The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.10.2017 Пятая уязвимость в реализации сокетов AF_PACKET ядра Linux (127 +8)
  Продолжают всплывать уязвимости в обработчике RAW-сокетов AF_PACKET из состава ядра Linux. Проблема вызвана обращением к уже освобождённому блоку памяти и может привести к повышению привилегий в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость устранена в обновлении ядра 4.14-rc2. Это пятая уязвимость в подсистеме AF_PACKET за последний год (1, 2, 3, 4)...
17.10.2017 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (10 +5)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости...
16.10.2017 Локальная уязвимость в звуковой подсистеме ALSA, позволяющая выполнить код с правами ядра (53 +24)
  В работающем на уровне ядра Linux коде звуковой системы ALSA выявлена уязвимость (CVE-2017-15265), позволяющая непривилегированному пользователю выполнить код с правами ядра...
16.10.2017 Уязвимость в библиотеке Infineon, упрощающая факторизацию закрытого RSA-ключа (30 +16)
  В библиотеке Infineon, которой оснащаются смарткарты и TPM-модули на базе чипов компании Infineon Technologies AG, выявлена уязвимость, существенно снижающая стойкость к факторизации параметров генерации ключа по имеющемуся открытому ключу. Атака получила название "ROCA" и касается RSA-ключей, сгенерированных с использованием смарткарт и вшитых в некоторые материнские платы чипов-криптоакселераторов...
16.10.2017 Атака против WPA2, позволяющая перехватить трафик в WiFi-сети (125 +34)
  Раскрыты детали новой техники атаки KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа. Новая техника атаки сводит на нет уровень защиты WPA2, делая работу через WPA2 не более защищённой чем, работа в публичной WiFi-сети. Всем пользователям рекомендуется обязательно использовать дополнительные уровни защиты при работе с конфиденциальными данными при соединении через WPA2, такие как VPN или обращение к ресурсам только по HTTPS...
13.10.2017 Обновление X.Org Server 1.19.5 с исправлением уязвимостей (52 +17)
  Представлен корректирующий выпуск X.Org Server 1.19.5, в котором устранены пять уязвимостей: отсутствие проверки на границы буфера в xfixes, Xi ProcXIChangeHierarchy и ProcEstablishConnection (CVE-2017-12183, CVE-2017-12178, CVE-2017-12176), целочисленные переполнения в Xi ProcXIBarrierReleasePointer и dbe ProcDbeGetVisualInfo (CVE-2017-12177).
11.10.2017 В RubyGems выявлена удалённо эксплуатируемая уязвимость (16 +7)
  В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлена критическая уязвимость (CVE-2017-0903), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена в выпуске RubyGems 2.6.14...
09.10.2017 Эксперимент по использованию жесткого диска в качестве микрофона (110 +34)
  На конференции Ekoparty продемонстрирован метод атаки по сторонним каналам, позволяющей записать звук, используя вместо микрофона информацию об отклонениях параметров работы жесткого диска, вызванных звуковыми колебаниями. Метод также применим для определения движения. Необходимые для повторения эксперимента исходные тексты опубликованы на GitHub...
05.10.2017 Выпуск X.Org Server 1.19.4 с исправлением уязвимостей (63 +21)
  Представлен корректирующий выпуск X.Org Server 1.19.4, в котором улучшена работа xwayland, исправлены накопившиеся ошибки и устранены две уязвимости, выявленные разработчиками SUSE:...
05.10.2017 Обновление языка Go 1.8.4 и 1.9.1 с устранением проблем с безопасностью (6 +8)
  Опубликованы корректирующие выпуски языка программирования Go 1.8.4 и 1.9.1, в которых устранены две проблемы с безопасностью:...
04.10.2017 Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo (13 +9)
  Компания Verizon, которая теперь владеет Yahoo, раскрыла информацию о взломе 2013 года. По новым данным взлом затронул всех пользователей Yahoo и привёл к утечке более 3 миллиардов учётных записей, включающих ФИО, email, номер телефона, дату рождения, MD5-хэш пароля, а также зашифрованные или незашифрованные вопросы и ответы для восстановления доступа. Напомним, изначально сообщалось, что утечка коснулась миллиарда пользователей. Новые данные были получены в результате оценки последствий взлома, проведённой в процессе интеграции Yahoo в инфраструктуру Verizon...
02.10.2017 Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего (57 +18)
  Компания Google опубликовала результаты аудита кодовой базы пакета Dnsmasq, объединяющего кэширующий DNS-резолвер и сервер DHCP. В итоге было выявлено 7 уязвимостей, из которых 3 могут привести к выполнению кода атакующего при обработке специально оформленных запросов DNS и DHCP. Для всех уязвимостей подготовлены работающие прототипы эксплоитов. Разработчикам Dnsmasq переданы патчи для устранения уязвимостей, а также реализация уровня sandbox-изоляции на базе seccomp-bpf, которая позволит создать дополнительный бастион защиты...
28.09.2017 Обновление OpenVPN 2.4.4 с устранением уязвимости (30 +8)
  Сформированы корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.18 и 2.4.4, в которых устранена уязвимость (CVE-2017-12166), которая может привести к удалённому переполнению буфера и выполнению кода злоумышленника. Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший (использовался в OpenVPN 1.x, отключен по умолчанию начиная с 2005 года и запланирован к удалению в ветке OpenVPN 2.5)...
27.09.2017 Локальная уязвимость в ядре Linux, позволяющая получить root-доступ (106 +17)
  В ядре Linux найдена уязвимость (CVE-2017-1000253) в реализации метода загрузки исполняемых файлов ELF, которая позволяет добиться получения root-полномочий в системе. Проблема выявлена компанией Qualys и продолжает развитие метода Stack Сlash, основанного на пересечении содержимого стека и кучи...
21.09.2017 Четвёртая уязвимость в реализации сокетов AF_PACKET ядра Linux (14 +20)
  В обработчике RAW-сокетов AF_PACKET из состава ядра Linux...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor