Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #406, 15.12.2021


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

#406, 15.12.2021

Серьезная уязвимость в Apache Log4j
dl // 11.12.21 12:13
Уязвимость CVE-2021-44228 в библиотеке Apache Log4j, используемой множеством Java-приложений для протоколирования, получила максимальный 10 уровень безопасности из-за простоты своего использования и возможных последствий.

Уязвимость позволяет выполнить произвольный код при записи в лог значения, оформленного в формате {jndi:URL} (что задействует механизм масок Log4). Если в качестве URL будет указан адрес атакующего, ему будет отправлен LDAP-запрос, в ответ на который может быть возвращен URL класса, который будет загружен и выполнен в контексте текущего процесса.

Ситуацию усугубляет опубликованный рабочий эксплоит. Уже сообщается об успешной атаке на один из серверов Minecraft, под раздачу попали (но уже починились) Steam, iCloud и другие сервисы.

Apache Foundation рекомендует срочно обновиться до исправленной версии 2.15.0.
Источник: LunaSec


Крупный взлом GoDaddy
dl // 23.11.21 20:52
Крупный регистратор и хостер GoDaddy сообщил о своем недавнем взломе, результатом которого стала утечка идентификационных данных пользователей, администраторских паролей WordPress-сайтов, пароли к sFTP и базам данных, приватные SSL-ключи. Первая утечка предпололожительно произошла 6 сентября этого года, пострадать могло до 1.2 миллиона пользователей. Компания пообещала извлечь уроки из этого инцидента впрочем, периодические предыдущие взломы и утечки намекают на ритуальный характер этих слов.
Источник: Engadget


Просроченный сертификат ломает Windows 11
dl // 04.11.21 20:39
Microsoft предупредила, что из-за просроченного 31 октября сертификата некоторые компоненты Windows 11 (Snipping Tool, клавиатура для тачскринов, панель эмоджи) у некоторых пользователей перестали работать. Патч KB4006746 готов, до окончания тестирования его можно установить принудительно через Windows Update.
Источник: The Verge


Phrack #70/0x46
dl // 07.10.21 02:46
Внезапно после пятилетнего перерыва вышел юбилейный 70-й выпуск Phrack (спасибо Ustin за пинг). В номере материалы об атаках на движки JavaScript, обзор двадцатилетней истории обхода Java-песочницы, несколько материалов об атаках на гипервизоры и т.п.
Источник: Phrack


Возможно, Facebook наступил на те же грабли с BGP, что и Яндекс десять лет назад
dl // 04.10.21 23:36
В качестве вероятной причины крупномасштабного сбоя, от которого уже несколько часов не могут опомниться Facebook, WhatsApp и Instagram, называется ошибка в конфигурировании BGP (насколько она была случайной или умышленной, другой вопрос). Насколько эффективно подобные ошибки могут положить корпоративную сеть, отрезав ее от внешнего мира, мы могли наблюдать десять лет назад на примере Яндекса, когда информация о внешних маршрутах забила внутренние таблицы маршрутизаторов корпоративной сети.
Источник: Krebs on Security




Самые популярные темы форума за последнюю неделю:


[site updates] Серьезная уязвимость в Apache Log4j [14]

Самые обсуждаемые темы форума за последнюю неделю:


[site updates] Серьезная уязвимость в Apache Log4j



Ведущий рассылки:
Дмитрий Леонов, https://facebook.com/dmitry.leonov


В избранное