение кода при открытии специально оформленных PNG-изображений. Проблема устранена в версиях 1.5.10, 1.4.11, 1.2.49 и 1.0.59;- В мультимедиа пакете FFmpeg (http://ffmpeg.org/) выявлено 8 уязвимостей (http://secunia.com/advisories/48770/), некоторые из которых позволяют добиться выполнения кода при открытии специально оформленного контента (субтитров, dirac). Проблемы устранены (http://ffmpeg.org/download.html) в версиях 0.10.2, 0.7.12 и 0.8.11;
- В Jabber-клиенте Gajim 0.15 (http://gajim.org/) устранены две опасные уязвимости (http://secunia.com/advisories/48708/): первая позволяет выполнить произвольный код на машине клиента через отправку специально оформленного сообщения, а вторая осуществить подстановку SQL-запроса при обработке специально скомпонованного jid (Jabber ID);
- В инструментарии для централизованного управления конфигурацией Puppet (http://puppetlabs.com/) выявлено 6 уязвимостей (http://puppetlabs.com/security/), некоторые из которых позволяют локальному злоумышленнику на обслуживаемой через Puppet системе осуществить изменение произвольного файла, чтения файлов других пользователей или добиться выполнения своего кода с повышенными привилегиями, через осуществления различного рода манипуляций с символическими ссылками. Проблемы устранены в виде hotfix-обновлений.
URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=33607
Чего интересно Оракл боится ?
Вот того что всё больше народа на MariaDB переползает они почему-то не боятся, если такое делают. Странно это.
Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше изумишься, как много и прочно оракл получает на сверхбольших базах, которые реально слабо без рукопашной даже постгресу осилить. И на эту поляну никакие мускули-просто-марии-чесноки просто тупо никогда не зайдут. Как ишак никогда не станет ахалтекинским скакуном.
ну, я как-то много лет в теме, где скакуны нужны, а где ишаки. Тут вроде-бы про мускуль речь шла.
> Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше
> изумишься, как много и прочно оракл получает на сверхбольших базах,Мужик, чтобы сгонять в магаз за продуктами никуда не уперся боинг-767, вместе с толпой техников для его обслуживания. Для этого простенького велосипеда хватит, который я сам обслужу :)
> Мужик. Изучи существо вопроса хоть чуть, прежде, чем изумляться. Ты еще больше
> изумишься, как много и прочно оракл получает на сверхбольших базах, которые
> реально слабо без рукопашной даже постгресу осилить. И на эту поляну
> никакие мускули-просто-марии-чесноки просто тупо никогда не зайдут. Как ишак никогда не
> станет ахалтекинским скакуном.Ораклоадмины до сих пор не в курсе, что мускул теперь тоже ораклом разрабатывается?
Блестящая эрудиция у вас.
Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.
Не знаю какие там удобные управлялки вы имели в виду, но например удобная управлялка пакетами ака пакетный манагер в таких случаях отлично помогает :)
> Не знаю какие там удобные управлялки вы имели в виду, но например
> удобная управлялка пакетами ака пакетный манагер в таких случаях отлично помогает
> :)А чтобы централизованно развернуть багфиксы на куче серверов - можно воспользоваться puppet с надстройкой для управления пакетным менеджером :)
Ну или , если puppet использовать религия не позволяет, можно сделать по Поттерингу - один /usr на всю ферму, экспортируемый в read-only по NFS и обновляемый один раз на главном сервере.Ну а противники "удобных управлялок" (включая SSH) будут бегать по всем серверам, подключаться к последовательным портам и вручную накатывать обновления. Желательно с флешки :)
> Ну а противники "удобных управлялок" (включая SSH) будут бегать по всем серверам,
> подключаться к последовательным портам и вручную накатывать обновления.Вот чем-то таким Человек Разумный от Человека Умелого и отличается :)
Первый пустит вместо себя въе скрипт или тулзень. Второй будет умело тыкать флешки.
Disclaimer: все имена - вымышлены. Любые совпадения с реальными персонажами случайны.
> Вот чем-то таким Человек Разумный от Человека Умелого и отличается :)
> Первый пустит вместо себя въе скрипт или тулзень. Второй будет умело тыкать флешки.Причем этих умелых большинство, и они громко кричат о том, что их условные рефлексы - это и есть unix way.
Толсто-же
> Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.Да, например, bash. Вот уж зло абсолютное, сколько гадостей им можно сделать!
А ssh вообще открытая дыра для хакеров.
А вы можете продложить альтенативу SSH?
> А вы можете продложить альтенативу SSH?А вы?
> А вы можете продложить альтенативу SSH?Конечно. ttyS0.
А кто пользуется SSH - тот сам себе злобный буратино :)
> Конечно. ttyS0....over tcp/ip :). А это можно...
> ...over tcp/ip :). А это можно...Зачем все эти новомодные свистоперделки? Только нульмодемный кабель, только хардкор!
>> ...over tcp/ip :). А это можно...
> Зачем все эти новомодные свистоперделки? Только нульмодемный кабель, только хардкор!"Никакого удаленного управления, только голая консоль!" кричал один админ.
И показывал браузер, в котором открыта страничка ip-kvm, с которой грузился vnc клиент на java =)
> И показывал браузер, в котором открыта страничка ip-kvm, с которой грузился vnc клиент на java =)
> ip-kvmТут же русским по белому писали, что "удобные управлялки" не нужны! :)
> Все эти "удобные управлялки" - зло. Кто ими пользуется - тот сам себе злобный буратино.Зачем так витиевато? Скажите проще: "я не осилил".
Отвечу всем сразу: не передёргивайте. Bash и SSH - это Ъ, а веб-прокладки со свистелками и перделками - это зло, проникающее в мир при помощи тех, кто не осилил "man -S5 server.conf".
> $ man -S5 server.conf
> Нет справочной страницы для server.confИ про какие "прокладки" идет речь?
Oracle такой Oracle!
Злобный и деревянный?
> В LibTIFF и libpng найдена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных изображений.Здравствуй венда.
>> В LibTIFF и libpng найдена уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных изображений.
> Здравствуй венда.Это не венда. Потому что дыры уже прикрыли.
В венде их бы оставили открытыми лет на 10, бережно портируя в новые версии.
> В венде их бы оставили открытыми лет на 10, бережно портируя в новые версии.А они там и останутся еще на десятилетие, ВНЕЗАПНО. Потому что софта юзающего эти либы - как грязи под ногами. Вот только виндозный апдейтер класть хотел что у третьесторонних прог - дырявые либы в комплекте.
Поэтому там где в пингвине качнется 1 мизерный пакет с libpng и все 20 прог резко его поюзают, в винде будет просто 20 разных прог. С своими собственными 20 копиями либы. А рюхается или не рюхается оно лишь в меру лени юзера и/или наличия/отсутствия у прог апдейтеров и чувства ответственности у их авторов.
Итого? Правильно - некоторые виндовые системы и через 10 лет можно будет этим сплойтом долбануть. Просто потому что на проблемы 3rd party олухов MS клал с прибором.
> Итого? Правильно - некоторые виндовые системы и через 10 лет можно будет этим сплойтом долбануть. Просто потому что на проблемы 3rd party олухов MS клал с прибором.И правильно. Зачем париться обо всяких безопасностях, если есть неслабая рыночная доля и жесткий маркетинг?
> И правильно. Зачем париться обо всяких безопасностях, если есть неслабая рыночная доля
> и жесткий маркетинг?Да. Вы как швабру предпочитаете - целиком или наполовину? У вас есть выбор :)
> Да. Вы как швабру предпочитаете - целиком или наполовину? У вас есть выбор :)Пол мести удобнее целой шваброй. Впрочем, пылесос всяко лучше.
> Пол мести удобнее целой шваброй.Это предвыборная швабра. Ей не подметают пол :)