Виявлена уразливість форматного рядка в MySQL COM_CREATE_DB.
Уразливі версії: MySQL 5.0.
Уразливість форматного рядка в імені створюваної бази.
США знаходяться в стані кібервійни, постійно піддаючись кібератакам, заявив глава Об’єднаного комітету начальників штабів (ОКНШ) збройних сил США адмірал Майк Маллен. “Це серйозна загроза, вона існує постійно, але останнім часом стає першочерговою проблемою для всіх”, - сказав адмірал, виступаючи на брифінгу в прес-центрі для іноземних журналістів.
Маллен нагадав, що, за вказівкою президента США, при Пентагоні створена спеціальна група по боротьбі з кібератаками, і її співробітники не залишаються без роботи. “Ми постійно знаходимося в стані кібервійни, відбиваючи кібератаки, постійно боремося”, - відзначив Маллен, відзначивши, що в сучасному світі арени воєн поступово переміщаються в кіберпростір.
За його словами, з такою небезпекою зіштовхуються всі країни світу. Глава ОКНШ нагадав про недавню кібератаку на інтернет-портали одинадцяти південнокорейських організацій, у тому числі сайти президентської адміністрації, міністерства оборони, парламенту, декількох банків.
Президент США Барак Обама в травні повідомив про створення спеціальної державної служби по боротьбі з кіберзлочинами. Пізніше всі силові відомства рапортували про формування аналогічних внутрішніх підрозділів.
По матеріалам http://www.xakep.ru.
Виявлені DoS уразливості в Apache.
Уразливі версії: Apache 2.2, Apache 2.3.
Обсяг даних, що перевищує Content-Length приводить до вичерпання ресурсів процесора. Також mod_deflate не перериває операцію стиску файлу після відключення клієнта, що приводить до потенційного вичерпання ресурсів.
Даміано Болзоні з Університету Твенте розробив систему, що прокладає шлях до мережевої безпеки нового покоління. За свою працю вчений одержав докторський ступінь, що був присвоєний йому 25 червня.
Системи визначення мережевих вторгнень (NIDS) схожі на антивірусні сканери, тільки призначені вони для всієї мережі, а не окремих комп’ютерів. Існує два види таких систем - сигнатурні (засновані на шаблонах уже відомих атак) і системи аналізу аномалій. Останній тип визначає наявність відхилень від нормального поводження мережі і сигналізує про це адміністратору. На практиці, однак, подібні системи використовуються недостатньо широко, оскільки дійсно гарні зразки за гроші недоступні.
Болзоні спробував змінити сформовану ситуацію, розробивши нову NIDS на основі аналізу аномалій, що він назвав SilentDefense. Вона базується на алгоритмах самонавчання, що робить її набагато точнішою існуючих аналогів. Так, шанс помилкового спрацьовування - у тисячу разів менший, ніж у нині діючих систем.
У даний момент SilentDefense проходить стадію подальшої розробки в стінах заснованої Болзоні та його колегами компанії SecurityMatters. Вони очікують, що зможуть почати продажу нової NIDS вже в середині 2010 року.
По матеріалам http://www.xakep.ru.
Виявлені DoS уразливості в ModSecurity.
Уразливі версії: ModSecurity 2.5.8 та попередні версії.
Декілька умов відмови в обслуговуванні.
Оператор мобільного зв’язку T-Mobile підтвердив інформацію, що невідомі злочинці викрали з корпоративних серверів абонентські листи розсилки. У компанії не уточнили, чи змогли зловмисники одержати до серверів повний доступ чи взлом торкнувся тільки доступу до листів.
Як повідомляється, днями група хакерів виклала у відкритий доступ конфігураційні файли серверів оператора. Після цього в декількох блогах з’явилися чутки про взлом найважливіших серверів T-Mobile. “У нас у наявності є конфіденційні документи, бази даних, скрипти програм із серверів, копії фінансової документації за весь цей рік”, - сказано в одному з блогів.
Через кілька днів представники T-Mobile повідомили, що по факту цих чуток почате розслідування, одночасно заявивши, що в компанії немає яких-небудь даних про взлом серверів. І от зараз оператор визнав, що взлом був і хакери викрали важливу інформацію.
“Захист персональної інформації наших клієнтів, а також забезпечення безпеки нашої мережі є для компанії вищим пріоритетом. З приводу недавнього взлому, ми можемо сказати, що хакери проникнули на сервер через веб-ресурс і встигли скопіювати частину даних, що стосувалися листів розсилки. Але завіряємо, що самі по собі ці дані не зможуть заподіяти яку-небудь шкоду клієнтам T-Mobile. Фахівці компанії продовжують розслідування і вишукують способи запобігти подібним взломам у майбутньому”, - сказано в заяві оператора.
Сторонні аналітики розходяться в оцінках наслідку даного взлому. Одні вважають, що хакери або нічого не скопіювали, або змогли щось скопіювати, але даних виявилося недостатньо. Інші аналітики вважають, що зловмисники поки вирішили притримати викрадену інформацію.
По матеріалам http://itua.info.
Виявлене пошкодження пам’яті в Adobe Shockwave Player.
Уразливі версії: Adobe Shockwave Player 11.5.
Пошкодження пам’яті при відкритті файлів Adobe Director 10.
Голосний випадок, що відбувся на Yahoo, змусив деяких замислитися про небезпеку розкриття інформації сервісом мікроблогів Twitter. Адреса електронної пошти, що спливла, належала відомому британському телеведучому Джонатану Россу, порушила питання про те, наскільки складною може бути процедура видалення постів на Twitter.
Початок інциденту було покладено в перші дні тижня, коли Росс відправив особисте повідомлення іншому користувачу Twitter, у якому він вказав адресу своєї персональної електронної пошти. Однак замість того, щоб піти до цього користувача напряму, лист з’явився в загальнодоступному розділі, що скомпрометувало адресу пошти на домені BBC перед 250000 читачами блога Росса. І хоча помилкове повідомлення було незабаром вилучене, його копія виявилася доступною через пошукову систему Yahoo.
Та обставина, що подібні відомості можуть бути виявлені, піддає ризику розголошення як особисту, так і професійну інформацію, оскільки усе більше людей користуються сервісом Twitter і вдома і на робочому місці.
Незважаючи на те, що сайт дозволяє користувачам через запит до адміністрації видаляти небажані повідомлення, Грехам Клулі з Sophos стверджує, що цей процес може бути досить складним і все рівно залишить користувача уразливим на деякий час.
По матеріалам http://www.xakep.ru.
P.S.
В даному випадку мало місце використання кеша пошукових систем (в даному випадку Yahoo, але так само можна використовувати Google та інші пошуковці), щоб отримати доступ до даних, які стали доступними через вітік інформації, які вже прибрали з сайту (в даному випадку з Twitter). Я вже давно запланував написати про подібні речі статтю.
В своїй практиці я давно використовую кеші пошуковців для знаходження Information Leakage уразливостей на сайтах (коли на сайті їх вже прибрали) і вже неодноразово повідомляв власників сайтів про подібні уразливості (про які вони думали, що їх виправили і ніхто цього не побачив). А також використовую кеш Гугла для пошуку свіже похаканих сайтів (в тому числі й тих, що вже були виправлені адмінами).
Виявлена DoS уразливість в модулі Python PyCrypto.
Уразливі версії: Python PyCrypto 2.0.
Відмова при обробці ключа ARC2.
Виявлена DoS уразливість в Ruby.
Уразливі версії: Ruby 1.8.
Відмова на довгому рядку в BigDecimal.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.