The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

/ Безопасность
 - Виртуальные серверы и изолированные окружения
 - Квоты, ограничения
 - Firewall
 - Шифрование, SSH, SSL
 - Приватность
 - Вирусы, вредоносное ПО и спам
04.06.2020 Опасные уязвимости в QEMU, Node.js, Grafana и Android (28 +8)
  Несколько недавно выявленных уязвимостей:...
03.06.2020 Релиз дистрибутива Tails 4.7 (12 +4)
  Сформирован релиз специализированного дистрибутива Tails 4.7 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 Гб...
01.06.2020 Выпуск криптографической библиотеки LibreSSL 3.2.0 (21 +13)
  Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.2.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.8...
01.06.2020 Возможная утечка базы пользователей проекта Joomla (38 +6)
  Разработчики свободной системы управления контентом Joomla предупредили о выявлении факта размещения в стороннем хранилище полных резервных копий сайта resources.joomla.org, включающих базу данных пользователей каталога JRD (Joomla Resources Directory)...
31.05.2020 Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS (125 +33)
  30 мая истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo). Перекрёстная подпись позволяла обеспечить совместимость с устаревшими устройствами, в хранилище корневых сертификатов которых не был добавлен новый корневой сертификат USERTRust...
30.05.2020 Взлом серверов компании Cisco, обслуживающих инфраструктуру VIRL-PE (99 +13)
  Компания Cisco раскрыла сведения о взломе 6 серверов, обеспечивающих работу системы моделирования сетей VIRL-PE (Virtual Internet Routing Lab Personal Edition), позволяющей проектировать и тестировать сетевые топологии на базе коммуникационных решений Cisco без реального оборудования. Взлом был выявлен 7 мая. Контроль над серверами получен через эксплуатацию критической уязвимости в системе централизованного управления конфигурацией SaltStack, которая ранее была использована для взлома инфраструктур LineageOS, Vates (Xen Orchestra), Algolia, Ghost и DigiCert. Уязвимость также проявлялась в сторонних установках продуктов Cisco CML (Cisco Modeling Labs Corporate Edition) и Cisco VIRL-PE 1.5 и 1.6, в случае включения пользователем salt-master...
30.05.2020 Выпуск BlackArch 2020.06.01, дистрибутива для тестирования безопасности (14 +3)
  Опубликованы новые сборки BlackArch Linux, специализированного дистрибутива для исследований в области безопасности и изучения защищённости систем. Дистрибутив построен на пакетной базе Arch Linux и включает 2550 связанных с безопасностью утилит. Поддерживаемый проектом репозиторий пакетов совместим с Arch Linux и может использоваться в обычных установках Arch Linux. Сборки подготовлены в виде Live-образа размером 14 ГБ (x86_64) и сокращённого образа для установки по сети (500 МБ)...
29.05.2020 Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты (34 +15)
  GitHub выявил вредоносное ПО, поражающее проекты в интегрированной среде разработки NetBeans и использующее процесс сборки для своего распространения. Расследование показало, что при помощи рассматриваемого вредоносного ПО, которому присвоено имя Octopus Scanner, были скрыто интегрированы бэкдоры в 26 открытых проектов, имеющих репозитории на GitHub. Первые следы проявления Octopus Scanner датированы августом 2018 года...
28.05.2020 В Chrome 84 по умолчанию включат защиту от назойливых уведомлений (35 +10)
  Компания Google сообщила о решении включить в выпуске Chrome 84, намеченном на 14 июля, систему защиты от назойливых уведомлений, например, спама запросами на получение push-уведомлений. Так как подобные запросы прерывают работу пользователя и отвлекают внимание на действия в диалогах подтверждения, вместо отдельного диалога в адресной строке будет отображаться не требующая действий от пользователя информационная подсказка с предупреждением о блокировке запроса полномочий, которая автоматически сворачивается в индикатор с изображением зачёркнутого колокола. При клике на индикатор можно активировать или отклонить запрошенное полномочие в любой удобный момент...
27.05.2020 Релиз OpenSSH 8.3 с устранением уязвимости в scp (20 +22)
  После трёх месяцев разработки представлен релиз OpenSSH 8.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...
27.05.2020 25 уязвимостей в RTOS Zephyr, в том числе эксплуатируемые через ICMP-пакет (131 +13)
  Исследователи из компании NCC Group опубликовали результаты аудита свободного проекта Zephyr, развивающего операционную систему реального времени (RTOS), нацеленную на оснащение устройств, соответствующих концепции "Интернет вещей" (IoT, Internet of Things). В ходе аудита было выявлено 25 уязвимостей в Zephyr и 1 уязвимость в MCUboot. Разработка Zephyr ведётся при участии компаний Intel...
26.05.2020 RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range (25 +13)
  Группа исследователей из Пекинского университета, Университета Цинхуа и Техасского университета в Далласе выявила новый класс DoS-атак - RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для перегрузки входящим трафиком CDN или снижения пропускной способности конечного канала связи до сайта жертвы...
26.05.2020 Новые выпуски анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32 (119 +30)
  Состоялся релиз анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD...
24.05.2020 70% проблем с безопасностью в Chromium вызваны ошибками при работе с памятью (430 +23)
  Разработчики проекта Chromium проанализировали 912 опасных и критических уязвимостей, выявленных в стабильных выпусках Chrome с 2015 года, и пришли к выводу, что 70% из них были вызваны небезопасной работой с памятью (ошибками при работе с указателями в коде на C/C++). Половина из данных проблем (36.1%) вызвана обращениями к буферу после освобождения связанной с ним памяти (use-after-free)...
23.05.2020 Checkpoint предложил технику защиты Safe-Linking, усложняющую эксплуатацию уязвимостей (96 +18)
  Компания Checkpoint представила механизм защиты Safe-Linking, позволяющий усложнить создание эксплоитов, манипулирующих определением или изменением указателей на буферы, выделенные при выполнении вызова malloc. Safe-Linking полностью не блокирует возможность эксплуатации уязвимостей, но при минимальных накладных расходах существенно усложняет создание некоторых категорий эксплоитов, так как помимо эксплуатируемого переполнения буфера необходимо найти ещё одну уязвимость, вызывающую утечку сведений о размещении кучи (heap) в памяти...
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру