Виявлені численні уразливості безпеки в Apache Tomcat.
Уразливі версії: Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.
Обхід авторизації і replay-атаки при використанні авторизації Digest, DoS.
У листопаді, 20.11.2012, вийшов Mozilla Firefox 17. Нова версія браузера вийшла через півтора місяця після виходу Firefox 16 (і майже через місяць після Firefox 16.0.2).
Mozilla офіційно представила реліз веб-браузера Firefox 17, який віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.11, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 18 намічений на перший тиждень січня, а Firefox 19 на 19 лютого.
Також були випущені Thunderbird 17, Seamonkey 2.14 і Firefox 17 для платформи Android.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 17.0 усунуто 16 уразливостей, серед яких 6 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі.
Зазначу, що в останніх версіях Firefox (з 14 по 17) в браузері виправляється велика кількість уразливостей. Для версії Firefox 17 випущено 16 патчів - це на один патч більше ніж у версії 16. І це при тому, що в деяких патчах виправляється більше однієї дірки.
У листопаді місяці Microsoft випустила 6 патчів. Що трохи менше ніж у жовтні.
У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають 19 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості і два патчі закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8 та RT. А також Microsoft Office, Internet Explorer, Internet Information Services та .NET Framework.
За повідомленням www.xakep.ru, у США відбувся найбільший витік даних про платників податків.
Влада штату Південна Кароліна визнала факт витоку із серверів податкової служби 3,6 млн. номерів карт соціального страхування, 387 тис. кредитних карт, податкових декларацій громадян та іншої інформації про жителів штату і компанії, що ведуть тут діяльність.
Як повідомляється, невідомі зловмисники (можливо з Росії) викрали докладну фінансову інформацію про 80% жителів Південної Кароліни і про всі 657000 компаній, зареєстрованих у місцевій податковій службі. Це найбільший витік фінансових даних в історії США. Департамент по податкам і зборам Південної Кароліни опублікував термінове попередження для громадян з поясненням ситуації й інструкцією з подальших дій.
За повідомленням opennet.ru, Kernel.org піддався взлому.
Як повідомлялося ще 1 вересня, виявлено факт взлому декількох серверів в інфраструктурі Kernel.org, використовуваних для поширення архівів з вихідними текстами й обслуговування Git-репозиторіїв з ядром Linux. Нападникам вдалося одержати root-доступ до серверів, модифікувати системне програмне забезпечення й організувати перехоплення паролів розробників. Зокрема, нападники замінили openssh-server і openssh-clients, а також організували завантаження свого скрипта через систему ініціалізації.
Факт взлому був виявлений 28 серпня. Після цього взлому серверів основного проекту інфраструктури Linux, у вересні були виявлені взломи інших Linux ресурсів. Зокрема був виявлений факт взлому інфраструктури сайтів linuxfoundation.org і соціальної мережі Linux.com. Власники ресурсів зазначили, що подія можливо пов’язана з атакою на kernel.org.
За повідомленням opennet.ru, інфраструктура проекту FreeBSD піддалася взлому, не виключена підміна пакетів.
Проект FreeBSD опублікував повідомлення про виявлення слідів взлому двох серверів, що беруть участь у збірці пакетів. Інцидент зафіксований 11 листопада, але сліди взлому вказують на те, що зловмисники одержали контроль над системою 19 вересня. Цілісність усіх портів і пакетів, завантажених з 19 вересня по 11 листопада не гарантується.
Окремо відзначається, що взлом не торкнувся компонентів базової системи і портів, що розповсюджуються через svn.freebsd.org. Незважаючи на відсутність прямих свідчень підміни контента, користувачам, що оновлювали чи встановлювали в зазначений період пакети, рекомендовано оцінити доцільність проведення аудита безпеки чи перевстановлення своїх систем з нуля.
Як видно з даної інформації, взлом серверів FreeBSD відбувся у вересні одразу за вломами багатьох серверів інфраструктури Linux. Тому я вважаю, що ці атаки пов’язані. Це була цілеспрямована атака на популярні відкрити ОС, зокрема на сайти з їхніми вихідними кодами, щоб включити бекдори в код ОС або пакетів. Подібні випадки вже траплялися з популярними опенсорсними програмами, що можливо через природу відкритого ПЗ.
Учора, 22.11.2012, вийшли PHP 5.3.19 та PHP 5.4.9. В яких виправлено більше 15 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.
Жодних уразливостей в цих версіях PHP виправлено не було.
По матеріалам http://www.php.net.
Виявлена помилка форматного рядка в Applicure dotDefender.
Уразливі версії: Applicure dotDefender 4.26.
Не перевіряються форматні специфікатори при виведенні повідомлення про помилку. Раніше в 2008 році я сам знаходив дірки в dotDefender, тому не здивований новій уразливості в цьому WAF.
Виявлені уразливості безпеки в Microsoft Internet Information Services.
Уразливі версії: Microsoft IIS 7.0 і 7.5 для Windows Vista, Windows 2008 Server, Windows 7.
Витік інформації через лог-файли, впровадження команд у STARTTLS-сеанс FTP.
Виявлені численні уразливості безпеки в Microsoft Internet Explorer.
Уразливі продукти: Microsoft Internet Explorer 9 під Windows Vista, Windows 2008 Server, Windows 7.
Кілька помилок використання пам’яті після звільнення.
У листопаді, 06.11.2012, через півтора місяці після виходу Google Chrome 22, вийшов Google Chrome 23.
В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 14 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 1 - незначні. З уразливостей, що мають статус небезпечних, дві проблеми викликані помилками драйверів для платформи Mac OS X, дві проблеми пов’язані зі звертанням до звільненого блоку пам’яті в обробнику SVG-фільтрів і в коді виведення відео, одна проблема пов’язана з виходом за припустимі границі пам’яті в коді обробки текстур і одна проблема виявлена в движку v8.
Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.
За повідомленням www.xakep.ru, Обама підписав секретну директиву по кіберзлочинності.
Президент Обама підписав секретну директиву, що дає повноваження армії більш ефективно й агресивно відповідати на кібератаки проти державних і приватних мереж США.
Директива №20 (Presidential Policy Directive 20) підписана президентом у середині жовтня, вона встановлює широкий і конкретний перелік атакуючих дій, які можна застосовувати проти іноземних кіберагресорів, при сприянні федеральним агентствам. Ця директива повинна покласти кінець багаторічним суперечкам серед державних відомств про те, які повноваження маються в кожного з них при проведенні операцій за кордоном США.
За повідомленням ipress.ua, СБУ порушила 2 кримінальні справи через хакерські атаки під час виборів.
Служба безпеки України порушила дві кримінальні справи за частиною 1 статті 361 КК (незаконне втручання в роботу комп’ютерів, систем та мереж) за фактами DDoS-атак на сайти у жовтні 2012 року.
За словами прес-секретаря СБУ, у Службу безпеки із заявами про такі атаки звернулися всього дві особи - голова уряду АР Крим Анатолій Могильов (з факту атаки на сторінку Кримської регіональної організації Партії регіонів) і керівник Центру журналістських розслідувань Валентина Самар (атака на сайт Центру). При цьому, за повідомленнями ЗМІ, напередодні виборів хакерських атак зазнали десятки інших інтернет-ресурсів по всій Україні.
За повідомленням www.xakep.ru, Google Docs зберігає “видалені” документи користувачів з 2007 року.
Тільки недавно стих скандал з Facebook, що при видаленні користувацьких фотографій просто позначав їх як “видалені” і продовжував зберігати на серверах. До деяких фотографій могли навіть одержати доступ сторонні особи, якщо знали URL. І от зараз виявилося, що схожий баг ніяк не усуне Google на своєму сервісі Google Docs.
Німецький програміст Ральф Шарнецки у далекому 2007 році привів докази, що документи: а) зберігаються на хостингу Google Docs після того, як користувач очистив кошик; б) частини документів доступні стороннім особам.
Ця проблема повністю не вирішена й досі (всі документи створені до 2009 року, потенційно ніколи не будуть видалені й будуть доступні необмежений час). Що яскраво демонструє справжнє відношення Гугла до безпеки і приватності.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.