Старая уязвимость позволяет подобрать пароли Oracle; Софос-суицидник; Исправление критичной уязвимости в IE; Microsoft перестанет работать с короткими RSA-ключами с октября; Oracle обновила Java 7.

#328, 21.09.2012

Старая уязвимость позволяет подобрать пароли Oracle
dl // 21.09.12 04:56
Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2, отправляет пользователю сессионный ключ до завершения полной аутентификации. В результате атакующий может передать имя, получить сессионный ключ, отключиться и спокойно приступить к подбору пароля (в качестве демонстрации восьмисимвольный пароль был подобран на обычном процессоре за пять часов).

Уязвимость стала известна Oracle в мае 2010, всего-то через год с небольшим она была исправлена, но Oracle предпочла включить исправление в новую версию протокола аутентификации под номером 12, переход на которую требует обновления как серверов, так и клиентов. Версия же 11.1 осталась неисправленной, причем Oracle не предпринимает особых усилий по активизации перехода пользователей на новый протокол.
Источник: The Register

Софос-суицидник
dl // 20.09.12 22:43
Антивирус Sophos повторил прошлогоднее достижение Avira, обнаружив в своих собственных исполняемых файлах подозрительную деятельность и обозвав их Shh/Updater-B. В некоторых случаях это мешало обновить программу на уже исправленную, поскольку критичные для обновления компоненты уже были благополучно перенесены в карантин.
Источник: Sophos

Исправление критичной уязвимости в IE
dl // 20.09.12 12:11
MS выпускает исправление обнародованной в минувшие выходные критичной уязвимости в IE, которая уже активно используется для раздачи трояна Poison Ivy. Пока исправление доступно в виде заплатки "Fix It", окончательный вариант войдет во внеочередное кумулятивное обновление, запланированное на пятницу.
Источник: Microsoft Security Responce Center

Microsoft перестанет работать с короткими RSA-ключами с октября
dl // 08.09.12 14:08
Со следующего месяца обновленные продукты Microsoft перестанут воспринимать сертификаты, содержащие RSA-ключи длиной менее 1024 бит. IE перестанет открывать сайты с такими сертификатами, Outlook перестанет подписывать ими письма и не сможет соединяться с Exchange-серверами и т.п.
Источник: InfoWorld

Oracle обновила Java 7
dl // 31.08.12 01:23
Шум, поднятый вокруг уязвимости в Java 7, не прошел даром - Oracle прекратила сидеть на патчах в ожидании октября и выпустила обновление Java SE 7u7, которое и рекомендуется установить всем оставившим у себя этот привет из девяностых.

Обновление закрывает три уязвимости, способные привести к удаленному исполнению кода. При этом некоторые уязвимости, о которых Oracle сообщили в апреле, остались неисправленными.
Источник: Oracle, The Register