[ON] Критические уязвимости в Samba и Adobe Flash Player

[rssbot]

В результате аудита кода проекта Samba, проведенного одним из инженеров компании Cisco, во всех поддерживаемых ветках Samba 3.x обнаружена критическая уязвимость, теоретически позволяющая удаленному неаутентифицированному злоумышленнику выполнить свой код на сервере. Проблема вызвана некорректной проверкой в функции sid_parse() параметра, указывающего на размер буфера, отводимого для чтения бинарного представления Windows SID (Security ID). Ошибка позволяет клиенту инициировать переполнение буфера через отправку специально оформленного пакета с некорректно выставленным SID-значением. Для успешной эксплуатации уязвимости, злоумышленник должен иметь аутентифицируемый или неаутентифицируемый (гостевое соединение) доступ к Samba-серверу. Проблема устранена в выпущенных сегодня корректирующих выпусках Samba 3.5.5, 3.4.9 и 3.3.14, исправления для более старых веток можно загрузить в виде патча. Обновления пакетов с Samba пока выпущены только для Ubuntu и недоступны на момент написания новости для Slackware, FreeBSD, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL и Debian. Кроме того, критическая уязвимость, допускающая выполнение кода злоумышленника при открытии специально оформленной web-страницы, зафиксирована в Adobe Flash Player 10.1.82.76 и более ранних версиях для платформ Linux, Solaris, Android, MacOS X и Windows. Обновления пока не выпущено и ожидается для Adobe Flash Player только 27 сентября, а для Adobe Reader и Acrobat - 4 октября. До выпуска обновления единственным вариантом защиты остается временное отключение Flash-плагина. В отчете об обнаружении проблемы утверждается, что уже зафиксированы случаи эксплуатации данной уязвимости, судя по всему эксплоит уже доступен злоумышленникам.


Источник: http://www.opennet.ru/opennews/art.shtml?num=27960


оригинал на opennet.ru

[Bluetooth]

Проблема устранена в выпущенных сегодня корректирующих выпусках

Обновления пока не выпущено и ожидается для Adobe Flash Player только 27 сентября

Весьма показательно :)

[sash-kan]

Весьма показательно

те, кому «всё равно каким п.о. пользоваться, лишь бы работало» явно не согласятся и скажут, что это «исключение» и «единичный случай».

[BURF]

а как со встроенным flash в chrome дела? или туда просто адобовский в plugins ложат?

[frp]

те, кому «всё равно каким п.о. пользоваться, лишь бы работало» явно не согласятся и скажут, что это «исключение» и «единичный случай».

Что-то этих "исключений" и "единичных случаев" слишком много.

[sash-kan]

те, кому «всё равно каким п.о. пользоваться, лишь бы работало» явно не согласятся и скажут, что это «исключение» и «единичный случай».

Что-то этих "исключений" и "единичных случаев" слишком много.

те же самые люди укажут на «статистику» в которой гораздо более внушительное количество багов в проприетарном п.о. озвучивалось публике лишь после выхода баг-фиксов. и будут по-своему правы.

[frp]

те же самые люди укажут на «статистику» в которой гораздо более внушительное количество багов в проприетарном п.о. озвучивалось публике лишь после выхода баг-фиксов. и будут по-своему правы.

Давно уже слышал мнение, что Linux - очень плохая система, главный довод - в багзилле много багов.

[Bluetooth]

Весьма показательно

те, кому «всё равно каким п.о. пользоваться, лишь бы работало» явно не согласятся и скажут...

Пускай говорят что хотят (: