Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Несколько недавно обнаруженных уязвимостей:
- В корректирующем выпуске Perl 5.38.1 устранена уязвимость
(CVE-2023-47038), которая может привести к записи одного байта за пределы выделенного буфера при обработке скомпилированных регулярных выражений с некорректно повторно определённым внутренним Unicode-свойством с именем, начинающимся на "utf8::perl". Проблема проявляется начиная с ветки Perl 5.30.
Кроме того, в Perl 5.38.1 устранена специфичная для платформы Windows уязвимость (CVE-2023-47039), позволяющая выполнить свой код при запуске скриптов при наличии возможности размещения в текущем каталоге файла cmd.exe (из-за отсутствия чистки путей для поиска исполняемых файлов Perl вначале пытается запустить cmd.exe в текущем каталоге). Например, злоумышленник может разместить свой cmd.exe в каталог C:\ProgramData и поднять свои привилегии, если администратор запустит Perl-скрипт из этого каталога.
- В облачной платформы ownCloud, от которой в 2016 году отделился проект Nextcloud, выявлена уязвимость (CVE-2023-49103), затрагивающая приложение graphapi и позволяющая определить содержимое переменных окружения, которые могут содержать пароль администратора, лицензионный ключ и учётные данные для подключения к почтовому серверу. Проблема вызвана использованием в graphapi сторонней библиотеки, которая среди прочего предоставляет обработчик GetPhpInfo.php, вызывающий функцию phpinfo(), в выводе которой присутствуют переменные окружения.
- В мультимедийном фреймворке GStreamer выявлены две уязвимости: CVE-2023-44446 - обращение к памяти после её освобождения (Use-After-Free) в коде разбора файлов MXF; CVE-2023-44429 - переполнение буфера в коде разбора формата AV1. Первая проблема вызвана отсутствием проверки объекта перед выполнением с ним операций, а вторая отсутствием проверки размера данных перед копированием в фиксированный буфер.
Уязвимости могут привести к выполнению кода злоумышленника при попытке обработки специально оформленных файлов MXF и мультимедийных данных в формате AV1. Отмечается, что векторы атаки зависят от реализации атакуемого приложения. Проблемам присвоен уровень опасности 8.8 из 10. Уязвимости устранены в выпуске GStreamer 1.22.7.
- В операционной системе реального времени Zephyr RTOS выявлено 25 уязвимостей, большинство из которых потенциально могут привести к выполнению кода атакующего. Уязвимости вызвана переполнениями буферов в WiFi shell, стеке Bluetooth, драйвере IPM, USB-стеке, драйвере IEEE 802.15.4, подсистеме Mgmt, файловой системе,
драйвере eS-WiFi и подсистеме CANbus.
Большинство уязвимостей устранено в выпуске Zephyr 3.5.0, но одна проблема (CVE-2023-4261) остаётся неисправленной (подробности о данной уязвимости не публикуются до появления исправления).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://metacpan.org/release/P...)
- OpenNews: Уязвимости в интерпретаторе Perl, связанные с обработкой переменных окружения и regexp
- OpenNews: В Perl модуле File::Path найдена уязвимость
- OpenNews: 25 уязвимостей в RTOS Zephyr, в том числе эксплуатируемые через ICMP-пакет
- OpenNews: Уязвимости в GStreamer, приводящие к выполнению кода при обработке файлов SRT и PGS
- OpenNews: Уязвимости в VLC и GStreamer, способные привести к выполнению кода при обработке контента
Похожие новости:
- Microsoft анонсировал открытие кода Azure RTOS и передачу проекта сообществу Eclipse
- Уязвимости в ядре Linux, Glibc, GStreamer, Ghostscript, BIND и CUPS
- Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Files и librsvg
- Уязвимости в GStreamer, приводящие к выполнению кода при обработке файлов SRT и PGS
- Доступен язык программирования Perl 5.38.0 с поддержкой классов
- Релиз компилятора Rakudo 2023.04 для языка программирования Raku (бывший Perl 6)
- Доступен мультимедийный фреймворк GStreamer 1.22.0
- Релиз компилятора Rakudo 2022.12 для языка программирования Raku (бывший Perl 6)
- В GStreamer реализована возможность поставки плагинов, написанных на Rust
- Релиз компилятора Rakudo 2022.06 для языка программирования Raku (бывший Perl 6)
Теги для поиска: #_perl, #_owncloud, #_gstreamer, #_zephyr, #_rtos
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 15:13
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Несколько недавно обнаруженных уязвимостей:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 15:13
Часовой пояс: UTC + 5