BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2009/04-12-09.html

Гугль запустил публичный DNS resolver; Удаленное замораживание Window 7 и Server 2008 R2; Новый язык программирования от Google; Серьезная уязвимость в SSL/TLS: и еще один привет 90-м; Ubuntu 9.10 - растущее разочарование.

#282, 04.12.2009

Гугль запустил публичный DNS resolver
dl // 03.12.09 22:45
Обещаются скорость, безопасность и твердое следование стандартам. Желающим приобщиться и перестать зависеть от своего провайдера и его политики достаточно прописать в своих сетевых настройках адреса DNS-серверов 8.8.8.8 и 8.8.4.4.

Помнится, не далее как в январе этого года Гугль мимоходом эффективно заблокировал весь веб пользователям FireFox. С DNS такое было бы еще проще - one ring, one ring.
Источник: Google Public DNS


Удаленное замораживание Window 7 и Server 2008 R2
dl // 12.11.09 16:55
Laurent Gaffie, обнародовавший в сентябре информацию об уязвимости в SMBv2, все-таки дожал и финальные версии семерки и сервера. Уязвимость по прежнему связана с SMB, причем может быть активизирована даже из IE. Система просто блокируется без каких-либо видимых симптомов типа BSoD.

Microsoft приступила к исследованию проблемы.
Источник: The Register, Laurent Gaffié blog


Новый язык программирования от Google
dl // 11.11.09 11:59
Google вошла в клуб компаний, создавших свой язык программирования. Новый язык Go родился как один из 20-процентных проектов (легендарные 20% рабочего времени, что гуглевские инженеры могут использовать на свои проекты) и был создан примерно за два года.

Честно говоря, чтение спецификации не слишком впечатляет. В синтаксисе, естественно, много приветов С с Явой, немного Паскаля, немного Питона. Заявлены быстрый компилятор, простота языка, поддержка многозадачности, сборка мусора, компиляция в нормальный бинарный код и т.п. С одной стороны, нет адресной арифметики, с другой, нет наследования (есть интерфейсы), шаблонов, исключений (в гугле вообще не любят исключения, насколько я помню).

Могу уверенно сказать, что, не родись Go в недрах Google, вряд ли бы его вообще кто-нибудь заметил. Очередная вариация на тему "мы тоже хотим сделать облагороженный C" - практически, высшая ступень любимого всеми программистами занятия по выпиливанию собственных библиотек и инструментов.
Источник: The Go Programming Language


Серьезная уязвимость в SSL/TLS: и еще один привет 90-м
dl // 07.11.09 00:37
Еще одна серьезная уязвимость в одном из ключевых интернет-протоколов добралась до нас из прошлого века. Исследователи из PhoneFactor обнаружили уязвимость в протоколе TLS, позволяющую вклиниться в устанавливаемое защищенное соединение. Проблема восходит к середине 90-х, когда была опубликована спецификация TLS, и носит принципиальный характер, не зависящий от реализации.

Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.
Источник: The Register


Ubuntu 9.10 - растущее разочарование
dl // 06.11.09 11:45
Многие пользователи, поторопившиеся установить свежевышедшую версию популярного дистрибутива, испытали массу удовольствия - особенно при попытке апгрейда установленной системы. Основные косяки связаны с видеодрайверами (моргающие либо черные экраны), нераспознаванием жестких дисков, зашифрованными разделами.

Проблемы, впрочем, не носят универсальный характер - на ряде конфигураций система встает гладко, либо с минимальными ошибками. Согласно опросу на ubuntu forums, доли пользователей, установивших/обновивших систему нормально, с минимальными проблемами и проблемами, которые они не смогли решить, примерно равны. Однако с учетом того, что первыми на новую систему обычно бросаются энтузиасты, имеющие в среднем более высокую квалификацию, картина вырисовывается безрадостная.
Источник: The Register




обсудить  |  все отзывы (0)
[35949]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach