35 тысяч взломанных vBulletin; HighLoad++ 2013: программа конференции; Ослабленная криптография в Android SSL; Бэкдор в роутерах D-Link; Юбилейные октябрьские обновления от MS.

#347, 16.10.2013

35 тысяч взломанных vBulletin
dl // 16.10.13 19:44
В конце августа автор vBulletin опубликовал предупреждение о возможности легкого взлома версий 4.x и 5.x этого популярного форума. С тех пор по оценке Imperva эта уязвимость была успешно использована более 35 тысяч раз. Уязвимость легко обнаруживается, автоматизированные средства получения администраторского доступа разбежались по сети.

Все, что нужно для предотвращения атаки - удалить каталоги /install и /core/install, оставшиеся после установки.
Источник: Krebs on Security

HighLoad++ 2013: программа конференции
dl // 16.10.13 01:01
Cедьмая профессиональная конференция для разработчиков высоконагруженных систем HighLoad++ начнет свою работу в Москве уже через две недели, и формирование ее программы вышло на финишную прямую. Ожидается полторы тысячи участников, три потока, пятьдесят докладчиков из Яндекса, Badoo, Facebook, Одноклассников, Twitter, Mail.ru, Мамбы, 2ГИС, Microsoft, Skype и многих других лидеров разработки России и всего мира.

Константин Осипов расскажет про современные алгоритмы хранения данных на диске: LevelDB, TokuDB, LMDB, Sophia; а Alvaro Videla - про внутреннюю архитектуру RabbitMQ. AdRiver раскроет тему о хранении и обработке 60 тысяч событий в секунду, а Одноклассники - об обработке миллиардов записей в статистике этой социальной сети. James Golick прочитает доклад про детали выделения памяти, Алексей Рагозин - про алгоритмы сборки мусора без пауз, Алексей Салов (2ГИС) про кеширование высоконагруженного сервиса.

Поиск представлен уникальной технологией мультитерабайтного Sphinx-кластера, 2ГИС рассказывает про вертикальный поиск, а Mail.ru про организацию их собственного полнотекстового поискового движка. Яндекс раскроет тему обратной совместимости, Skype - детали используемого этой компаний стека технологий для построения собственных веб-сайтов, а Facebook - принципы правильно организованной оптимизации производительности.

Александр Крижановский научит обрабатывать миллионы пакетов в секунду с одного ядра CPU, Максим Лапшин - отдавать видео на скорости 10 гигабит в секунду с одной машины, а Кирилл Гаврилюк (Microsoft) раскроет тему одновременной доставки персонализованных мобильных уведомлений миллионам пользователей iOS, Android, Windows и Windows Phone.

Также в программе сравнение производительности NoSQL баз данных, распределённых файловых систем, тестирование производительности DNS-серверов, расчёт аппаратной нагрузки highload-проектов, вопросы безопасности, блок докладов про правильную организацию API и доклад о том, что нового в nginx. Ожидается доклад о разработке самого крупного проекта будущего года - Сочи 2014.

Завсегдатаи нашего форума могут увидеть знакомое лицо - Леонида Юрьева с докладом о многоцелевой терабитной DPI-платформе (доклад еще находится на рассмотрении программного комитета).

Каждый участник конференции получит книгу и диски с материалами по высоконагруженным системам.
Источник: HighLoad++ 2013

Ослабленная криптография в Android SSL
dl // 15.10.13 02:02
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.

Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.

Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.
Источник: op-co.de blog

Бэкдор в роутерах D-Link
dl // 13.10.13 11:45
В прошивке v1.13 роутера D-Link DIR-100 обнаружилась забавная проверка, позволяющая получить полный доступ к администрированию без всяких паролей. Достаточно установить в качестве UserAgent своего браузера строку "xmlset_roodkcableoj28840ybtide". Скорее всего, задеты и другие модели, использующие ту же прошивку. Любопытно, что при обратном прочтении "roodkcableoj28840ybtide" превращается во вполне говорящую "editby04882joelbackdoor".
Источник: /dev/ttyS0

Юбилейные октябрьские обновления от MS
dl // 08.10.13 23:29
14 октября 2003 года Microsoft запустила новую схему выхода патчей по вторым вторникам каждого месяца. Первая порция включила пять исправлений. С тех пор эта внесшая предсказуемость в работу администраторов система стала привычной и была подхвачена многими другими производителями. И вот на подходе первый заметный юбилей.

Ну а этот октябрь принес восемь исправлений, закрывающих 28 уязвимостей, по 4 критичных и важных. Критичные: кумулятивное обновление IE, исправление удаленного исполнения кода в многострадальных обработчиков OpenType и TrueType шрифтов, в .NET Framework и Windows Common Control Library. Важные: удаленное исполнение кода в SharePoint Server, Excel и Word, утечка информации в Silverlight.
Источник: Microsoft Security Bulletin Summary