Показано с 1 по 1 из 1.

В пакетном менеджере RPM устранена опасная уязвимость

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,803
    Вес репутации
    141

    В пакетном менеджере RPM устранена опасная уязвимость

    Компания Red Hat сообщила об обнаружении в пакетном менеджере RPM опасных уязвимостей (CVE-2013-6435, CVE-2014-8118), позволяющих добиться выполнения кода злоумышленника при установке специально модифицированного пакета. Проблема усугубляется тем, что в процессе установки система верификации не выявляет модификации в архиве с мета-данными, т.е. злоумышленник может изменить корректно подписанный пакет.
    Изменения вносятся в архив с метаданными, содержащими информацию о версии, описание и другую сопутствующую информацию. Данные из архива распаковывается в отдельную директорию с временным именем. Проверка цифровой подписи осуществляется после полного завершения записи временного файла. Если подпись корректна, файл переименовывается в его реальное имя. При определённых обстоятельствах (CVE-2013-6435) в результате состояния гонки система может интерпретировать неверифицированный временный файл и выполнить указанные в нём команды (например, временный файл в /etc/cron.d может подхватить cron). Вторая уязвимость (CVE-2014-8118) проявляется из-за переполнения буфера в процессе обработки модифицированного заголовка архива CPIO, что также может быть использовано для выполнения кода атакующего при распаковке изменённых подписанных пакетов, сообщает opennet.ru.
    В качестве защиты от уязвимостей рекомендуется проверить цифровую подпись пакета до начала его установки. Уязвимости в основном представляют опасность при установке пакетов из сторонних источников, так как при прямой установке из штатных репозиториев RHEL и Fedora применяется шифрование TLS, которое защищает от подмены транзитного трафика. Обновления с устранением уязвимостей выпущены для RHEL (5.x, 6.x и 7.x) и CentOS. Для Fedora, SUSE и openSUSE обновление пока недоступно.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Опасная уязвимость в MediaWiki
    От CyberWriter в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 31.01.2014, 14:40
  2. Разработчики закрыли уязвимость в менеджере паролей LastPass
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 26.08.2013, 17:20
  3. Ответов: 0
    Последнее сообщение: 26.10.2012, 22:10
  4. На веб-портале Adobe обнаружена и устранена уязвимость
    От CyberWriter в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 27.07.2012, 13:30
  5. Устранена "критическая" уязвимость в Adobe Photoshop CS4 11.0.0
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 04.05.2010, 06:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00772 seconds with 18 queries