Очередная уязвимость Java открывает дверь атакам десятилетней давности; HighLoad++ 2013; Квартальный патч от Oracle; HP признала существование бэкдоров в двух линейках своих продуктов; Очередной проблемный патч Microsoft.

#344, 20.07.2013

Очередная уязвимость Java открывает дверь атакам десятилетней давности
dl // 20.07.13 00:20
Польский исследователь Адам Говдяк (Thursday) в четверг известил Oracle об очередной уязвимости, обнаруженной в Java 7 Reflection API, которая вполне работоспособна как в Java SE 7 Update 25, так и в более ранних версиях. Уязвимость позволяет выполнить произвольный код в результате обмана контроля типов, одного из базовых компонентов системы безопасности Java. Подобные атаки, использующие некорректное приведение типов для обхода ограничений песочницы, были характерны для конца 90-х (собственно, даже не 10, а все 15 лет назад).
Источник: InfoWorld

HighLoad++ 2013
dl // 19.07.13 14:58
28 и 29 октября в Москве в конференц-центре отеля Рэдиссон САС Славянская состоится седьмая ежегодная профессиональная конференция разработчиков высоконагруженных систем HighLoad++. Цель конференции - профессиональный рост каждого из ее участников, приобретение практических знаний в различных сферах проектирования, разработки, тестирования, администрирования и поддержки высоконагруженных и сложных систем, а также установление новых полезных связей и контактов.

В течение нескольких последних лет на конференции подробно изучали все, что можно назвать стандартом в разработке сложных веб-проектов. Такие слова как трехзвенная архитектура, горизонтальное масштабирование, репликация, шардинг, nginx и memcached знакомы уже многим веб-разработчикам.

В этом году HighLoad++ становится серьёзным комплексом мероприятий для всех целевых аудиторий. Предваряет конференцию учебный день для новичков. Это будет однодневная лекция 27 октября, на которой будет представлен алгоритм проектирования архитектуры высоконагруженной системы. Участники смогут структурировать свои представления о инструментах, которые используются в highload-индустрии и попрактиковаться, спроектировав небольшой Фейсбук.

28 и 29 октября состоится привычная конференция разработчиков высоконагруженных систем. Два дня, полторы тысячи участников, два или три параллельных потока. Обсуждение новых архитектур, концепций и подходов в построении крупных проектов, основные темы - архитектуры, базы данных и системы хранения, менеджмент, системное администрирование, тестирование и смежные области.

Наконец, 30 октября пройдет VIP-день конференции HighLoad++ - это место встречи практиков, серия мастер-классов, на которых признанные специалисты поделятся деталями использования тех или иных инструментов. VIP-день предназначен для тех, кто уже работает в сфере высоких нагрузок, но сталкивается с сложными задачами или проблемами.

Для учебного дня и двух дней основной конференции запланирована онлайн-трансляция.
Источник: HighLoad++ 2013

Квартальный патч от Oracle
dl // 17.07.13 19:14
Oracle выпустила очередной квартальный патч, содержащий 89 обновлений. 18 из исправленных уязвимостей относится к MySQL, включая две, используемых удаленно. 16 относится к Sun Solaris, половина из которых может быть использована удаленно. У Oracle Database соответствующий счет 8:1; наконец, у Fusion Middleware 21:16 (быстрая проверка обнаружила полмиллиона доступных хостов с Oracle HTTP server, использующих Fusion Middleware).

Итого за прошедшую половину 2013 года Oracle уже исправила 343 уязвимости в своих продуктах.
Источник: The Register

HP признала существование бэкдоров в двух линейках своих продуктов
dl // 13.07.13 17:19
HP признала существование недокументированных бэкдоров в StoreOnce D2D Backup и StoreVirtual Storage, обеспечивающих администраторский доступ к управляющей системе.

В случае StoreOnce достаточно залогиниться по SSH пользователем HPSupport и паролем с SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 (искомый пароль даже не надо подбирать, все уже гуглится на ура). Уязвимость существует по крайней мере с 2009 года, затронуты версии вплоть до 2.2.17 и 1.2.17. Исправленные версии 2.2.18 и 1.2.18 уже вышли, в версиях 3.х такого пользователя не было изначально.

В линейке StoreVirtual затронуты устройства с LeftHand OS версий вплоть до 10.5. По словам HP, тут для обеспечения поддержки пользователей используется механизм одноразовых паролей, но все-таки к 17 июля обещано исправление, позволяющее эту поддержку отключить. Кроме того, HP уверяет, что этот механизм не позволяет получить доступ к пользовательским данным, хотя его вполне достаточно для перезагрузки узлов кластера и эффективного удаления всех данных путем сброса установок на стандартные.
Источник: InfoWorld

Очередной проблемный патч Microsoft
dl // 13.07.13 12:14
На этот раз не все сложилось с патчем MS 13-057/KB 2803821, закрывающем приводящую к удаленному исполнению кода уязвимость в кодеке Microsoft WMV video, который входит в Windows Media Format Runtime 9/9.5/11 и Windows Media Player 11/12.

После его применения у некоторых пользователей начались проблемы с видеоредакторами - в Adobe Premiere Pro CS6, Camtasia Studio и некоторых других откусывается верхняя часть видео. Аналогичные проблемы наблюдаются по крайней мере в одной игре - Rome: Total War and Barbarian Invasion.
Источник: InfoWorld