LINUX.ORG.RU

Переполнение динамической памяти при обработке LHA архивов в Dr.Web (эксплоит под Linux)


0

0

Уязвимость существует из-за ошибки при обработке LHA архивов, содержащих длинные имена директорий в расширенном заголовке директории. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Написан рабочий эксплоит для Dr.Web (R) Scanner for Linux v4.33 (4.33.0.09211).

>>> Подробности

anonymous

Проверено: Obidos ()

Нда, баг с распаковой bzip2 уже не котируется :-)

Все дружно обновляются

anonymous
()
Ответ на: комментарий от ManJak

>Да и куда? Авторы пока ничего не предпринял пока.

на clamav :)

mic ★★★★★
()
Ответ на: комментарий от anonymous

>Кто этим lha пользуется?

А головой думать пробовал? Может никто и не пользуется, но это не запрещает отправлять письма с lha архивом.

Dubrovsky
()
Ответ на: комментарий от anonymous

>Этим LHA пользуются те кто хочет запустить произвольный код на удалённой системе! ;)

Ну, хоть для чего-то он пригодился.
=))))))))))))

ЗЫ
Нежто, нужен этот антивирь?
Вирусов-то нет, а на сегодняшний день, получается, что вреда от него даже больше =)))))

ManJak ★★★★★
()

интересное средство предлагают для решения этой проблемы,

CheckArchives = No


что равносильно отключению проверки вообще. У меня через почтавик вирусы ходят в основном в архивах.

В общем новость херовая.

anonymous
()
Ответ на: комментарий от ManJak

>Все дружно обновляются

>Да кто обновляется? >Им никто не пользуется.

Действительно, неужели остались еще динозавры юзающие это...

anonymous
()

только что попробовал эксплойт

при drweb:x:500:500:Dr.Web(R) daemon account:/opt/drweb:/sbin/nologin

проверка выдает *** glibc detected *** double free or corruption (!prev): 0x093c4ab8 *** Aborted

никакого shell не предоставляется!

anonymous
()
Ответ на: комментарий от anonymous

> проверка выдает *** glibc detected *** double free or corruption (!prev): 0x093c4ab8 *** Aborted

И наверняка drweb подыхает :) Мелочь, а приятно :)

zenith ★★★
()
Ответ на: комментарий от anonymous

>Кто этим lha пользуется?

awardовские биосы им упаковываются

arax ★★
()
Ответ на: комментарий от post-factum

Я вообще не пользуюсь, отсюда вопрос:

А claimav не умеет?
Вроде он ближе к нам =)

ManJak ★★★★★
()
Ответ на: комментарий от anonymous

>не почтовый демон после этого выжил! а почему ты так не любишь drweb?
Потому, что это говно.

anonymous
()
Ответ на: комментарий от anonymous

Ногами не пинайте, но Подоконники говорят, что Двэб лучший =)
По мне, конечно пофигу, вирус еще написать надо =)

ManJak ★★★★★
()

Весь японский софт

Все патчи для японского софта

Любые документы, запаковынные в японии.

ТОЛЬКО lha. Да, жмет плохо. Да, программ мало. Да, мало метаинформации в архивах. Но это из той же серии, почему в России почти все используют ICQ, несмотря на существование более прямых сетей, или почему у нас так много людей любит RAR, когда в остальной части света фаворитом является ZIP. Вот в японии - все жмут только с помощью LHA.

anonymous
()
Ответ на: комментарий от anonymous

> Кто этим lha пользуется?

Те, кто хотят удаленно поиметь сервер, на котором стоит drweb?

dmesg
()
Ответ на: комментарий от anonymous

То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат. Вот, к примеру, у любимого Вами clamav такое случается не реже одного раза в месяц и, похоже, это не излечимо. Назовите хотя бы одну серьезную организацию, которая использует clamav как корпоративное решение.

anonymous
()
Ответ на: комментарий от anonymous

>То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат

может не искал никто, или очень мало искали

Firestorm
()
Ответ на: комментарий от anonymous

> ps: венде то теперь точно капец :)

Не это пингвиньим админчегам и бсдунам писец пришел. Раз-два-три-четыре-пять мы идем вас всех рутать. Кто не спрятался - сам и виноват. :)

anonymous
()
Ответ на: комментарий от anonymous

> То, что случилось обнаружить одну уязвимость в Dr.Web Linux Scanner за год это хороший резултат.

Угу остальные используемые для взлома уязвимости в закрытом коде drweb пока еще не обнаружились. Действительно это очень хороший результат. :)

anonymous
()
Ответ на: комментарий от anonymous

Это у тебя взгляд на вещи кривой :)
ZIP-ом пользуются потому что он везде есть - и в том числе в XP например !
А так по степени сжатия и фичам ZIP совершенно не может конкурировать против RAR или ACE.
Взять например многотомные архивы в ZIP - они вообще есть ? Их кто-нибудь поддерживает ? А создание архивов больше 2 Gb ?

odip ★★
()
Ответ на: комментарий от odip

>Взять например многотомные архивы в ZIP - они вообще есть ?

Ты чего, они еще были когда ты пешком под стол ходил....

2All:Нафига спрашивается придумали SELinux ?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.