26 марта в Москве пройдет конференция "CIO - World. Госсектор"

18 марта | CNews.ru

26 марта в московском отеле «Марриотт Гранд Отель» при поддержке Министерства экономического развития и торговли РФ и Министерства связи РФ пройдет конференция "CIO - World. Госсектор". Организаторами конференции выступили газета «Ведомости» и Фонд «Новая экономика».

Цели конференции:

• Обсуждение вопросов, связанных с внедрением ИТ в министерствах и ведомствах РФ, а также в региональных органах власти;
• Выработка единых подходов к информатизации госсектора;
• Создание площадки для взаимодействия лиц, отвечающих в министерствах и ведомствах за ИТ-решения для более эффективного решения профессиональных вопросов;
• Институализация CIO (chief information officer, руководителей служб информатизации) в государственном секторе.

Темы конференции:

• CIO: место в управленческой структуре госведомства;
• Состояние дел с внедрением ИТ-решений в министерствах и ведомствах РФ;
• Основные государственные приоритеты внедрения ИТ в министерствах и ведомствах РФ;
• Технология и порядок организации тренингов и обучения сотрудников министерств и ведомств, отвечающих за внедрение ИТ в госсекторе;
• Опыт развитых стран и коммерческих структур по внедрению ИТ;
• Электронный документооборот, системы поддержки принятия решений, ERP и CRM-системы, как часть ИТ-стратегии госведомства.

Аудитория конференции

• Сотрудники министерств и ведомств, отвечающие в государственных ведомствах за внедрение ИТ, закупки ИТ-решений, компьютерной техники и т.п.,
• Представители региональных органов власти, отвечающие в государственных ведомствах за ИТ-решения,
• Представители коммерческих структур, предлагающие решения в области информатизации.

В рамках конференции предусмотрены круглые столы:

• Персональный учет населения
• Совершенствование законодательства
• Электронные закупки товаров для нужд государства
• ОГИРы и ЭАРы

Стоимость участия в конференции $350 (без учета НДС, включает пакет материалов, кофе, обед). Регистрационная форма и информация по адресу events.vedomosti.ru

Новый протокол скоростного интернета

18 марта | SecurityLab.ru

Исследователи из Университета штата Северная Каролина сообщили о разработке и успешных испытаниях нового протокола передачи данных, который позволит значительно повысить скорость пересылки информации в интернете. Новый протокол получил название BIC-TCP (Binary Increase Congestion Transmission Control Protocol). Сравнительные испытания, проведенные в Стэндфордском университете показали, что новый протокол отличается достаточно высокой стабильностью, масштабируемостью и надежностью, сообщает компьюлента.

BIC-TCP призван решить проблему закупорки каналов передачи данных при передаче больших объемов информации. В частности, даже самые широкие каналы обмена научной информации могут страдать от своеобразных "пробок" при активном обмене информацией. Например, вызвать "пробки" может передача спутниковых фотографий высокого разрешения, данных о земном климате и другой подобной информации. По мнению разработчиков нового протокола, справиться с пробками в каналах передачи данных можно, лишь обойдя ограничения традиционно применяемого в интернете протокола TCP. Этот протокол разрабатывался в 1980-ые годы в расчете на значительно более медленные и ненадежные линии связи. Современность же требует перехода на более совершенные технологии.

Именно такой разработкой и является BIC-TCP. В этом протоколе используется принцип бинарного поиска, позволяющий быстро определить возможности канала по передаче данных без риска значительной их потери. При этом выбор оптимального режима передачи данных занимает доли секунды, тогда как в случае TCP на это может потребоваться весьма продолжительное время. В случае BIC-TCP информация передается пакетами значительно большего объема, чем в случае обычного TCP. Соответственно, уменьшается и доля служебного трафика (заголовки пакетов, контрольные суммы и т.д.).

США собираются жаловаться на Китай в ВТО

18 марта | SecurityLab.ru

Поводом для тяжбы стало требование китайского правительства, согласно которому все импортные чипы, используемые в устройствах беспроводной связи, должны напрямую поддерживать китайские стандарты криптозащиты.

По информации журнала The Inquirer, ссылающегося на газету Wall Street Journal, администрация президента Дж. Буша-мл. посчитала китайское «беспроводное» эмбарго прямым нарушением устава Всемирной торговой организации и уже объявила о своем намерении подать соответствующую жалобу в ВТО. Еще одной причиной недовольства президента Буша стал 17-процентный налог на добавленную стоимость, от которого освобождены местные производители интегральных схем.

По мнению авторов журнала, Китай, имеющий 120-миллиардный профицит в торговле с США, скорее всего, даже не заметит американской жалобы. В конце концов, если верить экспертам, именно Китаю предстоит стать «Великим драконом» полупроводникового бизнеса. А помогут ему в этом западные компании, которых привлекает дешевизна местной рабочей силы и трогательная забота правительства, сообщает Internet.ru.

Троян Phatbot подключает компьютеры к Р2Р-сети

18 марта | compulenta

Специалисты по вопросам компьютерной безопасности вновь бьют тревогу. Во Всемирной сети обнаружен новый вирус под названием Phatbot, уже успевший заразить сотни тысяч компьютеров, работающих под управлением операционных систем Microsoft Windows.

Как сообщается, Phatbot представляет собой троянскую программу, способную проникать на машины через дыры в Windows или "черные ходы", оставленные другими вирусами, в частности, MyDoom и Bagle. После проникновения на компьютер вирус выполняет несколько основных операций. Во-первых, Phatbot ищет в памяти запущенные антивирусные процессы и пытается их закрыть (всего вирусу известно порядка 600 таких процессов). Во-вторых, троян вносит изменения в системный реестр, обеспечивая, тем самым, свой автоматический запуск при каждом включении компьютера. В-третьих, программа пытается украсть персональную информацию - логины и пароли для доступа к системе мгновенного обмена сообщениями AOL, ключи к играм, регистрационные ключи Windows и пр. Наконец, Phatbot подключает инфицированную машину к особой Р2Р-сети.

По словам экспертов, такая Р2Р-сеть может использоваться для организации DoS-атак или же для отправки миллионов рекламных сообщений без ведома владельцев компьютеров. Ситуация ухудшается еще и тем, что деактивировать вирус можно только лишь путем очистки всех до единого компьютеров, входящих в такую пиринговую сеть.

Следует заметить, что в основе Phatbot лежит код программы Waste - средства для организации пиринговой системы, разработанного сотрудниками американской фирмы Nullsoft. В настоящее время антивирусные компании заняты поисками средств защиты от Phatbot.

Mozilla.org борется с пиратами

18 марта | ИНФОБИЗНЕС

Организация Mozilla Foundation, созданная прошлым летом для обеспечения финансирования разработки и распространения программных продуктов, создаваемых сообществом Mozilla.org, начала борьбу с пиратством. И хотя все программы, создаваемые Mozilla.org, имеют открытый код и распространяются бесплатно, с торговыми марками и логотипами дело обстоит сложнее. Они зарегистрированы Mozilla Foundation в качестве торговых марок и находятся под защитой соответствующих американских законов.

До последнего времени внимание на этом не акцентировалось, однако 16 марта Фондом было опубликовано открытое письмо, подписанное одним из ведущих разработчиков Mozilla Джервесом Маркхэмом и адресованное всем торговцам товаров с символикой Mozilla. В письме говорится, что, поскольку Mozilla Foundation владеет правами на торговые марки Mozilla, Firefox и логотип Firefox (лиса на фоне земного шара), то продажа товаров с этими знаками требует официального разрешения со стороны Фонда Mozilla.

