Несколько недавно обнаруженных уязвимостей:

• В вышедшем на днях релизе свободного антивирусного пакета ClamAV 0.96.5 устранено 2 уязвимости, потенциально позволяющие организовать выполнение кода злоумышленника: удаленный вызов краха процесса clamd при проверке специально оформленных PDF-файлов и переполнение буфера в функции «icon_cb()»;
• В релизе OpenSSL 1.0.0c устранены две уязвимости: возможность использования прошлой версии набора шифров через изменение прокэшированных параметров TLS/SSL сессии; ошибка в реализации протокола аутентификации J-PAKE позволяет сгенерировать предсказуемый сессионный ключ и успешно пройти аутентификацию;
• В DNS-сервере BIND 9.6.2-P3 и 9.7.2-P3 устранено 3 уязвимости, позволяющие инициировать удаленный отказ в обслуживании, вызвать пометку в DNSSEC валидной DNS-зоны как небезопасной и обойти «allow-query» ограничение ACL;
• В MIT Kerberos обнаружены 7 уязвимостей, которые позволяют осуществить подстановку данных (спуфинг), повысить свои привилегии и обойти некоторые ограничения безопасности. Исправление пока доступно только в виде патчей;
• В свободном Flash-плеере Gnash найдена уязвимость, связанная с некорректным созданием временных файлов, что может быть использовано злоумышленником для подмены временного файла на символическую ссылку с целью повреждения определенных файлов другого пользователя;
• В IPv6-стеке NetBSD найдена уязвимость, позволяющая вызвать отказ в обслуживании через отправку специально оформленного UDP6-пакета;
• В релизе системы управления web-контентом WordPress 3.0.2 устранена уязвимость, позволяющая аутентифицированному пользователю CMS с правами автора («Author-level») совершить подстановку SQL-кода через форму отправки комментария.