Новости:

Переполнение буфера в Netware

При установленной поддержке TCP/IP, утилита удаленного администрирования содержит тривиальное переполнение буфера, псевдо-HTTP-запрос "GET /" и далее буфер свыше 4K приводит к переполнению, что можно использовать для удаленного выполнения троянского кода.

Кроме того, при крахе TCP/IP приложения имевшего открытые порты не освобождается порт, что можно использовать для DoS-атак.

Затронутые продукты: NOVELL: Netware 5.1
Оригинальный текст: Michal Zalewski, Novell Netware 5.1 (server 5.00h, Dec 11, 1999)...
Дополнительные файлы: DoS против TCP/IP в Netware

Источник: BUGTRAQ
Copyright (C) Infection

Ошибки в CERN Image Map Dispatcher (Front Page)

Несколько неприятных ошибок в htimage.exe позволяют получить доступ к любому файлу. Переполнение буфера позволяет выполнить код на сервере.

Затронутые продукты: CERN: Image Map Dispatcher , MICROSOFT: Front Page 98
Оригинальный текст: Narrow, More vulnerabilities in FP

Источник: BUGTRAQ
Copyright (C) Infection

Дело "Металлики": поклонники собирают милостыню, противники ломают сайт

Расстроенные заявлениями любимой группы о том, что интернет-пираты разоряют легендарных музыкантов, поклонники группы Metallica запустили web-проект по сбору средств в поддержку ограбленной группы.

Напомним, что группа Metallica недавно подала в суд на компанию Napster и три американских университета, обвиняяя их в пособничестве музыкальному пиратству, и потребовала от ответчиков возмещения убытков в размере 10 миллионов долларов.

В среду руководство Йельского университета объявило, что восстанавливает запрет на доступ к музыкальным серверам Napster. В четверг аналогичное решение приняло руководство Университета Индианы. В ответ на это Metallica исключила эти два университета из своего иска.

Тем временем Интернет отреагировал на скандал более свежим решением. Как сообщает Wired, молодая интернет-компания August Nelson запустила сайт paylars.com, где всем поклонниками Metallica предлагается собрать средства в помощь бедной супер-группе, которую так сильно разорил Интернет. Каждый поклонник тяжелого рока, раскаявшийся в прослушивании музыки на халяву, может через данный сайт перевести любимой группе ту сумму денег, которая соответствует количеству прослушанных им пиратских записей.

Оплата производится просто: пользователь выбирает те песни, за которые хочет заплатить, вводит номер своей кредитной карты, и нажимает на ОК. При этом на сайте особо оговаривается, что перечисляемая сумма не означает точного размера греха, который вы за собой признаете (то есть можно перечислить и больше).

"Странно, что группа сразу решила судиться со своими поклонниками, компаниями и университетами и даже не поинтересовалась, хочет ли кто-нибудь заплатить по своей воле, - заявил глава August Nelson Марк Эриксон. - Так что мы решили пустить шапку по кругу за них".

Однако другие поклонники цифровой музыки предложили другое свежее решение. В прошлые выходные сайт группы Metallica был взломан. Вместо первой страницы сайта, которая и так не отличалась многословием, появилось другое произведение в минималистическом стиле: там была только надпись LEAVE NAPSTER ALONE ("Оставьте в покое Napster").

Copyright (C) Lenta.ru

Отец канадского хакера - тоже хакер?

История с арестом канадского 15-летнего хакера, обвиняемого в атаке на сайт CNN, приобрела новое направление в четверг, когда стало известно, что на прошлой неделе был также арестован отец подростка, передает Associated Press.

45-летний отец хакера, известного под ником Mafiaboy, был арестован после того, как полиция, подслушивающая телефон хакера, услышала, что его отец договаривается с кем-то о нападении на коллегу по работе.

Напомним, что сам 15-летний Mafiaboy был арестован в воскресенье по обвинению в запуске DDoS-атаки, которая на четыре часа отрубила доступ к главному сайту CNN и еще 1200 сайтам, связанным с ним. Если вина будет доказана, подростку грозит максимум два года в колонии и штраф в 650 долларов.

Несмотря на поднятый прессой шум вокруг 15-летнего хакера, специалисты все больше склоняются к мнению, что Mafiaboy - лишь мелкая сошка в череде февральских атак на известные сайты.