В Mozilla Foundation хотели бы контролировать качество изделий со своими торговыми марками, а также получать часть доходов от их реализации. Всем лицам, продающим товары с символикой Mozilla или Firefox необходимо немедленно прекратить торговлю и связаться с Mozilla Foundation для обсуждения условий лицензирования. Более того, поскольку у Фонда есть собственный онлайновый магазин Mozilla Store, обслуживающий США, Канаду и Мексику, то Mozilla Foundation, скорее всего, не даст разрешения на продажу товаров с символикой Mozilla другим торговцам из этих стран. Торговцам из других государств договориться с Фондом будет проще.

И хотя, в целом, письмо выдержано в дружелюбном тоне, а его автор использует смайлики, Фонд настроен очень серьезно. Это видно и из нежелания продавать лицензии торговцам из Северной Америки и из постскриптума, в котором говорится, что, в случае чего, Mozilla Foundation может обратиться в суд.

Интернет-преступность: мелкие махинации – крупные убытки

18 марта | Интернет-преступность: мелкие махинации – крупные убытки

Преступления в сфере компьютерной информации могут повлечь тяжкие последствия: безвозвратную утрату особо ценной информации, выход из строя важнейших технических средств - например, систем оборонного назначения, навигационной техники. В подобных ситуациях "хозяину" вируса грозит перспектива провести за решеткой до 7 лет.

Большинство компьютерных вредителей так высоко не замахиваются. Их удел - мелкие пакости. Впрочем, для людей и организаций, пострадавших от рук хакеров, последствия не кажутся такими уж малозначительными. Вредоносные программы создаются с определенной целью: уничтожать, блокировать, модифицировать или копировать информацию. Это позволяет совершать целый ряд других преступлений, в том числе - связанных с нарушениями неприкосновенности частной жизни, тайны сообщений, авторских и смежных прав, незаконным получением кредита, мошенничеством, разглашением сведений, составляющих коммерческую или банковскую тайну, и многим другим.

Благодаря Интернету кража персональных данных, махинации с акциями, кража кредитных карт совершаются легко, как никогда. По оценкам Business Week, сделанным на основе данных правоохранительных органов и аналитиков, финансовые аферы в Сети обходятся фирмам и потребителям в $22 млрд. в год. Кражи персональных данных в прошлом году причинили ущерб в размере $12 млрд., утверждают специалисты Identity Theft Resource Center. SEC подала в суд иски о мошеннических схемах Интернет-манипуляций на бирже, из-за которых инвесторы в совокупности потеряли $1,5 млрд. Власти считают, что удается обнаружить только 1 из 10 случаев Интернет-жульничества, поэтому реальные потери вполне могут быть более $10 млрд.

Оказаться жертвой аферистов можно на удивление просто. Например, продавец выставляет на электронный аукцион (e-Bay) товар. Мошенник, овладевая незаконным путем первичными данными пользователя системы платежей, например, Pay-Pal, ведет переписку с продавцом от лица пользователя и просит его прислать названный товар, якобы своему другу, например, в Украину, по адресу, где собственно, живет мошенник. Таким образом, продавец отсылает товар, мошенник его получает, а платеж не проходит после проверки на предмет мошенничества.

Аль-Каида планирует беспрецедентную кибератаку

18 марта | http://www.crime-research.ru/

Научный сотрудник сингапурского Института Юго-Восточной Азии Майкл Ричардсон заявил в среду 17 марта, что, по имеющимся у него данным, международная террористическая сеть Аль-Каида планирует "беспрецедентную кибератаку, направленную на национальную инфрастуктуру Сингапура, Индонезии и других стран мира".

При этом эксперт полагает, что Аль-Каида вряд ли пойдет на компьютерные атаки против США или Израиля. По мнению эксперта, кибертеррористы могут использовать киберудары по критически важным элементам инфрастуктуры Сингапура, Индонезии и некоторых других стран мира, у которых нет такой мощной системы информационной защиты, какими располагает США или Израиль.

Ричардсон уверен, что «рано или поздно Аль-Каида или один из филиалов этой сети создадут и приведут в действие «кибербомбу», доставив ее к месту назначения посредством глобальной информационной сети Интернет».

Микрочип, который всегда с тобой

18 марта | OSP.RU

Компания RussGPS объявила о начале поставок в Россию технологии радиочастотной идентификации (RFID) VeriChip производства Applied Digital Solutions (ADSX, США). VeriChip представляет собой микрочип длиной 11 мм и диаметром 2,1 мм, который вводится под кожу человека. Стандартное расположение чипа - в области трицепса, между локтем и плечом правой руки. В чипе содержится идентификационный код, связанный с базой данных, в которой может находиться информация любого рода, в том числе и медицинские сведения. Активация информации происходит с помощью радиосканера. RussGPS предлагает использовать технологию RFID для сотрудников МЧС и силовых ведомств, чья профессиональная деятельность связана с постоянным риском, а также для лиц, страдающих тяжелыми заболеваниями, связанными с расстройством памяти. Информация, полученная с чипа, может спасти жизнь человеку, "сообщив" о группе крови, индивидуальной непереносимости отдельных лекарств или диагнозе заболевания. По договору с ADSX, в течение 2004 года RussGPS закупит тысячу VeriChip и сто сканеров. Всего в течение следующих пяти лет компания рассчитывает закупить 51 тыс. чипов и 2600 сканеров. RussGPS является эксклюзивным поставщиком решений компании ADSX на территории Европы и России и владельцем патента на VeriChip в России.

"Юпитер" и "Кольчуга" в основе промышленной безопасности России

18 марта | OSP.RU

Компания ИВК объявила, что ее разработки "ИВК Юпитер" и "ИВК Кольчуга" стали системообразующей основой Государственной автоматизированной информационно-управляющей системы регулирования промышленной безопасности России (АИС ПБ). Заказчиком системы является Федеральный горный и промышленный надзор России (Госгортехнадзор) - структура, уполномоченная Правительством РФ надзирать за всеми промышленными предприятиями, где есть опасные производственные объекты. Для создания АИС ПБ Госгортехнадзор привлек в качестве разработчика информационно-аналитический центр (ИАЦ) "Промышленная безопасность", основным партнером которого стала компания ИВК. Сам центр участвует в постановке задач, отвечает за разработку прикладного ПО и создание системы в целом, а также выступает в качестве генерального подрядчика. В свою очередь, ИВК является поставщиком вычислительной техники и системообразующего ПО. "ИВК Юпитер" отвечает за безопасное и надежное взаимодействие всех компонент прикладного программного обеспечения, используя существующие каналы связи. В АИС ПБ "ИВК Юпитер" обеспечивает: гарантированную доставку и обработку информации; защиту прикладного и системного ПО от несанкционированных изменений; удаленное администрирование объектов; защиту информации; технологию использования любых имеющихся в России протоколов связи и др. "ИВК Кольчуга" отвечает за безопасное подключение к Internet локальных вычислительных сетей (ЛВС) всех структурных подразделений Госгортехнадзора, создание коммуникационного центра каждого подразделения, а также безопасное взаимодействие территориально-удаленных объектов через Internet. При этом для связи с провайдером можно использовать практически все применяемые сегодня способы организации "последней мили". Разработка АИС ПБ заняла около двух лет. В 2003 году был реализован пилотный проект, охватывающий два промышленных округа: Центральный (Московская, Рязанская и Смоленская области), и Приокский (Тульская, Брянская, Орловская и Калужская области). В проекте были задействованы три уровня структуры Госгортехнадзора: центральный аппарат, ГУП НТЦ "Промышленная безопасность"; управления Центрального и Приокского округов; а также ряд инспекций в этих округах. По итогам пилотного проекта было принято решение о развертывании АИС ПБ на всей территории России в текущем году. Схема внедрения предусматривает установку ПО сразу на всех территориальных объектах, причем системная часть АИС ПБ устанавливается в полном объеме, что позволяет сразу организовать единое информационное пространство Госгортехнадзора, наладить систему централизованного управления всеми компонентами АИС, в частности, дистанционно устанавливать и конфигурировать прикладные программы. На прикладном уровне внедрение начнется с повсеместной установки минимального набора программных модулей с последующим расширением функциональности. На всей территории России будет использована сеть сервисных организаций ИВК, призванных обеспечить установку и обслуживание вычислительной техники и ПО, обучение персонала и ряд других задач.

BioLink ASA - проверка на входе в Windows

18 марта | OSP.RU

Компания BioLink Technologies объявила о выпуске на российский рынок нового продукта - программного сервера биометрической идентификации BioLink Authenteon Software Appliance (ASA) для Microsoft Windows. Он предназначен для хранения биометрических идентификаторов пользователей, обработки запросов на идентификацию от рабочих станций, контроллеров доменов, устройств идентификации и выдачи соответствующих идентификаторов пользователей при предоставлении доступа к защищенным ресурсам. Сервер поддерживает до 300 пользователей и может быть интегрирован в существующие бизнес-приложения компании. ASA работает как со штатными продуктами BioLink, так и с приложениями, разработанными на базе инструментального пакета BioLink SDK. При установке сервера предоставляется возможность выбора одного из 15 криптопровайдеров, поддерживаемых ASA, алгоритма и длины ключа. В поставку сервера входит административное программное обеспечение BioLink Authenteon Management Console на базе MMC, с помощью которого осуществляется управление его работой, резервирование базы данных и журналирование событий. Тестовая версия сервера может быть получена на российском Web-сайте BioLink Technologies.

Криптозащита на брелке

18 марта | OSP.RU

В начале 2004 года компании "Крипто-Про" и "Актив" заключили партнерское соглашение, в рамках которого специалистами последней был разработан модуль поддержки электронных идентификаторов ruToken для средства криптографической защиты информации "КриптоПро CSP". Теперь пользователи "КриптоПро CPS" могут применять ruToken для безопасного хранения цифровых сертификатов и закрытых ключей ЭЦП и шифрования в защищенной файловой системе идентификатора. "КриптоПро CSP" разработано компанией "Крипто-Про", имеет сертификат ФАПСИ и может применяться для формирования ключей шифрования, ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации. ruToken - аналог смарт-карты, выполненный в виде USB-брелока, разработанный совместно компаниями "Актив" и "Анкад". Он имеет 128 Кбайт энергонезависимой памяти, защищенную файловую систему и аппаратную реализацию российского алгоритма шифрования по ГОСТ 28147-89. С 15 марта 2004 года модуль поддержки идентификатора доступен для скачивания на сайте www.ruToken.ru. Пользователи "КриптоПро CPS" версии 2.0 могут загрузить и использовать его бесплатно.

"Отсталых" налогоплательщиков стало меньше.

18 марта | ФЦП Электронная Россия

"Обращаюсь к вам за помощью. Дело в том, что налоговая инспекция не принимает у нашей организации отчеты на бумажных носителях. И, можно сказать, в ультимативной форме требует представлять декларации только в электронном виде. Хотя, насколько я знаю, ни в одном законе об этом не сказано. А раз так, то и требование инспекции, получается, незаконно. Но с нашим мнением, увы, не считаются. Любопытно было бы прочитать в вашей газете возражения именно налоговиков – интересно узнать, что же они скажут в свое оправдание?

 

Валентина Г-ва, директор акционерного общества:

Признаемся, нам и самим интересно, нарушили закон специалисты инспекции или нет? Поэтому мы попросили прокомментировать письмо читателя заместителя начальника отдела работы с налогоплательщиками МНС России по Центральному району Наталью Шарову.

