Persona non granata

В sudo найдена уязвимость, потенциально позволяющая получить root-доступ

источник : http://www.opennet.ru/opennews/art.shtml?num=32942

В корректирующем релизе утилиты sudo 1.8.3p2, используемой для организации выполнения команд от имени других пользователей, исправлена очень опасная уязвимость. Проблема вызвана ошибкой форматирования строки, которую может эксплуатировать любой пользователь, даже не упомянутый в настройках sudoers. Несмотря на то, что в публичном доступе пока не найдено готовых эксплоитов, потенциально уязвимость может привести к выполнению произвольных команд с правами пользователя root.

Проблема связана с появлением в sudo 1.8.0 нового отладочного режима, предназначенного для использования при разработке правил доступа или для создания плагинов для журналирования ввода/вывода. В функции sudo_debug() была допущена ошибка, связанная с использованием имени программы как части блока форматирования строки в fprintf(). Создав специально оформленную символическую ссылку на sudo и запустив утилиту по этой ссылке (или иными способами добившись подмены argv[0]), появляется возможность эксплуатации уязвимости.

Например:

 $ ln -s /usr/bin/sudo ./%s $ ./%s -D9 Segmentation fault 

Рекомендуется срочно обновить sudo 1.8.x до версии 1.8.3p2. Старые версии, младше релиза 1.8.0, выпущенного в феврале 2011 года, проблеме не подвержены (например, в Ubuntu 10.04 LTS используется 1.7.2p1, в Ubuntu 11.10 – 1.7.4p6, в Slackware – 1.7.4p6). В качестве временной меры защиты можно снять suid-флаг с исполняемого файла sudo. Для систем с поддержкой FORTIFY_SOURCE, например, NetBSD и большинство дистрибутивов Linux, можно пересобрать sudo, активировав в src/Makfile опцию «-D_FORTIFY_SOURCE=2″. На момент написания новости обновления были доступны только для FreeBSD и Gentoo. Пакет с sudo из состава Fedora 16 (возможно это касается и RHEL 6) изначально собран с опцией D_FORTIFY_SOURCE=2, т.е. не подвержен эксплуатации. Статус выпуска обновлений для различных дистрибутивов можно проследить на данных страницах: Ubuntu, Gentoo, Slackware, Mandriva, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian.

The Oracle Critical Patch Update for January 2012 was released on January 17th, 2012. Oracle strongly recommends applying the patches as soon as possible. Please note that Sun products are included in this Critical Patch Update.

The Critical Patch Update Advisory is the starting point for relevant information. It includes a list of products affected, pointers to obtain the patches, a summary of the security vulnerabilities, and links to other important documents. Supported Products that are not listed in the «Supported Products and Components Affected» Section of the advisory do not require new patches to be applied.

Also, it is essential to review the Critical Patch Update supporting documentation referenced in the Advisory before applying patches, as this is where you can find important pertinent information.

Critical Patch Update Advisories are available at the following location:

Oracle Technology Network:
http://www.oracle.com/technetwork/topics/security/alerts-086861.html

The Critical Patch Update Advisory – January 2012 is available at the following location:

Oracle Technology Network:
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

The next four Critical Patch Update release dates are:

• April 17, 2012
• July 17, 2012
• October 16, 2012
• January 15, 2013

01. Камикадзе (народному артисту России Л. Филатову)
02. Перевал любви
03. Четвертиночка
04. Вялотекущая шизофрения
05. Афганская вьюга
06. Посвящение Мандельштаму
07. Золотая клетка
08. Ты – мой ангел
09. Ночной кабак
10. Ша, братва…
11. Гоп-стоп
12. Кошки
13. Последний рейс (мужеству летчиков и памяти игроков ХК «Локомотив»)
14. Вечерняя застольная (трио с Иосифом Кобзоном)

индусы жгут :

Ftpks_Fcj_FtdConon_create–>Can you believe i am here
Ftpks_Fcj_FtdConon_create–>thank god i m here sucessfully

исчо:

Some problem has occured somewhere. Anyway I will shut shop and keep mum. I will not be blamed for FCs problems

— Знаешь, что? Засунь своё мнение в жопу! — Не могу: у меня там диплом филолога и мечты о прекрасном будущем…

Понравилось Долго читал  Праймашина. Вадим Панов но не потому что не интересно, читается легко, а потому что времени немного на чтение.

В игрушку не ходил, не знаю.

Чтоли опять начать маршрутками ездить?! +-3 в дороге на чтение литературы.

О, и Эскваер новый вышел Все так и норовит проскочить мимо меня

1. Однажды некий мудрец, не просветленный Дао и не пофигист по натуре, шел по лесу, размышляя о Смысле Жизни.

Внезапно на тропинке показалось Страшное Черное Лесное Говно.

- Мудрец, я тебя сейчас съем!

И мудрец, не просветленный Дао и не пофигист по натуре, заплакал и убежал.

Мораль: говна бояться – в лес не ходить.

2. Однажды некий мудрец, просветленный Дао и не пофигист по натуре, шел по лесу, размышляя о Смысле Жизни.

Внезапно на тропинке показалось Страшное Черное Лесное Говно.

- Мудрец, я тебя сейчас съем!

Мудрец, просветленный Дао и не пофигист по натуре, ответил:

- Нет, Страшное Черное Лесное Говно, это я тебя съем!

Долго они препирались, но Мудрец, просветленный Дао и не пофигист по натуре,оказался сильнее, чем Страшное Черное Лесное Говно.

И съел его.

Мораль: Добро опять победило зло, но у победы какой-то странный вкус.

3. Однажды некий мудрец, не просветленный Дао и пофигист по натуре, шел по лесу, размышляя о Смысле Жизни.

Внезапно на тропинке показалось Страшное Черное Лесное Говно.

- Мудрец, я тебя сейчас съем!

Мудрец, не просветленный Дао и пофигист по натуре, ответил:

- Да иди ты!

И пинком ботинка отшвырнул Страшное Черное Лесное Говно с тропинки. Тропинка освободилась, но сильно запахло говном.

Мораль: Не тронь говно, а то завоняет.

4. Однажды некий мудрец, просветленный Дао и пофигист по натуре, шел по лесу, размышляя о Смысле Жизни.

Внезапно на тропинке показалось Страшное Черное Лесное Говно.

- Мудрец, я тебя сейчас съем!

Мудрец, просветленный Дао и пофигист по натуре, не опускаясь до разговоров со всяким говном, продолжил свой путь.

И Страшное Черное Лесное Говно заплакало и навсегда-навсегда убежало из Леса, ибо больше всего обожало беседы с мудрецами.

Мораль: размышляешь о Смысле Жизни – не снисходи до разговоров со всяким говном.

Всегда было интересно кто проверяет приложения на «чистоту» ведь должны же быть офицеры безопасности

у компаний такого уровня как Google и  Apple с их маркетами.

Тоже меня гнетет и по поводу все возможных Linux.

про  Android market

http://today.mts.com.ua/posts/1753-android-market-polon-virusov

http://safe.cnews.ru/news/top/index.shtml?2011/12/02/466953

Будем послушать …