BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2012/21-09-12.html

Старая уязвимость позволяет подобрать пароли Oracle; Софос-суицидник; Исправление критичной уязвимости в IE; Microsoft перестанет работать с короткими RSA-ключами с октября; Oracle обновила Java 7.

#328, 21.09.2012

Старая уязвимость позволяет подобрать пароли Oracle
dl // 21.09.12 04:56
Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2, отправляет пользователю сессионный ключ до завершения полной аутентификации. В результате атакующий может передать имя, получить сессионный ключ, отключиться и спокойно приступить к подбору пароля (в качестве демонстрации восьмисимвольный пароль был подобран на обычном процессоре за пять часов).

Уязвимость стала известна Oracle в мае 2010, всего-то через год с небольшим она была исправлена, но Oracle предпочла включить исправление в новую версию протокола аутентификации под номером 12, переход на которую требует обновления как серверов, так и клиентов. Версия же 11.1 осталась неисправленной, причем Oracle не предпринимает особых усилий по активизации перехода пользователей на новый протокол.
Источник: The Register


Софос-суицидник
dl // 20.09.12 22:43
Антивирус Sophos повторил прошлогоднее достижение Avira, обнаружив в своих собственных исполняемых файлах подозрительную деятельность и обозвав их Shh/Updater-B. В некоторых случаях это мешало обновить программу на уже исправленную, поскольку критичные для обновления компоненты уже были благополучно перенесены в карантин.
Источник: Sophos


Исправление критичной уязвимости в IE
dl // 20.09.12 12:11
MS выпускает исправление обнародованной в минувшие выходные критичной уязвимости в IE, которая уже активно используется для раздачи трояна Poison Ivy. Пока исправление доступно в виде заплатки "Fix It", окончательный вариант войдет во внеочередное кумулятивное обновление, запланированное на пятницу.
Источник: Microsoft Security Responce Center


Microsoft перестанет работать с короткими RSA-ключами с октября
dl // 08.09.12 14:08
Со следующего месяца обновленные продукты Microsoft перестанут воспринимать сертификаты, содержащие RSA-ключи длиной менее 1024 бит. IE перестанет открывать сайты с такими сертификатами, Outlook перестанет подписывать ими письма и не сможет соединяться с Exchange-серверами и т.п.
Источник: InfoWorld


Oracle обновила Java 7
dl // 31.08.12 01:23
Шум, поднятый вокруг уязвимости в Java 7, не прошел даром - Oracle прекратила сидеть на патчах в ожидании октября и выпустила обновление Java SE 7u7, которое и рекомендуется установить всем оставившим у себя этот привет из девяностых.

Обновление закрывает три уязвимости, способные привести к удаленному исполнению кода. При этом некоторые уязвимости, о которых Oracle сообщили в апреле, остались неисправленными.
Источник: Oracle, The Register




обсудить  |  все отзывы (0)  
[34436]


  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach