blob: 2af6bf523b6865ffd648a24b42b010b4244a48a9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
#use wml::debian::translation-check translation="9935cd8456950748eabb78a1723066b91eff94c3" maintainer="Lev Lamberov"
<define-tag moreinfo>Lez обнаружил уязвимость форматной строки в stunnel (инструементе
для создания универсального SSL-тоннеля для других сетевых служб). Брайн Хатч
ответил, указав, что он уже готовит новый выпуск с многочисленными
исправлениями безопасности:
<ol>
<li>Начальное число для PRNG (порождение псевдослучайных чисел) выбирается неправильно. Это
касается только операционных систем, которые не имеют безопасного генератора случайных значений (как
Linux).
<li>Pid-файлы создаются небезопасным способом, что делает stunnel уязвимым к атаке через символьные ссылки.
<li>Небезопасный вызов syslog() может использоваться в случае, если пользователь
может вставить текст в текст журнала. По меньшей мере, один способ использования
данной уязвимости с использованием поддельных ответов identd была продемонстрирован Lez.
</ol>
<p>Эти проблемы были исправлены в версии 3.10-0potato1.</define-tag>
<define-tag description>небезопасная работа с файлами, ошибка форматной строки</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225a.data'
|
