Adobe второй раз за 20 дней пропатчила Flash
dl // 06.03.12 09:18
Adobe выпустила очередное исправление двух уязвимостей в Flash Player и представила свою новую систему приоритетов патчей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/02.html]
Отныне некоторые патчи более равны, чем остальные: Priority 1 рекомендуется устанавливать в течение 72 часов, Priority 2 - в течение 30 дней и Priority 3 - по усмотрению администраторов. Последнее исправление относится ко второй группе, закрытые им уязвимости еще не были обнародованы.

Источник: InfoWorld теги: adobe, flash  |  обсудить  |  все отзывы (0)

Русский программист поломал GitHub с помощью трехлетней уязвимости
dl // 06.03.12 00:11
Строго говоря, уязвимость "mass assignment" в Ruby on Rails, с помощью которой программист из Питера Егор Хомяков поразвлекался на этих выходных с популярным сервисом GitHub, известна аж с сентября 2008 года.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/01.html]
Но все равно получилось неплохо.

Сначала Егор добавил сообщение об уязвимости в репозиторий Rails. Администраторы удалили ветку с обсуждением, после чего он открыл тикет заново, только чтобы опять остаться проигнорированным. Далее он воспользовался этой самой уязвимостью, чтобы добавить свой публичный ключ в проект Rails, записав себя в администраторы проекта. Апофеозом истории стал пост от имени Бендера из 3012 года.

Спохватившиеся администраторы поначалу заблокировали аккаунт Хомякова, но чуть позже справедливость восторжествовала - аккаунт разблокировали, а уязвимость прикрыли. Открытым остается лишь вопрос, сколько раз GitHub успели поломать за последние годы, и в какое количество проектов внесли изменения по-тихому.

Источник: The Register теги: retro, github  |  обсудить  |  все отзывы (1)

Апач прицелился в nginx
dl // 21.02.12 21:38
Всего-то спустя 7 лет после последнего крупного обновления под номером 2.2 выходит новая версия популярнейшего веб-сервера Apache 2.4.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/15.html]
Ее ключевой особенностью заявляется значительно возросшая производительность. По словам руководителя проекта, 2.4 стала самой быстрой версий Apache из всех, что были, а сравнение с другими веб-серверами показывает, что он столь же быстр, а то и еще быстрее, чем серверы, славящиеся своей скоростью - такие, как nginx.

Несмотря на продолжающееся доминирование Apache, именно nginx благодаря своей скорости взобрался на второе место по популярности - как правило, выступая в роли кэширующего прокси либо распределителя нагрузки для других серверов.

Основные новшества нового Apache: различные многопроцессорные модули; значительно ускоренный модуль mod_proxy; модуль mod_session, реализующий универсальный фреймворк для организации сессий, отсутствие которых было вечным проклятием протокола http, заставляющим разработчиков постоянно придумывать свой велосипед.

Источник: ServerWatch теги: apache, nginx  |  обсудить  |  все отзывы (1)

Февральские обновления от MS
dl // 14.02.12 23:16
Всего 9, из которых 4 критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/14.html]
Критические: кумулятивное обновление для IE, удаленное исполнение кода в C Run-Time Library, .NET Framework и Microsoft Silverlight, и в очередной раз - в компонентах ядра, взаимодействующих с GDI. Важные - повышение привилегий в Ancillary Function Driver и Microsoft SharePoint, удаленное исполнение кода в Color Control Panel, Indeo Codec, Microsoft Visio Viewer 2010.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Подбор pin-кода в Google Wallet
dl // 11.02.12 13:30
Мобильный клиент Google Wallet, доступный пока лишь на Nexus S, при каждом запуске проверяет пин-код, и лишь после этого получает доступ к критичной информации, хранящейся в SE (Secure Element) - номерам кредитных карт и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/13.html]
В целях защиты от кражи смартфона пин-код блокируется после пяти неудачных попыток.

Однако выяснилось, что проверка пин-кода возложена не на SE, а проводится самим клиентом, который предварительно сохраняет его хэш-код в локальной sqlite3-таблице. С учетом того, что пин-код состоит аж из 4 цифр, его подбор даже на смартфоне является тривиальной задачей и проводится практически мгновенно.

Источник: InfoWorld теги: google  |  обсудить  |  все отзывы (0)

««    «   121  |  122  |  123  |  124  |  125  |  126  |  127  |  128  |  129  |  130   »    »»

Предложить свою новость