https://bugtraq.ru/review/archive/2014/19-10-14.html

Очередное отозванное проблемное обновление; SQL-injection в Drupal; Уязвимость в SSL 3.0; Продуманная оптимизация; Песчаный червь атакует Windows.

#359, 19.10.2014

Очередное отозванное проблемное обновление
dl // 18.10.14 14:06
У Microsoft опять не задалось с обновлениями. Часть октябрьских обновлений пару дней не устанавливались из-за ошибки в инсталляторе, а обновление KB2949927, добавляющее поддержку SHA-2 в Windows 7 и Windows Server 2008 R2, у некоторых пользователей стало приводить к постоянным перезагрузкам системы. Сегодня оно уже отозвано, пользователям рекомендуется его откатить.
Источник: ZDNet

SQL-injection в Drupal
dl // 15.10.14 21:49
Команда разработчиков популярной CMS Drupal 7 сообщает о критичной уязвимости в движке, позволяющей анонимному пользователю осуществить внедрение sql-кода, что далее может привести к эскалации привилегий, выполнению произвольного php-кода и т.п. Выпущена исправленная версия 7.32, для более ранних версий доступен патч. Случаев использования этой уязвимости на момент анонса замечено не было, но все может быстро поменяться, так что счастливым пользователям Drupal имеет смысл немедленно озаботиться обновлением.
Источник: ZDNet

Уязвимость в SSL 3.0
dl // 15.10.14 10:56
Специалисты из Google опубликовали сегодня детали атаки на шифры, используемые в режиме CBC, в SSL 3.0. Атака получила название POODLE, ее успешное использование значительно проще, чем у BEAST. Причины ее успеха восходят к тому факту, что в SSL/TLS аутентификация происходит до шифрования.

Google планирует исключить поддержку SSL 3.0 из своих клиентских продуктов. В Firefox он будет заблокирован начиная с 34 верии.
Источник: Google Online Security Blog

Продуманная оптимизация
dl // 14.10.14 22:25
Команда конференции разработчиков высоконагруженных систем HighLoad++ подготовила перевод книги "Mature Optimization" Карлоса Буэно (Carlos Bueno) – члена команды Facebook по повышению производительности.

"Поспешная оптимизация является корнем всех зол" - так говорят все гуру, начиная с Дональда Кнута. "Продуманная оптимизация" является попыткой ответа на вопрос, какая оптимизация все же не является поспешной, и как вообще правильно оптимизировать.

В книге рассматриваются такие вопросы серверной оптимизации веб-проектов, как:

1. Где, как и когда проводить серверную оптимизацию?
2. Что оптимизировать и как выделить узкое место в программе?
3. Как правильно мониторить, какие метрики собирать и как их анализировать?
4. Каковы особенности мониторинга веб-систем?
5. Как выбрать инструментарий мониторинга веб-проектов;
6. Как правильно визуализировать данные мониторинга?
7. Как строить цепи обратной связи?
8. Как перейди от мониторинга к диагностике?
9. Как правильно оптимизировать найденные узкие места?
10. Каковы основные принципы оптимизации?
11. Как избежать фатального "необходимо все переписать с нуля"?

Первые восемь глав перевода уже доступны в онлайне, о выходе следующих интересующиеся будут извещены по почте.
Источник: Продуманная оптимизация

Песчаный червь атакует Windows
dl // 14.10.14 12:38
Исследовательская компания iSight анонсировала очередную уязвимость нулевого дня под кодовым именем SandWorm, приводяющую к удаленному исполнению кода в OLE package manager. Подвержены как десктопные, так и серверные версии Windows, начиная с Vista и Server 2008. По словам iSight, уязвимость была обнаружена в процессе анализа фишерской атаки злобных русских хакеров из Tsar Team на украинские и американские организации.

Название SandWorm уязвимость получила из-за найденных в коде эксплоита отсылок на роман Фрэнка Герберта "Дюна".
Источник: The Register