The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.12.2017 Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, GraphicsMagick и Apache Synapse (24 +10)
  Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней:...
13.12.2017 Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов (59 +20)
  Раcкрыты детали новой атаки на TLS, которая получила кодовое имя ROBOT (Return Of Bleichenbacher's Oracle Threat). Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook...
12.12.2017 Уязвимость в Glibc ld.so, позволяющая поднять свои привилегии в системе (42 +17)
  Компания Qualys выявила две уязвимости в системной библиотеке GNU libc. Первая проблема (CVE-2017-1000408) проявляется начиная с glibc 2.1.1 и может привести к утечке содержимого памяти процессов через манипуляцию с переменной окружения LD_HWCAP_MASK. Вторая уязвимость (CVE-2017-1000409) затрагивает выпуски начиная с glibc 2.5 и может привести к повышению своих привилегий в системе...
12.12.2017 Выявлена крупнейшая коллекция учётных записей с открытыми паролями (133 +24)
  На одном из подпольных форумов выявлена крупнейшая коллекция учётных записей, включающая сведения о более 1.4 миллиарде логинов, email-адресов и паролей (41 Гб данных), что примерно в два раза больше, чем ранее известная крупнейшая коллекция Exploit.in (797 млн записей), в которой агрегированы данные, полученные в результате 252 взломов. Новая коллекция дополняет ранее известные базы сведениями от 133 дополнительных взломов и примечательна тем, что все пароли указаны в открытом виде (без хэширования и шифрования). Контрольная проверка выборочных учётных записей показала актуальность приведённых сведений...
10.12.2017 Неявные свойства языков программирования, которые могут привести к уязвимостям (52 +17)
  Исследователи из компании IOActive представили на конференции Black Hat Europe доклад, в котором подвели итоги работы по выявлению недокументированной функциональности в интерпретируемых языках программирования, которая может потенциально стать причиной появления уязвимостей в приложениях. Код разработанного в рамках исследования инструментария ZDiFF (Extended Differential Fuzzing Framework), который применялся для выявления потенциальных уязвимостей, опубликован под лицензией GPLv3...
05.12.2017 Уязвимость в реализации протокола DCCP в ядре Linux (49 +7)
  В реализации сокетов с поддержкой протокола DCCP выявлена уязвимость CVE-2017-8824, потенциально позволяющая выполнить код на уровне ядра Linux через локальные манипуляции с сокетами DCCP из непривилегированного процесса. Уязвимость проявляется начиная с выпуска ядра Linux 2.6.16. Для тестирования подготовлен прототип эксплоита...
04.12.2017 В ядре Linux выявлен новый вариант уязвимости Dirty COW (95 +20)
  В ядре Linux выявлена критическая уязвимость (CVE-2017-1000405), которая манипулирует недоработкой в прошлогодних патчах, устраняющих нашумевшую уязвимость Dirty COW (CVE-2016-5195), но, как оказалось, закрывающих не все векторы атаки. Проблема проявляется в ядрах с 2.6.38 по 4.14 и позволяет поднять свои привилегии в системе. Для проверки своих систем на наличие уязвимости доступен рабочий прототип эксплоита...
27.11.2017 Уязвимость в Exim, позволяющая выполнить код на сервере (60 +14)
  В почтовом сервере Exim выявлена критическая уязвимость (CVE-2017-16943), которая может привести к удалённому выполнению кода на сервере с правами управляющего процесса exim при передаче определённым образом оформленных команд по SMTP. Всем пользователям Exim в срочном порядке рекомендуется отключить расширение "ESMTP CHUNKING" (появилось в Exim 4.88) путем установки пустого значения в параметр "chunking_advertise_hosts" в файле конфигурации...
22.11.2017 Анализ средств отслеживания действий пользователей на сайтах (115 +32)
  Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и...
21.11.2017 Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей (10 +5)
  Опубликованы корректирующие выпуски Samba 4.7.3, 4.6.11 и 4.5.15, в которых устранены две уязвимости:...
21.11.2017 Серия критических уязвимостей в Intel Management Engine (168 +14)
  Компания Intel объявила об устранении серии уязвимостей в различных версиях прошивок для подсистемы Intel ME (Management Engine) и связанных с ней компонентах Intel Trusted Execution Engine и Server Platform Service. Всего раскрыты данные о 10 новых уязвимостях, которые были выявлены в процессе проведения аудита безопасности Intel ME. Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Core, в Intel Atom C3000, Atom E3900, Intel Pentium Apollo Lake и...
17.11.2017 GitHub добавил средства информирования об уязвимостях в репозиториях (6 +9)
  GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов...
17.11.2017 Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли (44 +20)
  Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет...
16.11.2017 Уязвимость в реализации jail из FreeBSD (6 +2)
  Во FreeBSD выявлена уязвимость (CVE-2017-1087), позволяющая обойти ограничения системы изолированных окружений jail и получить доступ к разделяемой памяти процессов вне текущего jail. Проблема вызвана отсутствием разделения контекста при работе с POSIX shared memory по именованным каналам, что позволяет читать и изменять объекты в shared-памяти, созданные на стороне хоста или в других изолированных окружениях. Проблема проявляется только в ветке FreeBSD 10.x и может применяться для атаки на приложения, завязанные на разделяемой памяти, такие как Squid...
15.11.2017 Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM (10 +4)
  Опубликованы сведения о двух уязвимостях, устранённых в недавно опубликованных выпусках документ-ориентированной СУБД Apache CouchDB 2.1.1 и 1.7.1. В своей комбинации уязвимости позволяют провести атаку по удалённому выполнению произвольных shell-команд на сервере с правами процесса CouchDB, имея доступ к БД...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor