Цитата с compulenta.ru
-----
Ошибка была найдена 19 января. Red Hat был проинформирован в тот же день через открытую систему документирования ошибок Bugzilla. 20 января ошибку уже признали серьезной, а ещё через день сотрудник российской компании "Инвента" Виктор Ашик вопользовался открытостью исходных текстов Red Hat Enterprise Linux 3 и предложил патч, устраняющий ошибку.
26 января компания Red Hat оповестила о наличии уязвимости и распространила обновленный пакет программы less с устраненной ошибкой.
-----
У меня вопрос. Если ошибку исправили 21-го, то почему только 26-го появился обновленный пакет? :new_huh:
Правда, в RH говорят, что exec_shield служит хорошей защитой от этой неприятности.
Дыра в less
Модератор: Модераторы разделов
-
- Сообщения: 295
Re: Дыра в less
Меня другое беспокоит - что это там такая за ашипка в лесс что ее признали серьезной ????
на нем сьюда нету
на нем сьюда нету
Re: Дыра в less
Вот например юзер создает в своей папки особый вредоносный файлик. Приходит рут и делает less на этом файле. Вот и все, конец системе . Слава богу, я less редко пользуюсь
Re: Дыра в less
Ребят, а можно свое мнение? При грамотной настройке и эксплуатации системы бОльшая часть всяких дыр становится или неактуальной или значительно менее опасной. Больше всего люблю chroot ^).
Re: Дыра в less
Товарищи начальники, обясните мне за генетику...
Какой вредоносный эффект может быть от просмотра текстового файла _любой_ командой (хотя бы трижды рутом)? И кто, пардон, командой less будет просматривать бинарник? Она ведь и сама об этом предупреждает...
Какой вредоносный эффект может быть от просмотра текстового файла _любой_ командой (хотя бы трижды рутом)? И кто, пардон, командой less будет просматривать бинарник? Она ведь и сама об этом предупреждает...
Re: Дыра в less
alv, даю полную новость, из нее все понятно. Дыра, конечно, сомнительная, но лучше бы ее залатать
Компания Inventa устранила дыру в Red Hat Enterprise Linux 3
01 февраля 2005 года, 14:29
Текст: Компьюлента
Сотрудник российской компании "Инвента" обнаружил опасную дыру в Red Hat Enterprise Linux 3.
Компания Red Hat признала, что обнаруженная ошибка переполнения буфера, находящегося в "куче", позволяет атакующему сконструировать файл, который приводит к аварийному завершению основной программы просмотра файлов less. Она могла быть использована для выполнения произвольного кода. Впрочем, в Red Hat считают, что технология exec-shield помешает успешной эксплуатации этой уязвимости на платформе x86. Эта технология включена по умолчанию в Red Hat Enterprise Linux, начиная с update 3.
Ошибка была найдена 19 января. Red Hat был проинформирован в тот же день через открытую систему документирования ошибок Bugzilla. 20 января ошибку уже признали серьезной, а ещё через день сотрудник российской компании "Инвента" Виктор Ашик вопользовался открытостью исходных текстов Red Hat Enterprise Linux 3 и предложил патч, устраняющий ошибку.
26 января компания Red Hat оповестила о наличии уязвимости и распространила обновленный пакет программы less с устраненной ошибкой.
Компания Inventa устранила дыру в Red Hat Enterprise Linux 3
01 февраля 2005 года, 14:29
Текст: Компьюлента
Сотрудник российской компании "Инвента" обнаружил опасную дыру в Red Hat Enterprise Linux 3.
Компания Red Hat признала, что обнаруженная ошибка переполнения буфера, находящегося в "куче", позволяет атакующему сконструировать файл, который приводит к аварийному завершению основной программы просмотра файлов less. Она могла быть использована для выполнения произвольного кода. Впрочем, в Red Hat считают, что технология exec-shield помешает успешной эксплуатации этой уязвимости на платформе x86. Эта технология включена по умолчанию в Red Hat Enterprise Linux, начиная с update 3.
Ошибка была найдена 19 января. Red Hat был проинформирован в тот же день через открытую систему документирования ошибок Bugzilla. 20 января ошибку уже признали серьезной, а ещё через день сотрудник российской компании "Инвента" Виктор Ашик вопользовался открытостью исходных текстов Red Hat Enterprise Linux 3 и предложил патч, устраняющий ошибку.
26 января компания Red Hat оповестила о наличии уязвимости и распространила обновленный пакет программы less с устраненной ошибкой.
Re: Дыра в less
(Exe @ Четверг, 03 Февраля 2005, 19:24) писал(а):alv, даю полную новость, из нее все понятно. Дыра, конечно, сомнительная, но лучше бы ее залатать
Спасибо, теперь понял
- VN_MAClover
- Сообщения: 1233
- Статус: Человек с бульвара Капуцинов
Re: Дыра в less
Главное в этой новости, ИМХО, что дыру заделали. :new_biggrin: Обновляем дистры и забываем.
In RMS we trust.
Зачем нам Ваши окна, если LAMPочка даёт достаточно света?
Зачем нам Ваши окна, если LAMPочка даёт достаточно света?
Re: Дыра в less
Описание, имхо, мутноватое, хотя я не специалист. Да и писалось не для специалистов. И вообще по сути на рекламу похоже.
Альтовцы вот вообще не чешутся и в рассылках у них на эту тему глухо.
Альтовцы вот вообще не чешутся и в рассылках у них на эту тему глухо.