- Действительно, Валентина, вы правы – налоговый орган не может отказать юридическому или физическому лицу в принятии налоговых деклараций. Больше того, в статье 80 Налогового кодекса сказано, что налогоплательщику предоставлено право выбирать форму представления отчетности – в электронном виде или на бумажном носителе. В то же время трудно отрицать: сама жизнь сегодня заставляет уходить от старой, отжившей формы. Причем, как показывает практика, это удобно не только нам, работникам инспекции, но и вам, налогоплательщикам!

Кстати, в цивилизованном мире "бумажная форма" давно отвергнута как малоэффективная. Перспективным считается как раз бесконтактное взаимодействие с налоговыми органами. А проще говоря – электронное. Оно и легче, и комфортнее. В идеале итогом нашей работы должна стать система по типу банковской – с операционным залом, где сидят сотрудники. И только в исключительных случаях налогоплательщика тревожат – приглашают к инспектору. Плюсы новшеств подобного рода очевидны: они избавляют человека от хождений по кабинетам, так как все вопросы он решает в одном месте.

Скажу больше. Проблема настолько назрела, что "отсталостью" налогоплательщиков ныне не на шутку обеспокоены ученые мужи на уровне Правительства РФ. По их инициативе даже создана специальная программа, направленная на модернизацию налоговых органов. Идея такая: между участниками налогового процесса должно быть новое качество сервиса.

В реализации этой программы участвует и Волгоград. Только мы, подчеркну, отнюдь не заставляем "в ультимативной форме" перейти на представление отчетности в электронном виде. Мы предлагаем это сделать, учитывая явные преимущества новой формы.

Не скрою – первыми подхватили новое веяние крупные предприятия, фирмы. Но сейчас электронной отчетностью вряд ли кого удивишь. Система заработала, налогоплательщики довольны. Конкретно по Центральному району отчет в электронном виде представляют более 1100 организаций и индивидуальных предпринимателей. Поначалу, правда, некоторые переживали, что передаваемую ими конфиденциальную информацию кто-то может прочитать. Но потом убедились, что это невозможно. Во-первых, надо знать ключ шифрования налоговых инспекций МНС России, а он, естественно, недоступен. Кроме того, при сдаче отчетности в электронном виде применяются средства криптографической защиты информации, в состав которых входят средства шифрования и электронно-цифровая подпись.

Есть у "электронки" и еще один плюс – прямая выгода в экономическом плане. Дело в том, что сама программа распространяется бесплатно – налогоплательщики оплачивают только стоимость подключения к системе абонентского обслуживания. К слову, многие из них начинали пользоваться ею лишь ради того, чтобы не тратиться на приобретение бланков деклараций. А теперь попробуйте предложить вернуться к старому способу отчетности – не захотят ни за что!

Но это, как говорится. Мнение специалиста. А что думают сами налоговики

 

Начальник отдела "РусЮгбанка" Ирина Порягина:

- Передавать отчетность в электронном виде мы начали с сентября прошлого года. Сложностей не было никаких. Возможно, сказался опыт – уже длительное время мы работаем аналогичным образом с другими структурами. Например, с Центробанком. В Москву, кстати, иначе отчетность и не передашь. А вообще, хочу сказать, давно пора так работать – и нам проще, и инспекторам.

 

Главный бухгалтер 000 "ЛУКОЙЛ-Волгоград НИПИморнефть" Галина Плешакова:

- Я сегодня рекомендую новую программу всем, кто на нее еще не перешел. Раньше нам приходилось часами стоять в очередях, чтобы сдать отчетность. А сейчас я могу отправить информацию до 24 часов последнего дня сдачи. Помимо этого я могу сверить расчеты, не приходя в инспекцию, осуществить обмен любых документов, заверенных электронно-цифровой подписью. В результате минимум нервотрепки и максимум экономии времени

Удаленное выполнение PHP кода в SPIP форуме

18 марта | SecurityLab.ru

Программа: SPIP до версии 1.7

Опасность: Высокая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в SPIP форуме. Удаленный пользователь может выполнить произвольный PHP код и команды операционной системы на целевой системе.

