The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.07.2017 В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи (12 +19)
  Разработчики пакета GnuPG выпустили обновление библиотеки Libgcrypt 1.7.8, предлагающей набор компонентов, лежащих в основе механизмов шифрования, применяемых в GnuPG. В новой версии устранена опасная уязвимость (CVE-2017-7526), выявленная группой исследователей под руководством Дэниэла Бернштейна (Daniel J. Bernstein), известного эксперта в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, Ed25519, Curve25519 и ChaCha20-Poly1305...
30.06.2017 Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей (15)
  Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2, в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 и CVE-2017-3143 связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG...
30.06.2017 Выпуск Tor 0.3.0.9 с устранением уязвимости (13 +9)
  Представлен корректирующий выпуск инструментария Tor 0.3.0.9, используемого для организации работы анонимной сети Tor. Помимо исправления накопившихся ошибок в новой версии устранена специфичная для ветки 0.3.x уязвимость (CVE-2017-0377), связанная с алгоритмом выбора сторожевых узлов (guard). Уязвимость допускает использование клиентом сторожевого узла в той же подсети, в которой выбран выходной шлюз (т.е. цепочка входа и выхода из Tor производится из одной подсети)...
29.06.2017 Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак (26 +10)
  Компания Cloudflare предупредила об увеличении интенсивности применения протокола SSDP (Simple Service Discovery Protocol), используемого в системах с поддержкой UPnP, в качестве усилителя трафика при проведении DDoS-атак. Cloudflare обращает внимание на практику оставления доступа к 1900 UDP-порту, который позволяет при обработке некоторых запросов, формировать ответы, по размеру многократно превышающие запрос, чем пользуются организаторы DDoS-атак...
29.06.2017 Уязвимость в Node.js, которая может привести к отказу в обслуживании (4 +5)
  Разработчики серверной JavaScript-платформы Node.js предупредили о намерении выпустить 11-12 июля корректирующие выпуски для веток 4.x, 6.x, 7.x и 8.x, в которых будет устранена уязвимость, позволяющая удалённо вызвать отказ в обслуживании. Уязвимости присвоен высокий уровень опасности. Пользователям рекомендовано заранее запланировать обновление и установить корректирующие выпуски сразу после их появления. Детали об уязвимости не приводятся.
28.06.2017 Уязвимость в systemd-resolved (74 +22)
  В systemd-resolved, поставляемом в составе systemd кэширующем DNS-резолвере, выявлена уязвимость (CVE-2017-9445), которая потенциально может привести к выполнению кода при обработке специально оформленного ответа от DNS-сервера, подконтрольного злоумышленнику. Проблема вызвана ошибкой в расчёте размера памяти для обработки запроса, которая может привести к тому, что TCP-ответ не уместится в выделенный буфер...
27.06.2017 Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа (98 +27)
  Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM...
23.06.2017 Уязвимость во Flatpak, позволяющая повысить привилегии в системе (22 +4)
  В системе Flatpak, предоставляющей средства для создания самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном изолированном контейнере, выявлена опасная уязвимость (CVE-2017-9780), позволяющая повысить свои привилегии в системе. Проблема устранена в выпуске Flatpak 0.8.7 и 0.9.6, а также в пакетах для Debian. Уязвимость пока остаётся неисправленной в репозиториях Fedora и Ubuntu...
22.06.2017 Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости (2 +1)
  В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 устранены три уязвимости. Одной из проблем (CVE-2017-6920) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера...
22.06.2017 Серия критических уязвимостей в гипервизоре Xen (17 +5)
  В гипервизоре Xen выявлено 10 уязвимостей, из которых пять (XSA-224, XSA-222, XSA-219, XSA-218, XSA-217) потенциально позволяют выйти за пределы текущего гостевого окружения, две (XSA-225, XSA-223) дают возможность инициировать крах гипервизора из гостевой системы, а три уязвимости (XSA-221, XSA-220, XSA-216) могут привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы...
21.06.2017 Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере (22 +12)
  Гвидо Вренкен (Guido Vranken), известный разработкой нескольких атак против различных реализаций SSL/TLS, опубликовал результаты fuzzing-тестирования кодовой базы пакета для создания виртуальных частных сетей OpenVPN, в результате которого им было выявлено 4 опасные уязвимости и две неопасные. Одна из уязвимостей потенциально может привести к выполнению кода на сервере...
20.06.2017 Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком (78 +14)
  Компания Trend Micro...
20.06.2017 15% пользователей потребительских интернет-устройств не меняют пароль по умолчанию (48 +7)
  Исследование защищённости доступных в online потребительских интернет-устройств, проведённое компанией Positive Technologies на основе сканирования сети, показало, что 15% пользователей не меняют заданные производителем пароли удалённого доступа к устройствам, таким как беспроводные маршрутизаторы, TV-приставки, устройства IP-телефонии, принтеры и web-камеры. Кроме того, для входа на 10% устройств применялось пять популярных типовых паролей: support/support, admin/admin, admin/0000, user/user и root/12345, что во многом объясняет успешное продвижение сетевых червей, использующих для распространения только подборку самых популярных учётных записей...
19.06.2017 Раскрыты детали атаки Stack Сlash и 15 root-эксплоитов для разных ОС (64 +30)
  Компания Qualys раскрыла результаты исследования, в рамках которого была изучена возможность эксплуатации уязвимостей, приводящих к пересечению содержимого стека и кучи. Когда стек и куча размещаются смежно и прилегают друг к другу (область стека следует сразу за памятью, выделенную под кучу), то в условиях того, что куча растёт в сторону увеличения, а стек в сторону уменьшения не исключено возникновение ситуаций, когда содержимое переполненной кучи может оказаться в области стека или, наоборот, стек может переписать область кучи...
16.06.2017 Сведения об инструментарии ЦРУ для захвата управления SOHO-маршрутизаторами (61 +20)
  Ресурс WikiLeaks продолжил публикацию документов, полученных из закрытой сети ЦРУ. На этот раз в открытом доступе появилась 175-страничная инструкция по использованию инструментария CherryBlossom, предназначенного для получения контроля над SOHO-маршрутизаторами и беспроводными точками доступа. В списке устройств, на которые может быть осуществлена атака присутствует более 200 моделей, включая маршрутизаторы и беспроводные точки доступа D-Link,...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList