информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыПортрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Уязвимости в реализациях OpenPGP... 
 Twitter просит пользователей срочно... 
 Google прикрыл domain fronting 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2013
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

35 тысяч взломанных vBulletin; HighLoad++ 2013: программа конференции; Ослабленная криптография в Android SSL; Бэкдор в роутерах D-Link; Юбилейные октябрьские обновления от MS.

#347, 16.10.2013

35 тысяч взломанных vBulletin
dl // 16.10.13 19:44
В конце августа автор vBulletin опубликовал предупреждение о возможности легкого взлома версий 4.x и 5.x этого популярного форума. С тех пор по оценке Imperva эта уязвимость была успешно использована более 35 тысяч раз. Уязвимость легко обнаруживается, автоматизированные средства получения администраторского доступа разбежались по сети.

Все, что нужно для предотвращения атаки - удалить каталоги /install и /core/install, оставшиеся после установки.
Источник: Krebs on Security


HighLoad++ 2013: программа конференции
dl // 16.10.13 01:01
Cедьмая профессиональная конференция для разработчиков высоконагруженных систем HighLoad++ начнет свою работу в Москве уже через две недели, и формирование ее программы вышло на финишную прямую. Ожидается полторы тысячи участников, три потока, пятьдесят докладчиков из Яндекса, Badoo, Facebook, Одноклассников, Twitter, Mail.ru, Мамбы, 2ГИС, Microsoft, Skype и многих других лидеров разработки России и всего мира.

Константин Осипов расскажет про современные алгоритмы хранения данных на диске: LevelDB, TokuDB, LMDB, Sophia; а Alvaro Videla - про внутреннюю архитектуру RabbitMQ. AdRiver раскроет тему о хранении и обработке 60 тысяч событий в секунду, а Одноклассники - об обработке миллиардов записей в статистике этой социальной сети. James Golick прочитает доклад про детали выделения памяти, Алексей Рагозин - про алгоритмы сборки мусора без пауз, Алексей Салов (2ГИС) про кеширование высоконагруженного сервиса.

Поиск представлен уникальной технологией мультитерабайтного Sphinx-кластера, 2ГИС рассказывает про вертикальный поиск, а Mail.ru про организацию их собственного полнотекстового поискового движка. Яндекс раскроет тему обратной совместимости, Skype - детали используемого этой компаний стека технологий для построения собственных веб-сайтов, а Facebook - принципы правильно организованной оптимизации производительности.

Александр Крижановский научит обрабатывать миллионы пакетов в секунду с одного ядра CPU, Максим Лапшин - отдавать видео на скорости 10 гигабит в секунду с одной машины, а Кирилл Гаврилюк (Microsoft) раскроет тему одновременной доставки персонализованных мобильных уведомлений миллионам пользователей iOS, Android, Windows и Windows Phone.

Также в программе сравнение производительности NoSQL баз данных, распределённых файловых систем, тестирование производительности DNS-серверов, расчёт аппаратной нагрузки highload-проектов, вопросы безопасности, блок докладов про правильную организацию API и доклад о том, что нового в nginx. Ожидается доклад о разработке самого крупного проекта будущего года - Сочи 2014.

Завсегдатаи нашего форума могут увидеть знакомое лицо - Леонида Юрьева с докладом о многоцелевой терабитной DPI-платформе (доклад еще находится на рассмотрении программного комитета).

Каждый участник конференции получит книгу и диски с материалами по высоконагруженным системам.
Источник: HighLoad++ 2013


Ослабленная криптография в Android SSL
dl // 15.10.13 02:02
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.

Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.

Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.
Источник: op-co.de blog


Бэкдор в роутерах D-Link
dl // 13.10.13 11:45
В прошивке v1.13 роутера D-Link DIR-100 обнаружилась забавная проверка, позволяющая получить полный доступ к администрированию без всяких паролей. Достаточно установить в качестве UserAgent своего браузера строку "xmlset_roodkcableoj28840ybtide". Скорее всего, задеты и другие модели, использующие ту же прошивку. Любопытно, что при обратном прочтении "roodkcableoj28840ybtide" превращается во вполне говорящую "editby04882joelbackdoor".
Источник: /dev/ttyS0


Юбилейные октябрьские обновления от MS
dl // 08.10.13 23:29
14 октября 2003 года Microsoft запустила новую схему выхода патчей по вторым вторникам каждого месяца. Первая порция включила пять исправлений. С тех пор эта внесшая предсказуемость в работу администраторов система стала привычной и была подхвачена многими другими производителями. И вот на подходе первый заметный юбилей.

Ну а этот октябрь принес восемь исправлений, закрывающих 28 уязвимостей, по 4 критичных и важных. Критичные: кумулятивное обновление IE, исправление удаленного исполнения кода в многострадальных обработчиков OpenType и TrueType шрифтов, в .NET Framework и Windows Common Control Library. Важные: удаленное исполнение кода в SharePoint Server, Excel и Word, утечка информации в Silverlight.
Источник: Microsoft Security Bulletin Summary




обсудить  |  все отзывы (2)  
[5668]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach