Еще одна система управления инфраструктурой безопасности

Борьба с кибертеррористами не первый год ведется и правительственными организациями, и частными фирмами. Всегда ли методы этой борьбы оправдывают ту цель, ради которой начинают принимать ответные действия? Эксперты по безопасности считают, что компаниям не стоит полагаться на эмоции — выбор тех или иных мер противодействия должен быть четко просчитан. Системы управления мерами безопасности, разработанные корпорацией Symbiot Security и появившиеся недавно на американском рынке, возможно, помогут решить эту проблему.

Компания Symbiot Security представила аппаратно-программный комплекс под названием iSIMS (сокращение от Intelligent Security Infrastructure Management Systems - интеллектуальные системы управления инфраструктурой безопасности). Это один из первых подобных продуктов на рынке, он появился в апреле, но уже сейчас активно используется в сетях корпоративных, правительственных и оборонных ведомств.

Несомненно, продукция такого рода найдет своего потребителя - по данным американского центра CERT Coordination Center в 2003 г. зафиксировано 137529 случая нарушения сетевой безопасности (в 2002 г. - 82094 случаев, в 2001 г. - 52658). В состав системы iSIMS входит специальное оборудование, программы и сервисная поддержка. Система позволяет осуществлять традиционные меры защиты от атаки кибертеррористов - блокирование трафика или маршрутизация его в безопасном направлении. Вместе с тем, iSIMS может и начать открытые активные действия в отношении захватчиков.

Сами разработчики утверждают, что они создали своего рода философскую концепцию, где сформулированы правила вовлечения в информационную войну. Согласно этой концепции, ответные меры возрастают в зависимости от получения информации о степени угрозы, при этом система позволяет сравнить (в денежном исчислении) затраты на ответные меры и масштабы ущерба и сделать выбор в пользу той или иной меры. Среди активных ответных мер - такие "асимметричные ответы", как лавинная адресация данных на атакующий компьютер, блокирование его доступа в интернет и т.п. Специалисты компании пока не спешат делиться техническими подробностями своей системы, и спрос на нее очень высокий.

Некоторые эксперты по информационной безопасности выражают сомнение в том, что активные меры в борьбе с кибератаками всегда будут эффективны. Уже известны случаи, когда победа в борьбе такого рода оказывалась пирровой. Достаточно вспомнить появление "лечебного" вируса-червя Welchia, который проникал на компьютеры и уничтожал вредоносного червя Lovesan. Вирус, в самом деле, оказал полезное действие для многих компьютеров, однако его распространение привело к переполнению каналов передачи данных и блокированию сетей, что могло привести к нарушению работы систем аэронавигации, служб спасения, банкоматов.

Red Hat сертифицировала "Лабораторию Касперского"

"Лаборатория Касперского" получила статус официального партнера компании Red Hat - Red Hat Ready Partner, который подтверждает оптимизацию продуктов "Лаборатории Касперского" для функционирования на платформах Red Hat Linux. Также продукты лаборатории войдут в перечень сертифицированных приложений, распространяемый компанией Red Hat среди текущих и потенциальных клиентов.

Российского спамера впервые приговорили к штрафу

Российское правосудие, наконец, добралось до спамеров. 10 июня челябинский суд признал SMS-спамера Дмитрия Адросова виновным по статье 273 часть 1 УК РФ (создание, использование и распространение вредоносных программ для ЭВМ) и приговорил его к одному году лишения свободы условно, обязав, помимо прочего, выплатить штраф в 3000 рублей. Таким образом, россиянин был впервые наказан по всей строгости закона за несанкционированную рассылку рекламы.

Интернет-мошенничество: бесплатный сыр только в мышеловке

В прошлом году сумма ущерба от виртуальных мошенников в мире достигла полутора миллиардов долларов. Кличество пострадавших от кибераферистов на просторах СНГ тоже растет с каждым годом. И если товарам с интернет-магазинов наши люди пока не слишком доверяют, но зато с удовольствием влазят в электронные "пирамиды", приобретают программы на бесплатную мобильную связь. Продавая программы, якобы позволяющие говорить по мобильному телефону бесплатно, аферисты зарабатывают до 15 тысяч долларов в месяц. Жертвам предлагается относительно дешево (всего-то за 50 долларов) купить программу для мобильного телефона, которая якобы позволит день и ночь говорить бесплатно.

Афера продумана очень грамотно: насыщенный терминами текст, список операторов мобильной связи, с которыми эти «прошивки» работают, перечень моделей мобильных телефонов и масса другой «полезной» информации. Для пущей убедительности на сайте даже есть форум счастливых обладателей «прошивки», их лестные отзывы о программах. Вот только все оставленные на сайте координаты оказываются «липой», и связаться с этими людьми невозможно. Но большинству жертв сей факт становится понятным уже поле того, как они перевели деньги на счет мошенников, а взамен не получили ничего.

Существуют и другие варианты мошенничества, связанные с мобильной связью. Блуждая по глобальной сети Интернет, можно встретиться с проектом по модернизации сотовых телефонов. За 40-60 долларов электронные мошенники обещают «довести трубку до такого совершенства, что вы сможете разговаривать за счет других абонентов». Есть предложения приобрести программу, генерирующую пин-код для пополнения счета. Кроме этого, за дополнительные 30 долларов мошенники предлагают «прошивку», обеспечивающую неограниченный доступ к отправке SMS-сообщений.

Возможность выйти на реального получателя средств практически исключена, поскольку платежи осуществляются с помощью системы "ВебМани" ("WebMoney"): виртуальный аналог текущего счета в банке. На одном из серверов Интернет-платежных систем хранится информация о якобы имеющихся на вашем счете деньгах. С него можно совершать покупки в Интернете или же переводить виртуальные деньги в банк, после чего забирать их наличными. Самое главное, что для открытия счета не нужны ни паспортные данные, ни идентификационный код. Поэтому найти получателя денег в системе "ВебМани" практически невозможно.

Обои для защиты радиосетей Wi-Fi

Проблема безопасности радиосетей Wi-Fi, которые становятся все более популярными, стоит довольно остро. Intel даже в своем новом чипсете Grantsdale отключила радиомодуль, позволяющий легко превратить компьютер в беспроводную точку сетевого доступа, мотивировав это тем, что неопытный пользователь может сделать совершенно незащищенную сеть и тем самым нанести немалый ущерб своей компании. Правда, злые языки утверждали, что этот модуль попросту не работает, а Intel решила таким способом оправдаться.

Тем не менее, нашлись люди, которые думают о защите Wi-Fi сетей и даже довольно плодотворно, хотя они и не занимаются производством оборудования для них. Речь идет об английской компании BAE Systems, специализирующейся на оборонных заказах. Она разработала специальные "обои" для стен, которые не позволяют излишне любопытным гражданам подключаться извне к корпоративным Wi-Fi сетям. Заодно они предотвращают прослушивание внутренних переговоров по мобильным телефонам.

Эти "обои" представляют собой панели FSS (Frequency Selective Surface), которые состоят из слоев меди и полимера "каптон". Эти материалы, кстати, используются в обшивке самолетов-невидимок, сделанных по технологии "стелс". Общая толщина панелей составляет от 50 до 100 мкм. Они выпускаются в двух версиях: пассивной, то есть постоянно "включенной", и активной (такие панели можно по желанию пользователя "включать" и "выключать", чтобы расширить или наоборот сузить сеть).

По заявлению BAE Systems, панели FSS можно установить практически на любой поверхности, в том числе на стекле, так что в защите не будет дыр. Как сообщается, материал, из которого делаются панели FSS, довольно дешев. Но пока нет никаких сведений о том, когда BAE Systems наладит их коммерческое производство.

BigFix следит за защищенностью ноутбуков

Специалисты фирмы BigFix завершают разработку программного агента Mobile Security Manager, предназначенного для установки на ноутбуки, функционирующие под управлением Windows. Система производит мониторинг конфигурации ПО на компьютере, следит за наличием заплат, антивирусов и обновляет их по мере устаревания. Агент гибко настраивается при помощи микромодулей Fixlets, каждый из которых автоматизирует устранение определенной проблемы с безопасностью. Имеется, например, модуль, следящий за тем, чтобы на компьютер не устанавливалось файлообменное ПО; есть Fixlet, напоминающий пользователю о необходимости активизации функции запроса пароля для возврата в систему после включения скринсейвера. Одновременно с Mobile Security Manager компания выпустит API-интерфейс BigFix Client Compiance, при помощи которого приложения контроля доступа к сети могли бы получать информацию от агента BigFix об уровне защищенности ноутбука перед тем, как разрешить ему регистрацию. Оба продукта войдут в состав платформы оценки уязвимости систем BigFix Enterprise. В дальнейшем в ней планируется реализовать также поддержку мобильных телефонов и КПК.

Защищенная сеть даст хакеру сдачи

Борьба с кибертеррористами не первый год ведется и правительственными организациями, и частными фирмами. Всегда ли методы этой борьбы оправдывают ту цель, ради которой начинают принимать ответные меры? Эксперты по безопасности считают, что компаниям не стоит полагаться на эмоции — выбор тех или иных мер противодействия должен быть четко просчитан. Системы управления мерами безопасности, разработанные корпорацией Symbiot Security и появившиеся недавно на американском рынке, помогут решить эту проблему.

Компания Symbiot Security представила аппаратно-программный комплекс под названием iSIMS (сокращение от Intelligent Security Infrastructure Management Systems - интеллектуальные системы управления инфраструктурой безопасности). Это один из первых подобных продуктов на рынке, он появился в апреле, но уже сейчас активно используется в сетях корпоративных, правительственных и оборонных ведомств.

Несомненно, продукция такого рода найдет своего потребителя - по данным американского центра CERT Coordination Center, в 2003 г. зафиксировано 137529 случая нарушения сетевой безопасности (в 2002 г. - 82094 случаев, в 2001 г. - 52658). В состав системы iSIMS входит специальное оборудование, программы и сервисная поддержка. Система позволяет осуществлять традиционные меры защиты от атаки кибертеррористов - блокирование трафика или маршрутизация его в безопасном направлении. Вместе с тем, iSIMS может и начать открытые активные действия в отношении захватчиков.

Сами разработчики утверждают, что они создали своего рода философскую концепцию, где сформулированы правила вовлечения в информационную войну. Согласно этой концепции, ответные меры возрастают в зависимости от получения информации о степени угрозы, при этом система позволяет сравнить (в денежном исчислении) затраты на ответные меры и масштабы ущерба и сделать выбор в пользу той или иной меры. Среди активных ответных мер - такие "асимметричные ответы", как лавинная адресация данных на атакующий компьютер, блокирование его доступа в интернет и т.п. Специалисты компании пока не спешат делиться техническими подробностями своей системы, и спрос на нее очень высокий.

Некоторые эксперты по информационной безопасности выражают сомнение в том, что активные меры в борьбе с кибератаками всегда будут эффективны. Уже известны случаи, когда победа в борьбе такого рода оказывалась пирровой. Достаточно вспомнить появление "лечебного" вируса-червя Welchia, который проникал на компьютеры и уничтожал вредоносного червя Lovesan. Вирус, в самом деле, оказал полезное действие для многих компьютеров, однако его распространение привело к переполнению каналов передачи данных и блокированию сетей, что могло привести к нарушению работы систем аэронавигации, служб спасения, банкоматов.

Безопасность президентского сайта обошлась в 6 млн. руб.

Накануне в Кремле состоялась презентация нового сайта президента России. Интернет-представительство президента России появилось по адресу www.kremlin.ru в 2002 году. Его посещают более 30 тыс. человек в день. На сайте около 27 тыс. страниц, из которых 18,5 тыс. официальных документов и 20 тыс. изображений. Ежедневно системой обнаружения атак фиксируется около 100 атак различных уровней.

Обновленный сайт президента России гораздо удобнее использовать, что важно для онлайн-энциклопедии, которой президентский сайт фактически является. Огромное количество документов – выступлений и указов президента, федеральных законов – теперь открываются всего в несколько кликов мышкой. В интернет-департаменте управления также говорят, что англоязычная версия сайта теперь сопоставима по объему с русскоязычной, однако официальных данных о том, какова англоязычная аудитория сайта, пока нет. В то же время обновленный сайт сохранил прежнюю структуру, а также разработчика – компанию AYAXI.

На обновленную версию www.kremlin.ru в рамках федеральной целевой программы (ФЦП) «Электронная Россия» было выделено 6 млн. руб. (более $200 тыс.).

Сразу же весь Рунет накинулся с критикой на "сильно завышенную стоимость сайта". Основным аргументом критиков было то, что в российском интернете не бывает сайтов дороже 50 тыс.$

"Если бы разработку такого проекта заказывала не государственная структура, а коммерческая организация, он бы стоил $15-20 тыс.", считает директор интернет-студии «Ру-сайт» Валерий Шарифулин, очевидно намекая на "откатную" специфику государственных заказов.

По нашему мнению, давать поспешные выводы о завышенной стоимости сайта после поверхностного его осмотра по-крайней мере безответственно. Вероятно критики не подозревают во сколько может обходиться безопасность, если на нее обращать приоритетное внимание. Один только качественный тест на проникновение сайта такого уровня обошелся бы от 5 тыс$.

«Создание такого сайта – комплексный процесс, в котором задействована не одна организация,– говорит начальник IT-отдела AYAXI Дмитрий Иванов.– Высоки требования по безопасности, которые внешне никак не отражаются, но сильно удорожают разработку. Бронированный Mercedes выглядит внешне как обычный, но стоит на порядок дороже».

Насколько эффективными окажутся вложения в безопасность, покажет время, но сайт по настоящему получился интересным и содержательным.

Gmail наградят за угрозу приватности

Почтовый сервис компании Google имеет много шансов завоевать первый приз Big Brother Awards за угрозу конфиденциальности переписки своих пользователей. Об этом заявила группа защиты гражданских прав Privacy International.

Big Brother Awards, проводящаяся под эгидой Privacy International призвана отмечать организации, представляющие потенциальную угрозу той части гражданских прав, которые касаются приватности и конфиденциальности.

Напомним, что почтовый сервис Gmail, в данный момент доступный лишь ограниченной группе бета-тестеров, автоматически перлюстрирует корреспонденцию пользователя, анализирует ее содержимое и на основе этого анализа показывает пользователю контекстную рекламу.

Как сообщает ZDNet со ссылкой на Саймона Дэвиса (Simon Davies), директора Privacy International, Google является потенциальным победителем Big Brother Awards еще и потому, что активно сопротивляется диалогу с правозащитными организациями.

«Все попытки встретиться и обсудить ситуацию с руководством Google не увенчались успехом, — сокрушается господин Дэвис. — Особенно прискорбен тот факт, что другие почтовые сервисы склонны последовать за Google в вопросе показа контекстной рекламы своим пользователям».

Прошлую награду Big Brother получили Кен Ливингстон (Ken Livingstone) за развитие систем слежения на транспорте, а также компания Capita — за ту роль, которую она сыграла в усилении правительственного надзора за гражданами.

Церемонию награждения будет вести комик Марк Томас (Mark Thomas), также присутствующих будут развлекать другие специальные гости. В этом году награждение впервые пройдет публично. Это сделано для того, чтобы повысить внимание общественности к проблеме защиты приватности. Место проведения будет оборудовано 1000 посадочных мест, занять которые можно будет совершенно бесплатно.

«Мы хотим вывести нашу награду из разряда событий-инсайдеров. Для этого мы привлекаем к участию различные общественные организации, организации, занимающиеся защитой гражданских прав и свобод, политиков и просто сочувствующих, — говорит Саймон Дэвис. — Наша цель — привлечь внимание к проблеме самых широких масс людей».

Дэвис также отметил, что повлиять на коммерческие структуры с целью изменения их поведения на рынке очень сложно. К тому же, еще не известно, наносит ли Big Brother Award хоть какой-то ущерб тем, кто попал в сферу ее внимания, или же при помощи нее коммерсанты получают бесплатный пиар.

Как обезопасить "электронное правительство"? Законопроект.

В ближайшее время на рассмотрение Государственной Думы может поступить законопроект об обязательной информационной открытости органов государственной власти. Его принятие принципиально важно для воплощения в жизнь идеи "электронного правительства".

Представления об информационной открытости у чиновников и простых граждан разнятся настолько, что, кажется, большинство министерств и ведомств пока просто не хотят ввязываться в эту дискуссию, предоставляя журналистам право пока самим рассуждать о функциях государства. Вокруг идеи "электронного правительства" в последнее время возникает столько фантазий, вольных и невольных искажений слов и терминов, что, кажется, весь этот вал готов похоронить само новшество. А оно действительно полезно, прогрессивно и даже имеет прорывной характер.

Бизнес, оборона, образование, занятость, семья, здравоохранение, жилье, правопорядок, транспорт – вот перечень тем, где при работе "электронного правительства" человек сможет, не отходя от монитора, получить более или менее полную информацию о том, как ему платить налоги, пора ли служить в армии, куда и на каких условиях поступать учиться, где и почем получить лечение той или иной болезни. Кроме того, может реально узнать о вакантных рабочих местах и поучаствовать в конкурсе на их замещение, прицениться к доступному жилью, а в случае замеченного правонарушения незамедлительно сообщить куда следует.

Таким образом, гражданин получает возможность задавать вопросы чиновникам, писать жалобы и даже получать на них ответы. "Электронному правительству" разумно "электронным" же способом платить налоги и штрафы, регистрировать у него автомобили и земельные участки. К нему можно обращаться за пересчетом пенсий и получением льгот. Из чего делается вывод: дело это перспективное, а оттого и лучший объект приложения усилий диверсантов всех мастей – от тщеславных юных хакеров до маститых бородатых террористов.

Баланс между необходимой прозрачностью и требованиями информационной безопасности пока не найден. Страх перед Всемирной паутиной приводит к тому, что в большинстве госорганизаций документооборот по-прежнему осуществляется только на бумаге. Но информационная открытость не обязательно подразумевает неизбежную уязвимость. Не зря же IТ-профессионалы безопасности тратят столько сил на постоянное обновление системы защиты. При президенте России действует Государственная техническая комиссия для проведения единой технической политики, организации и контроля работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности. Задача комиссии – быть всегда на шаг впереди того, кто либо стремится проникнуть в чужие тайны, либо хочет посеять информационный хаос. Комиссии это удается, но не она сама строит сети или создает базы данных. Она лицензирует работу тех, кто занимается практической работой.

Не так давно компания "ТрансТелеКом" первой среди российских магистральных операторов связи получила сертификат Государственной технической комиссии, который удостоверяет, что IР-сеть компании полностью соответствует требованиям защиты от несанкционированного доступа к информации. По словам президента компании Сергея Липатова, "государственные органы и ведомства и ранее имели защищенные каналы для передачи сведений, содержащих государственную тайну. Теперь же они обретают безопасный канал для информационного обмена и доступа в публичные сети всех других данных, которых, естественно, неизмеримо больше. А это – мало пока кем замеченная революция в деле создания реально полезного людям и стране механизма информационного взаимодействия власти и общества в XXI веке".

Преимущества "электронного правительства" не вызывают сомнения, но напрямую к нему смогут обращаться только те, кто имеют выход в Интернет, – а в России это явное меньшинство населения. Демократическое решение ищут по всему миру: в США предлагают создавать пункты уплаты налогов в супермаркетах, в нашей стране интенсивно "интернетизируют" почтовые отделения.

"Да, об "электронном правительстве" пишут много, – комментирует ситуацию президент компании "ТрансТелеКом" Сергей Липатов, – но больше обращают внимание на его развитие вширь (количество сайтов, адресов, байт информации), то есть на "крону". А ведь главное – "ствол", то есть безопасные цифровые каналы передачи и хранения информации, без которых все "дерево" неизбежно завалится. И может похоронить под собой очень многое – в благополучии граждан, в механизмах управления, в демократическом развитии страны, наконец".

Источник: Российская газета, 22.06.2004

Совет по IT составит список основных проблем отрасли информационных технологий.

В кабинете Министра по информационным технологиям и связи РФ состоялось заседание Совета по информационным технологиям под председательством Министра по информационным технологиям и связи Российской Федерации Л.Д. Реймана.

На заседании обсуждалась роль Совета по ИТ в свете основных направлений деятельности образованного Министерства, состав и структура Совета, регламент его деятельности, а также вопросы взаимодействия Совета с системой органов координации и управления отраслью ИКТ в России. Кроме того, члены Совета заслушали отчеты о подготовке проекта концепции развития рынка информационных технологий и концепции региональной информатизации до 2010 года.

По вопросу о функциях и роли Совета в деятельности Министерства было принято решение о продолжении его работы в рамках вновь образованного ведомства, при этом вопросы регламента будут вынесены на обсуждение до конца июня 2004 года. С отчетом о подготовке проекта концепции развития рынка информационных технологий выступил руководитель рабочей группы Совета по разработке проекта, президент компании DPI Е.Ю. Бутман. По результатам обсуждения члены Совета приняли решение о необходимости формирования списка основных проблем отрасли ИТ в России. Также члены Совета предложили Министерству организовать дискуссию на форуме информационного портала "Связь" с целью публичного обсуждения и поиска решения по данному вопросу. В соответствии с решением Совета следующее заседание, которое состоится в "РИО-центре" в начале июля 2004 года, будет посвящено обсуждению подготовленного рабочего проекта концепции развития рынка.

Руководитель рабочей группы Совета по разработке концепции региональной информатизации до 2010 года, президент группы компаний "Cognitive Technologies" О.А. Ускова выступила с докладом об организации работ по разработке концепции. По результатам обсуждения было решено утвердить предложенный руководителем рабочей группы Совета состав экспертной группы по разработке концепции.

Источник: Сайт Минсвязи России, 21.06.2004

Леонид Рейман объединил Инь и Ян и решил заняться информационными технологиями.

В минувшую среду состоялось первое публичное выступление руководителя возрожденного Министерства информационных технологий и связи Леонида Реймана перед прессой. Он сделал давно ожидаемое заявление – теперь его ведомство сместит основной акцент в своей работе с телекоммуникаций на информационные технологии. Особое внимание будет уделено экспорту ПО.

Выступление состоялось в рамках 8-го Международного экономического форума, проходившего в Таврическом дворце. Перед пресс-конференцией министр поприсутствовал на круглом столе, посвященном развитию инфокоммуникационного сектора в России и СНГ. Оба мероприятия состоялись незадолго до утверждения постановления о новом министерстве, которое должно произойти со дня на день. Согласно этому документу у министерства будет два федеральных агентства – связи и информационных технологий (ФАС и ФАИ), причем о появлении последнего стало известно буквально несколько недель назад. Функции контролирующего органа возьмет на себя бывший Госсвязьнадзор.

Основная часть выступления Леонида Реймана касалась планов работы воссозданного министерства (напомним: в ходе административной реформы бывшее Министерство связи и информатизации сначала расформировали и присоединили к Министерству транспорта, а затем воссоздали в качестве новой независимой структуры – Министерства информационных технологий и связи). По его словам, главным изменением станет смещение акцента в сторону IT. "Это произойдет впервые за всю работу ведомства, раньше мы больше фокусировались на отрасли связи", – отметил он. Именно этим обусловлено образование нового агентства по информатизации. Оно возьмет на себя решение нескольких задач, включая дальнейшую работу в рамках программы "Электронная Россия", создание технопарков совместно с Министерством по образованию, повышение имиджа России на международном рынке. Кроме того, министерство специально для отечественных экспортеров ПО намерено разработать ряд инициатив, касающихся, в частности, таможенного законодательства, прав интеллектуальной собственности и т. д.

Аналитики в основном позитивно отнеслись к подобной перестановке акцентов в деятельности министерства. "Необходимо понимать, что телекоммуникации – лишь одна часть единого процесса обработки информации и принятия решений. Другая связана с обработкой и анализом информации. Именно возможность контролировать и управлять бизнесом, принимать решения порождает спрос на сами коммуникации. Без IТ в целом коммуникации теряют смысл и наоборот. Это как Инь и Ян. Поэтому логично, что вопросы и обработки и передачи информации отдаются в ведение одного министерства", – заметил аналитик "Финам" Олег Шенкер. "Рынок информационных технологий развивается все активнее и становится все более привлекательным с финансовой точки зрения. Ранее он занимал мизерные доли в экономике страны, которые точно оценить было нельзя, сейчас ситуация резко изменилась", – соглашается партнер AC&M Consulting Александр Шатиков.

Источник: Деловая панорама (Санкт-Петербург), 21.06.2004

Выполнение сценариев в Infoblox DNS One

Программа: Infoblox DNS One до 2.4.0-8 Опасность: Низкая Наличие эксплоита: Да Описание: Обнаружена уязвимость в Infoblox DNS One при обработке DHCP сообщений. Удаленный атакующий может выполнить произвольный сценарий на уязвимой системе. Приложение некорректно обрабатывает DHCP опции HOSTNAME и CLIENTID перед отображением информации в административном отчете, что позволяет атакующему внедрить в отчет HTML код или произвольный сценарий, который будет выполнен при просмотре отчета в браузере жертвы. URL производителя: http://www.infoblox.com/products/dnsone_overview.cfm Решение: Установите обновление от производителя.

Выполнение произвольного кода в rlpr

Программа: rlpr 2.04 Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаружены переполнение буфера и уязвимость форматной строки в rlpr. Удаленный атакующий может выполнить произвольный код на уязвимой системе. Локальный атакующий может получить привилегии root. Обе уязвимости существуют в функции msg(). Удаленный атакующий может выполнить произвольный код с привилегиями rlpr процесса. Локальный атакующий может получить привилегии root на уязвимой системе. URL производителя: http://truffula.com/rlpr/ Решение: На данный момент решения этой проблемы не существует.

Повышение привилегий в WWW-SQL

Программа: WWW-SQL 0.5.7 Опасность: Низкая Наличие эксплоита:Нет Описание: Обнаружено переполнение буфера в WWW-SQL. Локальный атакующий может повысить свои привилегии на системе. Уязвимость существует в модуле 'cgi.c' из-за ошибки при обработке длинного имени включаемого файла. Удаленный атакующий может с помощью специально сформированной HTML страницы указать слишком длинный путь к файлу в команде include, который будет выполнен WWW-SQL. При некоторых обстоятельствах, эта уязвимость может быть использована удаленным атакующим. URL производителя: http://www.jamesh.id.au/software/www-sql/ Решение: Решения не существует