28.02.2010 22:34 Уязвимости в KDE, sudo, PDNS-Admin, Asterisk, OCS Inventory NG и TYPO3

Несколько свежих уязвимостей:

* В KDE 4.4.0 обнаружена уязвимость, позволяющая инициировать крах хранителя экрана и осуществить вход в заблокированное пользовательское окружение без ввода пароля;
* В реализации команды sudoedit из комплекта sudo, позволяющей редактировать файлы в привилегированном режиме, найдена уязвимость, позволяющая локальному пользователю выполнить код с привилегиями суперпользователя. Для удачной эксплуатации уязвимости необходимо, чтобы пользователю были назначены права запуска "sudoedit" и чтобы вызов sudoedit был прописан в файле sudoers без указания полного пути. Проблема исправлена в sudo 1.6.9p21 и 1.7.2p4;
* В PDNS-Admin 1.1.8, web-интерфейсе для управления DNS-сервером PowerDNS, найдена уязвимость, позволяющая злоумышленнику получить содержимое любого файла на сервере, через передачу специальным образом оформленной переменной "lang";
* В Asterisk 1.6.0.25, 1.6.1.17 и 1.6.2.5 исправлено две уязвимости: ошибка в парсере ACL может быть использована подключения к системе с запрещенных через список доступа адресов; возможность осуществления непредусмотренных диалпланом настроек, через подстановку строки, в случае использования в правилах диалплана переменной ${EXTEN};
* В открытом пакете для организации инвентаризации оборудования OCS Inventory NG найдена возможность подстановки SQL-кода на сервере через поле "login";
* В системе управления web-контентом TYPO3 найдено 4 уязвимости, позволяющие злоумышленнику получить доступ к скрытым данным, осуществить подстановку java*script кода, организовать межсайтовый скриптинг и обойти некоторые ограничения безопасности. Проблемы исправлены в версии 4.3.2.


http://www.opennet.ru/opennews/art.shtml?num=25611