Компьютер для продвинутого пользователя
Безопасность
Слово автора:
Приветствую, уважаемые подписчики. Заранее прошу поршение
за невыход рассылки достаточно долгое время.
Новости Apache затевает проект open-source Java
Проект Harmony, официально предложенный в пятницу, нацелен на
создание с нуля версии программного обеспечения
Java 2 Standard Edition (J2SE), необходимого для исполнения
Java-программ на настольных ПК. Его предложили члены проекта
Apache - группы, стоящей за несколькими популярными продуктами
open-source, - и другие программисты, участвовавшие в разработке Java.
Они намерены создать виртуальную машину Java, сопутствующие
библиотеки и тестовое ПО - все это будет доступно по лицензии
open-source Apache.
F-Secure не смогла взломать бортовые системы компьютеров через Bluetooth
В Финляндии проведены уникальные опыты, в ходе которых производитель
антивирусных программ, компания F-Secure, исследовала защищённость
бортовых компьютеров современных автомобилей - многие из них сейчас
снабжены Bluetooth-модулями для того, чтобы связываться с сотовым телефоном
и другими устройствами.
Российские эксперты предлагают "интернет-правительству" ограничиться
рамочными документами
Участники круглого стола обсудили механизм управления Интернетом,
разрабатываемый Рабочей группой по управлению использованием Интернет
(WGIG), и попытались сформулировать российскую позицию по этому вопросу.
В результате обсуждения был определен круг проблем, связанных с Интернет,
которые требуют решения на международном уровне и те из них, которые могут
быть решены в рамках механизма управления Интернет, разрабатываемого WGIG.
MasterCard наступает на фишинг-сайты
Компания MasterCard International Inc. закрыла около 1400 фишинг-сайтов и
более 750 сайтов, владельцев которых подозревали в незаконной торговле
информацией о кредитных картах. Указанные действия были проделаны в
рамках программы по борьбе с хищениями идентификационных данных,
запущенной в июне прошлого года, сообщает сайт Security Pipeline. В рамках
программы было выявлено и своевременно защищено около 35 тысяч
номеров карт MasterCard, владельцы которых рисковали стать жертвой
похитителей идентификационных данных.
Справочник по свободе в интернете
ОБСЕ представила переведенный на русский язык <Справочник по свободе
массовой информации в интернете>, который выложен в онлайне для свободного
скачивания. <Справочник по свободе массовой информации в интернете> содержит
разнообразные советы и рекомендации как для средств массовой информации, так
и для регулирующих органов. Он включает статьи независимых экспертов, в которых
даны общие сведения и анализ текущих дебатов по многим актуальным проблемам.
В Longhorn не будет "синего экрана смерти"
Microsoft нашла уникальное решение легендарной проблемы <синего экрана смерти>
для следующей версии операционной системы Windows. Софтверный гигант добавил
в Longhorn красный экран, который пользователи будут видеть при крахе системы.
Осужден член хакерской группы Thr34t Krew
Окружной суд американского города Александрия приговорил к 21 месяцу тюремного
заключения 21-летнего жителя штата Индиана Рэймонда Пола Штайгервальта (Raymond
Paul Steigerwalt). Штайгервальт признан виновным в заражении червем TK
(Backdoor.IRC.Demfire по классификации <Лаборатории Касперского>) компьютеров
Министерства обороны США, сообщает сайт The Register.
Прокуратура Массачусетса и Microsoft выследили злостного спамера по фамилии Куваев
Судья американского штата Массачусетс вынес решение о принудительном прекращении
деятельности зарегистрированных на территории этого штата фирм 2K Services и Ecash Pay,
которые, как установили следственные органы штата, несут ответственность за постоянные
рассылки нескольких миллионов спамерских писем в месяц. Как передает Associated Press,
было установлено, что эти фирмы являются центром одной из крупнейших спамерских
сетей мира.
Конец приватности
В интернете начал работу один из самых полных и всеобъемлющих поисковых сайтов
по личной информации. Сервис ZabaSearch выдает телефонный номер, домашний адрес
и даже спутниковые фотографии жилища любого американца.
Опыт сетевой безопасности.
Продукт: Neteyes Nexusway
Уязвимсоть: Многократная.
Детали:
Слабое определение подлинности в веб-модуле:
Пример:
# curl -k -b 'cyclone500_write=1; cyclone500_auth=1;
client_ip1;client=0.0.0.0'
Пользователь с доступом к модулю SSH может получить Shell-доступ или выполнять
любые команду как с привелегией 'root' на Neteyes Nexusway, посылая оброботанный
аргумент в определенную команду. Это позволяет пользователю производить любые
действия на этом устройстве.
Пример:
> ping ;sh
> traceroute ;sh
Удаленное выполнение команд в веб-модуле:
Любой пользователь с доступо к 443 порту в Neteyes Nexusway в состоянии
полностью управлять Neteyes Nexusway устройством, отправляя специально
обработанный пакет в определенный администраторский скрипт. Веб-сервис
запускается как 'root' на этом устройстве.
Пример:
Продукты: Guestbook PRO <=v. 3.2.1
Уязвимость: Средняя
Описание проблемы:
Новая уязвимость находится в содержится и загаловке сообщения, когда не
управляется вход символов, возможно вводить HTML код.
Пример:
Напечатайте в загаловке или содержании сообщения: alert(document.cookie)
Описание ПО:
yappa-ng второе поколение (новый и улучшенный) версий yappa (php фотоальбом).
Обнаружились некоторые уязвимсоти в yappa-ng, которые могут помочь атакующим
захватить контроль над сервером. Для использовании уязвимости должен быть
register_globals. В новой версии yappa-ng уязвимость исправлена, рекомендуем
обновить ПО.
Перекрестное создания сценариев сайта:
В yappa-ng возможно перекрестое создание сценариев сайта. Эта уязвимость
существует из-за не проверяемой должным образом ввод команд пользователем: ] ] ]
Эта уязвимость может быть использованна для захвата cookie, которые отвечают за
авторизацию пользоватиеля в рамках данного домена или ввода кода в браузер
жертвы.
Использование удаленных фалов:
Yappa-NG содержит уязвимость, которая позволет атакующему выполнять любые
команды на веб-сервере.
В принципе возможно включать любой код php. Конечно главный сервер не будет
обрабатывать php или анализировать его прежде, чем он достигнет сервера жертвы.
Эта проблема очень опасна и всем необходимо модернизировать конфигурацию
компьютера.
=========================================================
Если Вам нравится данная рассылка и Вы готовы помочь, то
Вы можете отправить немного помощи на R474348938531 или
Z451490294903.