Дополнительные подробности не раскрываются.

URL производителя:http://www.spip.net/

Решение:Установите обновленную версию форума: http://www.spip.net/

Межсайтовый скриптинг в vBulletin форуме

18 марта | Межсайтовый скриптинг в vBulletin форуме

Программа: vBulletin 3.0.0 RC4 и более ранние версии Опасность: Низкая Наличие эксплоита: Да Описание: Несколько уязвимостей в проверке правильности входных данных обнаружено в vBulletin. Удаленный пользователь может выполнить XSS нападение. Пример/Эксплоит: showthread.php?t=[VID]&page=[INT][XSS] forumdisplay.php?f=[VID]&page=[INT]&sort=lastpost&order=[XSS] memberlist.php?action=g etall&what=[XSS]<r=&perpage=25&orderby=username URL производителя: http://www.vbulletin.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

JelSoft vBulletin Vulnerabilities March 15, 2004

Межсайтовый скриптинг в нескольких модулях PHP-NUKE

18 марта | SecurityLab.ru

Программа: PHP-Nuke 7.1.0 Опасность: Низкая Наличие эксплоита: Да Описание: Несколько уязвимостей в проверке правильности входных данных обнаружено в PHP-NUKE. Удаленный пользователь может выполнить XSS нападение. Несколько модулей не фильтруют код сценария в данных, представленных пользователем. Уязвимы следующие поля и модули: 1. Поля 'Email' и 'Your Name' в модуле Your_Account. 2. Поле 'nicname' в модуле Feedback. (c 'pass_lost' как переменная 'op') 3. Переменная 'fname' в модуле Recommend_US 4. Поле 'ratenum' в модуле Downloads. 5. Поле 'search' в модуле Journal URL производителя:http://www.phpnuke.org/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

[waraxe-2004-SA#005 - XSS in Php-Nuke 7.1.0 - part 2]

DoS против Web браузера Opera

18 марта | SecurityLab.ru

Программа: Opera 7.23 Опасность: Низкая Наличие эксплоита: Да Описание: Отказ в обслуживании обнаружен в Web браузере Opera в обработке массивов. Удаленный пользователь может аварийно завершить работу браузера целевого пользователя. Пример/Эксплоит: <script>var a = new Array(99999999999999999999999); a[0+5]="AAAAA";</script> <script>var bam = new Array(0x23000000); bam.sort(new Function("return 1"));</script> URL производителя:http://www.opera.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Opera Array Allocation Managment Exploit

Несколько уязвимостей в Twilight Utilities Web Server

18 марта | SecurityLab.ru

Программа: Twilight Utilities 2.0.0.0 Опасность: Высокая Наличие эксплоита: Да Описание: Две уязвимости обнаружено в Twilight Utilities Web Server в 'postfile.exe'. Удаленный пользователь может загрузить файлы в произвольное местоположение и выполнить произвольный код. 1. Переполнение буфера: http://[host]/scripts/postfile.exe?attfile=[250+bytes] 2. Создание произвольных файлов: http://[host]/scripts/postifle.exe?attfile=/././././snif.html URL производителя:http://www.twilightutilities.com/WebServer.html Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

TW-webserver 2.0.0.0 Postfile.exe buffer overflow

SQL инъекция и XSS в Mambo Open Source

18 марта | SecurityLab.ru

Программа: Mambo Open Source Опасность: Средняя Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в Mambo Open Source. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может выполнить XSS нападение. 1. SQL инъекция: index.php?option=content&task=view&id=[SQL]&Itemid=[VID] index.php?option=content&task=category ionid=[VID]&id=[SQL]&Itemid=[VID] index.php?op tion=content&task=category ionid=[VID]&id=[SQL]&Itemid=[VID] 2, XSS index.php?return=[XSS] index.php? mos_change_template=[XSS] URL производителя: http://www.mamboserver.com/ Решение:Установите обновленную версию программы: http://www.mamboserver.com/content/menu/Mambo_Open_Source_Download/

Mambo Open Source Multiple Vulnerabilities March 16, 2004

Несколько уязвимостей в IBM Lotus Domino web сервере

18 марта | SecurityLab.ru

Программа: IBM Lotus Domino 6.5.1 Опасность: Низкая Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в IBM Lotus Domino web сервере в 'webadmin.nsf'. Удаленный авторизованный администратор может создавать произвольные каталоги на системе и определять существование определенных файлов. Удаленный пользователь может выполнить XSS нападение против администратора системы. Удаленный авторизованный администратор может сконструировать произвольные каталоги, расположенные вне основного Web каталога. Функция 'webadmin.nsf/dlgFilesFolderNew' не фильтрует символы обхода каталога './'. Также эта функция может использоваться для определения существования файла. Удаленный авторизованный администратор может попытаться создать новую директорию с именем потенциального файла. Если файл существует, система отобразит следующую ошибку: "Unable to create a new folder.Folder already exists" Также сообщается что функция 'Quick Console' не фильтрует код сценария в параметре 'Domino command'. URL производителя: http://www.lotus.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

IBM Lotus Domino server 6.5.1 webadmin.nsf vulnerabilities

Удаленный отказ в обслуживании против OpenSSL

18 марта | SecurityLab.ru

Программа: OpenSSL 0.9.6c - 0.9.6k и 0.9.7a - 0.9.7c Опасность: Низкая Наличие эксплоита: Нет Описание: Несколько уязвимостей обнаружено в OpenSSL. Удаленный пользователь может аварийно завершить работу OpenSSL. 1. CAN-2004-0079 Уязвимость пустого указателя обнаружена в do_change_cipher_spec() функции. Удаленный пользователь может выполнить специально обработанное SSL/TLS handshake с целевым сервером, чтобы аварийно завершить работу OpenSSL на целевой системе. 2. CAN-2004-0112 Уязвимость обнаружена в SSL/TLS handshakes, использующего Kerberos ciphersuites. Удаленный пользователь может выполнить специально обработанный SSL/TLS handshake против сервера, чтобы аварийно завершить работу OpenSSL. 3. CAN-2004-0081 Удаленный пользователь может заставить OpenSLL войти в бесконечный цикл из-за неправильного патча в 0.9.6d. URL производителя: http://www.openssl.org/news/secadv_20040317.txt Решение:Установите обновленную версию программы (0.9.7d или 0.9.6m),: ftp://ftp.openssl.org/source/ openssl-0.9.7d.tar.gz MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5 openssl-0.9.6m.tar.gz [normal] MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9 openssl-engine-0.9.6m.tar.gz [engine] MD5 checksum: 4c39d2524bd466180f9077f8efddac8c The checksums were calculated using the following command: openssl md5 openssl-0.9*.tar.gz

OpenSSL Security Advisory [17 March 2004]

Отказ в обслуживании против Fizmez Web Server

18 марта | SecurityLab.ru

Программа: Fizmez Web Server 1.0 Опасность: Средняя Наличие эксплоита: Да Описание: Отказ в обслуживании обнаружен в Fizmez Web Server. Удаленный пользователь может аварийно завершить работу web сервера. Fizmez Web Server неправильно управляет соединениями, в которых не передаются данные. Удаленный пользователь может установить TCP соединение с целевым сервером и затем закрыть соединение без передачи данных, чтобы аварийно завершить работу целевой службы. URL производителя:http://fizmez.com/?useCase=viewProduct&product=webServer Решение:Установите обновленную версию программы: http://fizmez.com/downloads/fws-1.1.tar.gz

Donato Ferrante