Обзор недавно обнаруженных уязвимостей:
- В канальном SIP-драйвере из состава пакета Asterisk обнаружена уязвимость, потенциально позволяющая злоумышленнику организовать выполнение своего кода на сервере путем передачи специально оформленного блока информации об инициаторе звонка. Для успешного проведения атаки SIP-драйвер должен быть сконфигурирован со включенной опцией «pedantic». Проблема исправлена в корректирующих выпусках Asterisk 1.4.38.1,
1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 и 1.8.2.2 (исправление было заявлено в версии 1.8.2.1 но из-за ошибки уязвимость не была в ней исправлена); - Компания Oracle выпустила январский набор патчей с устранением 66 уязвимостей в своих продуктах.
- В офисных пакетах Oracle Open Office 3.2.1 и StarOffice/StarSuite 7/8 устранено несколько опасных уязвимостей, позволяющих выполнить код злоумышленника при обработке специально оформленных файлов с презентациями. Примечательно, что в OpenOffice.org данные уязвимости были устранены еще летом;
- В СУБД Oracle найдено 6 опасных уязвимостей, используя которые аутентифицированный злоумышленник может получить доступ к закрытой информации и повысить свои привилегии;
- В VirtualBox 4.0 найдена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе. Подробности не сообщаются.
- В утилите RVM (Ruby Version Manager) 1.2.1 исправлена ошибка, которая позволяла пользователям выполнять команды с повышенными привилегиями;
- В прошивке к точке доступа Linksys WRT54GC найдено переполнение буфера, позволяющее организовать выполнение кода на устройстве, через формирование специально оформленного длинного HTTP POST-запроса к web-интерфейсу. Проблема исправлена в прошивке 1.06.1.