Интернет-компания Yahoo! предложила механизм идентификации отправителей электронных сообщений с целью предотвращения использования подложных адресов спамерами. Технология DomainKeys предполагает, что владельцы доменов создадут открытый и секретный ключи; письмо, отправляемое с домена, будет в заголовке иметь цифровую подпись с секретным ключом; получатели будут совмещать секретный ключ и открытый ключ, регистрируемый в DNS. Внедрение этой технологии Yahoo! предполагает провести в следующем году. В ближайшее время компания намерена опубликовать технические документы, чтобы ознакомить с новой разработкой интернет-общественность.

По заявлению представителей Yahoo!, технология DomainKeys будет доступна для интернет-провайдеров на безвозмездной основе.

Также сегодня сообщается о том, что Yahoo! ликвидировала погрешности в сервисе бесплатной почты, позволявшие злоумышленникам получать доступ к компьютерам пользователей. Доступ к бесплатным ящикам почтового сервиса Yahoo! осуществляется через веб-интерфейс, при этом задействованы различные скрипты на Java, JavaScript, VB Script, Active X, и HTML. Злоумышленник мог послать пользователю сервиса письмо со скриптом, при открытии которого первый получал доступ к конфиденциальной информации жертвы. Программисты Yahoo! предприняли меры по блокировке механизма обработки скриптов.

Источник: по материалам Today in Telecom.

Компания «Интернет Администратор Компани Лтд.» представила новую версию программного комплекса «Интернет Администратор» - средства для контроля доступа в интернет на предприятии. Новая версия комплекса содержит ряд новых функций. В нее встроен усовершенствованный механизм обработки данных, благодаря которому снижена загрузка центрального процессора.

Среди новшеств - функция ограничения пропускной способности канала пользователя, также расширена функциональность системы правил доступа, на основании которых строится политика доступа в интернет на предприятии.

Программный комплекс продается по цене от $140.

Вчера под председательством Генерального секретаря ООН Кофи Аннана в Женеве открылась встреча на высшем уровне, посвященная созданию мирового информационного общества. Для ООН эта встреча – хороший повод найти себе новую роль в условиях падения ее авторитета. Для стран – участниц саммита это способ уменьшить свое отставание в сфере информационных технологий (ИТ) и попытка уменьшить влияние США на Интернет. В женевском саммите принимают участие представители 174 стран, 46 международных организаций, 111 ИТ-компаний и 26 структур ООН. Саммит проходит под патронажем фактически двух наднациональных организаций – ООН и Международного союза электросвязи (МСЭ). Официально целью саммита является создание предпосылок для появления всемирного информационного общества. Для этого нужно преодолеть "цифровое неравенство" – отставание большинства стран мира от группы развитых государств, в которых это информационное общество уже фактически построено.

Планируется принять два документа – "Декларацию принципов информационного общества" и "План действий" по созданию оного. Главная интрига саммита оказалась скрыта за официальным протоколом. Интернет-технологии начинают играть все более значимую роль в мире, и вопрос, кто будет формировать правила Интернет-жизни, волнует многих. Интернет начался в США, и организация ICANN, определяющая эти правила, тоже находится в США. Формально ICANN независима, однако в последнее время она активно работает с Министерством торговли США, и сторонники полной Интернет-свободы даже стали называть ее подразделением американского правительства. Некоторые страны предлагают физически перевезти ICANN из США – например, в ту же Женеву, где расположены управляющие органы МСЭ. Упоминание МСЭ не случайно – есть желание подчинить ICANN именно МСЭ.

Сторонники менее радикального решения предлагают создать систему патронажа ООН над ICANN. Среди сторонников изменения Интернет-правил есть и те, кто ратует отнюдь не за полную Интернет-свободу. Например, Китай несогласен с применением в документах, регламентирующих сетевую жизнь, категорий типа "свобода слова". Китайское правительство хочет создать в своем домене жесткий порядок – Интернет-диссиденты в этой стране даже арестовываются, а спецслужбы отключают китайских пользователей от нежелательных иностранных сайтов. Противоречия разных стран даже поставили само проведение саммита под вопрос, однако было решено пока ничего резко не менять и вернуться к этому вопросу на следующей встрече в Тунисе в ноябре 2005 года. Россия пока не высказывается за революционные изменения в этой области, однако в докладе на саммите министра по связи России Леонида Реймана есть предложение сформировать на основе Плана действий ряд инициатив при лидирующей роли ООН в координации с частными компаниями и гражданским обществом. Дело в том, что России тоже невыгодно резкое изменение Интернет-законов, поскольку наша сетевая жизнь только начала налаживаться.

Перед саммитом первый замминистра по связи России Андрей Коротков заявил, что основная инфраструктура Интернета пока расположена в США и для серьезных изменений необходим переходный период. Сейчас перед Россией стоит куда более важная задача в сфере ИТ, чем распределение доменных имен и мировые правила Интернет-жизни – в национальном домене.ru нас особо никто не ограничивает. Главное сейчас – принять необходимые законы и видоизменить федеральную целевую программу "Электронная Россия" для того, чтобы внедрение ИТ стало более эффективным. Описание этой программы содержится и в докладе российского министра по связи. Участник российской делегации, президент компании Cognitive Technologies Ольга Ускова рассказала, что на сегодняшнем пленарном заседании саммита она будет говорить о необходимости координации национальных программ информатизации различных стран. Стоит отметить, что одна из особенностей подхода западных стран в этой области – наличие в их правительствах должности ИТ-координатора. Кто знает, может быть, сравнение нашей "Электронной России" с другими программами ускорит появление такого "главного информатизатора страны".

В среду под председательством Генерального секретаря ООН Кофи Аннана в Женеве открылась встреча на высшем уровне, посвященная созданию мирового информационного общества. Для ООН эта встреча - хороший повод найти себе новую роль в условиях падения ее авторитета. Для стран - участниц саммита это способ уменьшить свое отставание в сфере информационных технологий (ИТ) и попытка уменьшить влияние США на Интернет.

В женевском саммите принимают участие представители 174 стран, 46 международных организаций, 111 ИТ-компаний и 26 структур ООН. Саммит проходит под патронажем фактически двух наднациональных организаций - ООН и Международного союза электросвязи (МСЭ). Официально целью саммита является создание предпосылок для появления всемирного информационного общества. Для этого нужно преодолеть "цифровое неравенство" - отставание большинства стран мира от группы развитых государств, в которых это информационное общество уже фактически построено. Планируется принять два документа - "Декларацию принципов информационного общества" и "План действий" по созданию оного.

Главная интрига саммита оказалась скрыта за официальным протоколом. Интернет-технологии начинают играть все более значимую роль в мире, и вопрос, кто будет формировать правила интернет-жизни, волнует многих. Интернет начался в США, и организация ICANN, определяющая эти правила, тоже находится в США. Формально ICANN независима, однако в последнее время она активно работает с Министерством торговли США, и сторонники полной интернет-свободы даже стали называть ее подразделением американского правительства. Некоторые страны предлагают физически перевезти ICANN из США - например, в ту же Женеву, где расположены управляющие органы МСЭ. Упоминание МСЭ не случайно - есть желание подчинить ICANN именно МСЭ. Сторонники менее радикального решения предлагают создать систему патронажа ООН над ICANN.

Среди сторонников изменения интернет-правил есть и те, кто ратует отнюдь не за полную интернет-свободу. Например, Китай не согласен с применением в документах, регламентирующих сетевую жизнь, категорий типа "свобода слова". Китайское правительство хочет создать в своем домене жесткий порядок - интернет-диссиденты в этой стране даже арестовываются, а спецслужбы отключают китайских пользователей от нежелательных иностранных сайтов.

Противоречия разных стран даже поставили само проведение саммита под вопрос, однако было решено пока ничего резко не менять и вернуться к этому вопросу на следующей встрече в Тунисе в ноябре 2005 года. Россия пока не высказывается за революционные изменения в этой области, однако в докладе на саммите министра по связи России Леонида Реймана есть предложение сформировать на основе Плана действий ряд инициатив при лидирующей роли ООН в координации с частными компаниями и гражданским обществом. Дело в том, что России тоже невыгодно резкое изменение интернет-законов, поскольку наша сетевая жизнь только начала налаживаться. Перед саммитом первый замминистра по связи России Андрей Коротков заявил, что основная инфраструктура Интернета пока расположена в США и для серьезных изменений необходим переходный период.

Сейчас перед Россией стоит куда более важная задача в сфере ИТ, чем распределение доменных имен и мировые правила интернет-жизни - в национальном домене .ru нас особо никто не ограничивает. Главное сейчас - принять необходимые законы и видоизменить федеральную целевую программу "Электронная Россия" для того, чтобы внедрение ИТ стало более эффективным. Описание этой программы содержится и в докладе российского министра по связи.

Участник российской делегации, президент компании Cognitive Technologies Ольга Ускова рассказала "Финансовым Известиям", что на сегодняшнем пленарном заседании саммита она будет говорить о необходимости координации национальных программ информатизации различных стран. Стоит отметить, что одна из особенностей подхода западных стран в этой области - наличие в их правительствах должности ИТ-координатора. Кто знает, может быть, сравнение нашей "Электронной России" с другими программами ускорит появление такого "главного информатизатора страны".

Александр НЕКИПЕЛОВ, вице-президент РАН: Мы стоим на одном уровне с Турцией

- Какое сегодня у России место в информационном обществе?

- С точки зрения пользования услугами, тем же Интернетом, с точки зрения информационной доли в ВВП мы не находимся в числе ведущих стран. Мы стоим примерно на одном уровне с Турцией. Ближайшие наши соседи: сверху - Польша, Бразилия, снизу - Египет, Азербайджан. Но у нас есть предпосылки для того, чтобы быстро войти в число лидеров, так как темпы развития нашей телекоммуникационной отрасли выше, чем у многих самых развитых стран.

- Могут ли ИТ потеснить традиционные сектора экономики, в частности, сырьевые?

- Никто не призывает бросить добывать нефть. Новые технологии - не только самостоятельная, динамично развивающаяся отрасль, они являются реальной базой для развития всей экономики, в том числе и для топливно-энергетического сектора. Недавно министр по связи Леонид Рейман и академик РАН Евгений Велихов представили в РИО-центре (Центр развития информационного общества) проекты Национальной стратегии информационного развития и Программы действий по развитию информационного общества. В этих документах дается ответ на вопрос, каким образом необходимо создавать элементы информационного общества в России, что это даст нашей стране.

- В этой программе говорится о необходимости коррекции экономической политики...

- Очень важен государственный спрос. Административная реформа сопряжена с колоссальными затратами на формирование сетей, разработку ПО, подготовку кадров. Одно это способно стимулировать "интеллектуальное производство" и обеспечить занятость нашим программистам. В 2003 году объем производства ПО в нашей стране достигнет $350 миллионов. В ближайшее время стоит задача довести его до миллиарда долларов. Потенциальный же объем заказов по производству ПО в России, по оценкам американских экспертов, может составить $20 млрд. в год.
3

С сегодняшнего дня на территории Евросоюза несанкционированная рассылка электронных сообщений рекламного характера расценивается в качестве уголовного преступления. Со всеми вытекающими последствиями.

Как пишет агентство Ananova, в соответствии со вступившим в силу законом, спамом считаются рекламные сообщения, отправленные адресату посредством электронной почты, SMS, сообщений по ICQ и других средств связи без его четкого и определенного согласия. Компании, продолжающие нарушать закон, рискуют нарваться на огромные штрафы (до 5000 фунтов в Великобритании), а также, в некоторых случаях, на судебные иски со стороны частных лиц, уставших от бесконечных потоков электронного мусора.

К сожалению, неприятности грозят лишь тем спаммерам, которые находятся в зоне юрисдикции Евросоюза, и пока не ясно, грозит ли судебное преследование интернет-провайдерам, не потрудившимся принять действенные меры для ограничения паразитного трафика, исходящего из-за пределов ЕС.

На сегодняшний день, на долю спама приходится свыше половины всего трафика, обрабатываемого почтовыми серверами по всему миру. Год назад спам составлял лишь 8% от всего объема электронной почты.
4

Сотрудники столичного управления по борьбе с экономическими преступлениями совместно со Службой безопасности Украины задержали хакера, "взламывавшего" банкоматы одного из известных киевских банков, передают Українські Новини. Об этом сообщили в четверг, 11 декабря, в пресс-службе Главного управления Министерства внутренних дел Украины в Киеве. По данным правоохранителей, хакер завладевал номерами банковских платежных карт, фамилиями и PIN-кодами клиентов банка, после чего с помощью офисного оборудования изготавливал дубликаты платежных карт, наносил на них магнитную полосу, кодировал ее и снимал с чужих счетов деньги.

Следствие уже доказало 4 факта совершенных им краж денег из банкоматов на общую сумму 54 тысячи гривен. Киевским следственным управлением возбуждены уголовные дела по части 5 статьи 185 Уголовного кодекса (кража) и части 2 статьи 362 УК (кража, присвоение, вымогательство компьютерной информации или завладение ею путем мошенничества или злоупотребления служебным положением).

Вместе с тем, милиция подозревает, что хакер успел ограбить клиентов банка на сумму не менее 300 тысяч гривен. Следствие продолжается. Задержанный хакер работал программистом в одной из столичных компаний и по своим функциональным обязанностям имел доступ к банкоматам. Все преступления были совершены им в период с июля по ноябрь текущего года.
5

9 декабря, в бизнес-центре "Даев Плаза", компания "Актив" провела традиционный сезонный семинар на тему "Методы эффективной защиты ПО с помощью электронных ключей", посвящённый проблемам защиты программного обеспечения.

Зимний семинар, в отличие от предыдущих - летнего и осеннего, был в большей степени ориентирован на руководителей и технических специалистов компаний-разработчиков, серьёзно озабоченных проблемами компьютерного пиратства, но ранее не защищавших свои приложения.

Так, особое внимание было уделено фундаментальным понятиям и общей концепции защиты, что, как оказалось, было совсем не лишним. Предыдущие семинары, главным образом, были ориентированы на тех, кто применяет защиту он нелегального копирования, но нуждается в её усилении.

Вторая часть семинара была посвящена обзору современных технологий защиты ПО, методам наиболее эффективной интеграции электронных ключей с защищаемыми приложениями. Известно, что хакер умён, любопытен и усидчив, если дело касается поиска и нейтрализации изощрённых и сложных защит, но не любит нудной и однообразной работы. Поэтому основная задача разработчика защиты состоит не в создании непреодолимой преграды, а в организации такой системы защиты, нейтрализация которой была бы связана с серьёзными временными затратами и анализом всего кода приложения. В этом и заключается смысл демонстрации работы технологии на конкретных примерах, дискуссионного разбора наиболее распространённых ситуаций, методов маскировки важных элементов защиты, принципов обмана взломщика.

В третьей части семинара был сделан упор на использовании эффективного инструмента построения защиты – Генератора исходных текстов. Это уникальная разработка компании "Актив", призванная существенно облегчить труд программиста.

Источник: пресс-релиз компании "Актив"

Организаторы Национальной Премии по безопасности отвечали на вопросы представителей компаний "Systems Sensor", "УльтраСтар", "Группа "Контур безопасности", "ДИТ", "Элвис Плюс", собравшихся для уточнения формулировок номинаций премии, требований к информации, необходимой для выдвижения.

Решение продолжить консультативные встречи было принято организаторами в ответ на рост интереса компаний к Национальной Премии по безопасности и возникновения у них ряда вопросов, касающихся выдвижения своих продуктов, решений и людей.

Следующая консультативная встреча состоится 17 декабря в 17 часов. Для участия в консультации необходимо зарегистрироваться у ответственного секретаря Жюри премии Ирины Водопьяновой по телефону +7(095) 251 6654 или по электронной почте.

Информационные спонсоры Национальной Премии по безопасности: ИА "Росбизнесконсалтинг", Сnews.ru, Утро.ru, Algo.ru, журналы "Банковские технологии", "Банковское дело в Москве", "Гостиница и ресторан", "Скрытая камера", "Мир и безопасность".

С уважением,
Пресс-центр Национальной Премии по безопасности 7

Производящая программное обеспечение для бизнес-решений компания SCO Group 10 декабря подверглась DDoS-атаке. Произошедший инцидент стал уже третьим в практике SCO Group в этом году. Организаторами атаки, возможно, являются хакеры, недовольные правовыми угрозами компании в адрес пользователей операционной системы Unix, сообщает Associated Press.

DDoS-атака против SCO началась 10 декабря в 14:20 по московскому времени и продолжалась в течение дня. Участники кибернападения сумели привлечь для достижения своей цели несколько тысяч компьютеров. На начальном этапе хакерам удалось парализовать работу не только веб-сайта компании, но и ее внутреннюю сеть и среди прочего приостановить работы по клиентской поддержке. Во второй половине дня работу всех систем за исключением веб-сервера удалось восстановить.

Предыдущие DDoS-атаки против SCO происходили в марте и июне и длились по 24 часа. Представитель компании сообщил об обращении в правоохранительные органы с целью розыска нападавших и установления возможной связи последнего инцидента с двумя прежними.

Компания SCO обладает правами на операционную систему Unix и ведет судебное разбирательство в отношении IBM, которая внесла в систему собственные изменения. Кроме того, SCO намеревается взимать с пользователей Unix лицензионные платежи, даже если для этого ей придется обращаться в суд.

1. Премия является уникальным событием в Российской Федерации, единственной наградой подобного масштаба в отрасли безопасности.

2. Участие в Премии для компаний, выдвигающих свои продукты, программы, людей – абсолютно бесплатное.

3. Принять участие в конкурсе на соискание Премии максимально просто. Для этого необходимо только заполнить конкурсную заявку на Официальном сайте Премии.

4. Победители выбираются представителями профессионального сообщества путем открытого голосования. Вы узнаете имена всех проголосовавших специалистов по безопасности.

5. Для независимой проверки результатов голосования привлечена компания KPMG – один из лучших мировых аудиторов.

6. Всем компаниям, выдвигающимся на конкурс, предоставлена возможность бесплатно публиковать новости о своих продуктах и разработках на официальном сайте Премии.

7. Участие в премии – уникальная возможность проинформировать более 20 тысяч специалистов о своих разработках. Все описания продуктов или решений номинантов будут размещены на Официальном сайте Премии с начала голосования.

8. Организаторы премии гарантируют широкомасштабное освещение процедуры голосования и церемонии вручения Премии в профессиональных изданиях по безопасности, на профильных выставках, а также, в общероссийских СМИ.

9. В процессе голосования, разместив логотип Премии на своих печатных и электронных материалах, Вы заявите всем, что Ваша компания, продукт, технология, решение – номинант на Национальную Премию по безопасности.

10. Получив Национальную Премию по безопасности, Вы испытаете гордость, что Ваша компания, разработки, решения, управляющий – самые лучшие. Ваши сотрудники, клиенты, партнеры и даже конкуренты будут знать, что Вы – победитель!

Информационные спонсоры Национальной Премии по безопасности: ИА "Росбизнесконсалтинг", Сnews.ru, Утро.ru, Algo.ru, журналы "Банковские технологии", "Банковское дело в Москве", "Гостиница и ресторан", "Скрытая камера", "Мир и безопасность".

С уважением,
Пресс-центр Национальной Премии по безопасности 9

DATA FORT объявил об открытии собственного дата-центра, построенного для компаний, передающих собственные ИТ-системы на аутсорсинг. Общий объем инвестиций в строительство дата-центра составил 2 млн. долларов.

Новый дата-центр предназначен для размещения компьютерных систем, к бесперебойной работе которых предъявляются повышенные требования. Он размещен в специально оборудованном здании и соответствует всем современным требованиям рынка к надежности связи с внешними сетями, автономной системой электропитания, резервными хранилищами информации, физической и информационной системами безопасности и др.

В новом дата-центре есть как технологический блок для размещения оборудования, так и помещения для организации резервных офисов в рамках услуги DATA FORT по обеспечению непрерывности бизнеса клиентов. Эта услуга предполагает, что при возникновении проблем с работоспособностью основного офиса клиента в случае наступления форс-мажорных обстоятельств его ключевой персонал может продолжить работу в резервном офисе.

Новый центр обработки данных позволит разместить более 1500 серверов клиентов. Емкость двух хранилищ данных и систем резервного копирования, которыми располагает дата-центр – свыше 50 терабайт. Более половины мощностей уже зарезервировано клиентами.

Источник: пресс-релиз компании IBS

Разработав собственный стандарт видеодисков EVD, который позволит избежать отчислений держателям патентов на DVD, Китай еще в одном вознамерился пойти "особым путем". Китайское управление стандартизации (SAC) объявило, что с декабря этого года все WLAN-устройства, продающиеся в стране, должны поддерживать национальный стандарт безопасности WLAN Authentication and Privacy Infrastructure (WAPI). Переходный период для его внедрения продлится до июля 2004 года.

Причина для таких действий у Китая есть: нынешний стандарт Wired Equivalent Privacy (WEP), входящий в состав стандартов 802.11, весьма слаб и может быть легко взломан. Эксперты из института IEEE уже говорят, что использование Китаем WAPI серьезно помешает созданию единого открытого WLAN-пространства и приведет к расколу рынка. В IEEE ведется работа над стандартом 802.11i, а пока в качестве временной меры в выпускающихся устройствах применяется технология Wi-Fi Protected Access (WPA).

Американские и международные организации и компании, в том числе и WiFi Alliance, ведут переговоры с Китаем, пытаясь убедить его отказаться от принятого решения. На крайний случай возможно включение WAPI в 802.11i. Если стороны не придут к соглашению, производителям придется обеспечивать поддержку обоих стандартов, что приведет к росту цен.

Интернет-аукцион eBay обвиняет Джерома Хекенкампа в хакерских действиях в федеральном суде Калифорнии. Три года назад хакер уже имел дело с правосудием и в результате слушания частью его приговора было запрещение пользоваться компьютером в течение трех лет.

По условиям, назначенным судьей, 24 летний хакер может использовать только один единственный компьютер, установленный у него дома - без модема и какого бы то ни было доступа в Сеть.

Такое постановления суда, запрещающие пользование Интернетом, одно время обрело популярность, но в свете того что всемирная Сеть все теснее входит в жизнь, нередко подвергается яростным нападкам правозащитников.

Адвокат Джерома Хекенкампа сейчас активно акцентирует внимание на нарушение таким ограничением Прав Человека и надеется добиться отмены постановления суда.

Хекенкамп обвинен во взломе сервера изготовителя телекоммуникационного оборудования Qualcomm. Ранее он уже привлекался по обвинению в незаконном проникновении в компьютеры Lycos, Exodus Communications, Juniper Networks, Cygnus Support Solutions.

Сам Хекенкамп активно отрицает свою вину, утверждая, что взломщик дистанционно использовал его компьютер без ведома владельца.

Программа: IBM WebSphere 5.0.0, 5.0.1, 5.0.2, 5.0.2.1 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в IBM's WebSphere. Удаленный пользователь может представить специально обработанный XML SOAP запрос, чтобы заставить сервер использовать 100% ресурсов CPU. Если SOAP запрос включает специально обработанные XML атрибуты, то целевой XML парсер будет использовать 100% ресурсов CPU в течении продолжительного периода времени (от нескольких секунд до минут) URL производителя: http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&q=PQ81278&uid=swg24005943 Решение:Установите патч PQ81278: http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&q=PQ81278&uid=swg24005943

Multiple Vendor SOAP server (XML parser) attribute blowup DoS

Программа: Macromedia ColdFusion MX 6.0, 6.1 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Macromedia's ColdFusion MX. Удаленный пользователь может представить специально обработанный XML SOAP запрос, чтобы заставить сервер использовать 100% ресурсов CPU. Если SOAP запрос включает специально обработанные XML атрибуты, то целевой XML парсер будет использовать 100% ресурсов CPU в течении продолжительного периода времени (от нескольких секунд до минут) URL производителя:http://www.macromedia.com/ Решение: Установите соответствующее обновление (MPSB03-07): http://www.macromedia.com/devnet/security/security_zone/mpsb03-07.html

Multiple Vendor SOAP server (XML parser) attribute blowup DoS

Программа: @mail WebMail System 3.52 Опасность: Средняя Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в @mail WebMail System. Злонамеренный пользователь может выполнить XSS нападение и просматривать email других пользователей. 1. Возможно просматривать почтовые ящики других пользователей, манипулируя параметром "Folder", из за ошибки в сценарии "showmail.pl: http://[target]/showmail.pl?Folder=././victim@[target]/mbox/Inbox 2. Сценарии "atmail.pl", "search.pl", и "reademail.pl" не в состоянии проверить пользовательские данные, когда они используются в SQL запросах. В результате удаленный пользователь может манипулировать запросами и читать произвольные email сообщения других пользователей. -http://[target]/reademail.pl?id=666&folder=qwer'%20or%20EmailDatabase_v.Account='victim@a tmail.com&print=1 3. Текущий пользователь может получить доступ к почтовому ящику другого пользователя, манипулируя именем почтового ящика в сессионных куки. 4. "Folder" параметр в "showmail.pl" может использоваться для выполнения XSS нападения: http://[target]/showmail.pl?Folder=<script>alert(document.cookie)</script> URL производителя: http://www.atmail.com/index.ehtml Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

@Mail web interface multiple security vulnerabilities

Программа: CVS до версии 1.11.10 Опасность: Высокая Наличие эксплоита: Да Описание: Уязвимость обнаружена в CVS. Удаленный пользователь может заставить CVS создавать файлы и каталоги в root директории. Удаленный пользователь может представить специально сформированный запрос, чтобы заставить СМЫ сервер попытаться создать директории и возможно файлы в root каталоге файловой системе, в которой расположен CVS репрозиторий. URL производителя: http://ccvs.cvshome.org/ Решение:Установите обновленную версию программы (1.11.10): http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=384

Stable CVS Version 1.11.10 Released!

Программа: Microsoft ASP.NET Web Services 1.0, 1.1 Опасность: Низкая Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Microsoft's ASP.NET web services. Удаленный пользователь может представить специально обработанный XML SOAP запрос, чтобы заставить сервер использовать 100% ресурсов CPU. Если SOAP запрос включает специально обработанные XML атрибуты, то целевой XML парсер будет использовать 100% ресурсов CPU в течении продолжительного периода времени (от нескольких секунд до минут) URL производителя: http://www.microsoft.com Решение: В следующей статье рассказывается как снизить последствие уязвимости: http://support.microsoft.com/default.aspx?kbid=832878

Multiple Vendor SOAP server (XML parser) attribute blowup DoS

Белорусские власти, доблестно победившие гидру свободы слова в редакциях печатных изданий и на телевидении, обратили свой державный взор на интернет – последний рассадник демократии.

"Спецслужбы должны контролировать Интернет, к помощи которого сегодня все чаще прибегают представители международного терроризма и организованной преступности. Мы сегодня стремимся создать все условия, в первую очередь, правовые, чтобы проводить работу по контролю за Интернетом", - заявил председатель комитета государственной безопасности республики Леонид Ерин.

Глава белорусского КГБ признал существование позиции гражданского общества, которое видит в попытках контролирования Интернета ущемление прав человека. Тем не менее, приоритетным Ерин считает подход государства и интересы спецслужб, "которым должна быть предоставлена возможность контроля за Интернетом".

Программа: WMShop v 1.x 2.x

Опасность: Средняя

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в WMShop. Удаленный атакующий может получить имена пользователей и пароли всех зарегистрированных участников магазина, в т.ч. и администраторов магазина.

Уязвимость обнаружена в параметре tovid в сценарии buy.php. Пример:

www.supershop/buy.php?tovid=./users/admin

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Уязвимость обнаружил Zotoff [fsb_z @quake.ru]