"Этот парень лишь имитатор, ответственный за атаку на CNN, случившуюся после более серьезной атаки на Yahoo", считает Крис Девис из Оттавы, исполнительный директор компании Hexedit Network Security. По его словам, атаку на Yahoo спланировали и провели настоящие специалисты, а Mafiaboy лишь воспользовался их программой, попавшей в свободный доступ.

Майкл Лайл, ведущий специалист из калифорнийской Recourse Technologies, тоже полагает, что февральские атаки совершались разными людьми - и возможно даже, с помощью разных программ. "Концепция DDoS-атак в последнее время получила широкое распространение, однако для того, чтобы завалить eBay и Yahoo, нужна более сложная техника", считает он.

Copyright (C) Lenta.ru

Bell Labs представили бесплатное ПО LINUX с защитой от взлома
компьютерных систем

Bell Labs компании Lucent Technologies сегодня представили бесплатное ПО Linux с защитой от наиболее часто встречающегося варианта взлома компьютерных систем.

ПО Lucent Libsafe предотвращает переполнение буфера прикладных программ, что, по данным исследования института Oregon Graduate Institute of Science & Technology, финансированного агентством DARPA (Defense Advanced Research Projects Agency), является в последние 10 лет наиболее часто встречающимся приемом получения неавторизованного доступа. В настоящее время дистрибьюторы Linux, компании Red Hat, Inc., Linux-Mandrake, Turobolinux и Debian GNU/Linux совместно с Лабораториями Белла работают над интеграцией ПО Lucent Libsafe в очередные выпуски операционных систем.

Copyright (C) РосБизнесКонсалтинг

Конференция пройдет без Митника

Дмитрий Беспалов

Ранее мировые информационные агентства уже сообщали, что на конференцию в Солт-Лейк-Сити был приглашен выступить с докладом по информационной безопасности знаменитый хакер Кевин Митник, освобожденный недавно из тюрьмы после четырехлетнего заключению.

Но, как стало известно, это выступление не состоится. Судья принял решение, что участие Митника в дискуссии по вопросам несанкционированного проникновения в компьютерные системы нарушило бы условия его испытательного срока.

Однако едва ли это сильно расстроит самого хакера. После своего выхода на свободу в январе этого года он и без того явно не страдал от недостатка внимания к своей персоне. За столь короткий срок он уже успел поучаствовать в программах каналов CBS, CNN, Fox и CourtTV, а в марте даже приглашался на сенатские слушания, где велась работа над проектом билля о компьютерной безопасности. Его рекомендации свелись тогда к повышению уровня образования служащих компаний, ознакомлению их с рисками, которые влечет за собой хакерское вторжение. То есть фактически Митник предлагал наряду с техническими аспектами проблемы особое внимание уделить человеческому фактору. Оно и понятно, едва ли после четырех лет, в течение которых он не имел доступа к компьютеру, техническую сторону знаний Кевина можно считать адекватной в нынешних условиях. Но люди, в отличие от компьютеров, за это время изменились мало. А уж квалификацию Митника в области социальной инженерии пожалуй не рискнут оспорить даже те, кто никогда не признавал за ним права называться хакером -1.

Copyright (C) Компьютерра

В Америке студенты, работающие над системами компьютерной безопасности, будут получать специальную стипендию

Национальный научный фонд США собирается опубликовать в следующем месяце приложение, в котором будет говориться о поддержке Federal Cyber Services program, программе правительства, посвященной компьютерной безопасности.

Поддерживать эту программу фонд собирается выдачей специальных субсидий колледжам и университетам, которые, в свою очередь, будут выплачивать из этих денег стипендии самым способным студентам, занимающимся разработкой систем компьютерной безопасности. Также, по программе научного фонда, возможно трудоустройство студентов в федеральных агентствах после окончания вузов. Запустить программу субсидирования национальный научный фонд собирается в январе 2001 года.

Copyright (C) РосБизнесКонсалтинг

Cпонсор рассылки: "Vivat" Computer Service

Обновлен сервер "Проекта - Inroad"

Последние новости
Cкоро будут на www.inroad.kiev.ua :-)

Весь архив рассылки на CityCat

 

Беспроводный доступ в Интернет
предоставлен  фирмой  InterStrada