BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #306, 31.08.2011


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
Новости из мира распределенных систем

#306, 31.08.2011

История с левыми сертификатами затронет не только Google
dl // 31.08.11 11:59
История, конечно, замечательная. Голландский CA DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще "нескольких дюжен" сайтов - и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты - от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).
Источник: InfoWorld


Не очень опасный червь распространяется через RDP
dl // 28.08.11 23:22
Новый червь Morto использует RDP-соединение для своего распространения. При обнаружении доступного RDP-сервера он пытается подобрать пароли по словарю, что вместе со сканированием сети генерирует большое количество RDP-трафика (порт 3389).

Поскольку червь не использует какие-то особые уязвимости, владельцы систем с нормальными паролями могут спать спокойно. Внимания он заслуживает разве что из-за своего относительно нового механизма распространения.
Источник: Slashdot


Серьезная ошибка в LDAP-аутентификации в Mac OS X Lion
dl // 26.08.11 23:35
Apple сделала большущий подарок корпоративным пользователям своей последней OS, использующим LDAP-аутентификацию - Lion позволяет получать доступ к ресурсам с использованием любого пароля. Пока не вполне понятен механизм (сама Apple еще не признала проблему) - похоже, что это происходит лишь при апгрейде на Lion с предыдущей версии системы.

Ошибка не была исправлена и в свежевышедшей версии 10.7.1 (хотя первая информация о ней появилась еще месяц назад), так что пока Lion представляет собой одну большую дыру в случае использования в сетях с LDAP-аутентификацией и наглядно демонстрирует, что Apple, мягко говоря, весьма поверхностно тестирует использование своей OS в корпоративном окружении.
Источник: The Register


20 лет первому посту о Linux
dl // 25.08.11 20:57
25 августа 1991 года в 20:57:08 GMT некий студент из Хельсинки с адресом torvalds@kruuna.helsinki.fi отправил в конференцию comp.os.minix сообщение под заголовком "What would you like to see most in minix?", в котором рассказал, что пишет бесплатную операционную систему, свободную от кода minix (чисто хобби, не будет такой большой и профессиональной, как gnu), в которой уже вроде работают bash 1.08 и gcc 1.40, но нет переносимости, и вряд ли когда-нибудь она будет работать с чем-то помимо ATшных винчестеров.

P.S. Похоже, что оригинал этого сообщения исчерпал сегодня квоту трафика для linux.org.
Источник: Slashdot


Создатели Apache срочно бросились исправлять ошибку четырехлетней давности
dl // 25.08.11 00:06
В ближайшее время ожидается исправление, закрывающее ошибку в Apache, связанную с обработкой множества последовательных GET-запросов с перекрывающимися значениями заголовка Range. В сочетании с gzip-сжатием на лету это быстро забивает всю память на атакуемой машине.

Любопытно, что еще в январе 2007 года на неудачную реализацию обработки Range в Apache и IIS обращал внимание польский исследователь Михал Залевский (Michal Zalewski), хотя тогда у него и не дошло дело до реального ее использования.

До выхода исправления владельцам серверов предлагается на выбор несколько временных решений от запрета обработки Range до запрета сжатия на лету.
Источник: The Register


Третья пятерка из рейтинга статей: [ http://bugtraq.ru/library/rating/ ] В Финляндии с интернет-зависимостью не берут в армию [9.19] [ http://bugtraq.ru/rsn/archive/2004/08/06.html ] 04.08.04 03:17 Тестер. Часть 3 [9.15] [ http://bugtraq.ru/library/fiction/tester3.html ] 04.02.06 02:23 Проверка целостности установленной linux-системы перед использованием [9.15] [ http://www.bugtraq.ru/library/security/integrity.html ] 21.08.03 19:47 Space dot com [8.94] [ http://bugtraq.ru/library/fiction/spacedotcom.html ] 16.04.06 05:26 Dont feed forum trolls. Форумные тролли паразиты Сети. [8.92] [ http://bugtraq.ru/library/underground/trolls.html ] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:


[humor]
Ничего не получается прочти инструкцию? фиг там! DSL-2600U ломает этот шаблон ни один чайник не настроит wifi, следуя этому принципу, потому что... [883]
[site updates]
Утечка мегафонных SMS [258]
[site updates]
#301 [223]
[operating systems]
[WinXP] Проблема 2000 года в 2011 году. Есть повод завестись ("пятничная" тема). [220]
[site updates]
DDoS в России неподсудны? [115]

Самые обсуждаемые темы форума за последнюю неделю:


[beginners]
кто-то убивает сервис windows defender
[humor]
Ничего не получается прочти инструкцию? фиг там! DSL-2600U ломает этот шаблон ни один чайник не настроит wifi, следуя этому принципу, потому что...
[humor]
Гугль жгет))
[site updates]
Утечка мегафонных SMS
[operating systems]
[WinXP] Проблема 2000 года в 2011 году. Есть повод завестись ("пятничная" тема).



Ведущий рассылки:
Дмитрий Леонов, http://leonov.livejournal.com/


В избранное