 |  |
https://bugtraq.ru/rsn/?page=126 |
|
|||
|
|
|
||
| https://bugtraq.ru/rsn/?page=126 |
||||
| ||||
Русский программист поломал GitHub с помощью трехлетней уязвимости
dl // 06.03.12 00:11
Строго говоря, уязвимость "mass assignment" в Ruby on Rails, с помощью которой программист из Питера Егор Хомяков поразвлекался на этих выходных с популярным сервисом GitHub, известна аж с сентября 2008 года.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/01.html]
Но все равно получилось неплохо.
Сначала Егор добавил сообщение об уязвимости в репозиторий Rails. Администраторы удалили ветку с обсуждением, после чего он открыл тикет заново, только чтобы опять остаться проигнорированным. Далее он воспользовался этой самой уязвимостью, чтобы добавить свой публичный ключ в проект Rails, записав себя в администраторы проекта. Апофеозом истории стал пост от имени Бендера из 3012 года.
Спохватившиеся администраторы поначалу заблокировали аккаунт Хомякова, но чуть позже справедливость восторжествовала - аккаунт разблокировали, а уязвимость прикрыли. Открытым остается лишь вопрос, сколько раз GitHub успели поломать за последние годы, и в какое количество проектов внесли изменения по-тихому.
|
Источник: The Register теги: retro, github | обсудить | все отзывы (1) |
Апач прицелился в nginx
dl // 21.02.12 21:38
Всего-то спустя 7 лет после последнего крупного обновления под номером 2.2 выходит новая версия популярнейшего веб-сервера Apache 2.4.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/15.html]
Ее ключевой особенностью заявляется значительно возросшая производительность. По словам руководителя проекта, 2.4 стала самой быстрой версий Apache из всех, что были, а сравнение с другими веб-серверами показывает, что он столь же быстр, а то и еще быстрее, чем серверы, славящиеся своей скоростью - такие, как nginx.
Несмотря на продолжающееся доминирование Apache, именно nginx благодаря своей скорости взобрался на второе место по популярности - как правило, выступая в роли кэширующего прокси либо распределителя нагрузки для других серверов.
Основные новшества нового Apache: различные многопроцессорные модули; значительно ускоренный модуль mod_proxy; модуль mod_session, реализующий универсальный фреймворк для организации сессий, отсутствие которых было вечным проклятием протокола http, заставляющим разработчиков постоянно придумывать свой велосипед.
|
Источник: ServerWatch теги: apache, nginx | обсудить | все отзывы (1) |
Февральские обновления от MS
dl // 14.02.12 23:16
Всего 9, из которых 4 критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/14.html]
Критические: кумулятивное обновление для IE, удаленное исполнение кода в C Run-Time Library, .NET Framework и Microsoft Silverlight, и в очередной раз - в компонентах ядра, взаимодействующих с GDI. Важные - повышение привилегий в Ancillary Function Driver и Microsoft SharePoint, удаленное исполнение кода в Color Control Panel, Indeo Codec, Microsoft Visio Viewer 2010.
|
Источник: Microsoft Security Bulletin Summary теги: microsoft, patch | обсудить | все отзывы (0) |
Подбор pin-кода в Google Wallet
dl // 11.02.12 13:30
Мобильный клиент Google Wallet, доступный пока лишь на Nexus S, при каждом запуске проверяет пин-код, и лишь после этого получает доступ
к критичной информации, хранящейся в SE (Secure Element) - номерам кредитных карт и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/13.html]
В целях защиты от кражи смартфона пин-код блокируется после пяти неудачных попыток.
Однако выяснилось, что проверка пин-кода возложена не на SE, а проводится самим клиентом, который предварительно сохраняет его хэш-код в локальной sqlite3-таблице. С учетом того, что пин-код состоит аж из 4 цифр, его подбор даже на смартфоне является тривиальной задачей и проводится практически мгновенно.
|
Источник: InfoWorld теги: google | обсудить | все отзывы (0) |
Уязвимость камер TRENDnet открыла свободный доступ к домашнему видео
dl // 08.02.12 00:36
Беспроводные камеры слежения TRENDnet позволяют кому угодно получить доступ к транслируемому видео потоку.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/02/12.html]
Даже в случае установленного пароля для этого оказывается достаточно знать ip-адрес и заветную последовательность из 15 цифр, стандартную для всех камер.
TrendNet планирует в ближайшее время выпустить обновление прошивки для всех 26 уязвимых моделей, признав, что уязвимость появилась аж в 2010 году. Пока же дорвавшийся до чужого видео народ развлекается как может - выкладывает скриншоты, размечает положение найденных камер на Google Maps.
|
Источник: Wired теги: leak | обсудить | все отзывы (2) |
«« « 121 | 122 | 123 | 124 | 125 | 126 | 127 | 128 | 129 | 130  » »» |
|
|
|