Переполнение буфера в Snort
dl // 21.02.07 20:19
Компания Sourcefire, занимающаяся поддержкой известной open source системы обнаружения атак Snort, сообщила о существовании классической ошибки, связанной с переполнением буфера.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/02/05.html]
Уязвимость была обнаружена ISS, которая и известила о ней Sourcefire.

Уязвимость весьма неприятная, приводящая к возможному исполнению удаленного кода на системах с установленными Snort либо Sourcefire Intrusion Sensor. При этом код исполняется с администраторскими либо системными правами.

Подверженные версии: Snort 2.6.1, 2.6.1.1, 2.6.1.2; Snort 2.7.0 beta 1; Sourcefire Intrusion Sensors versions 4.1.x, 4.5.x, 4.6.x. Рекомендуется немедленное обновление до версии 2.6.1.3, пользователям бета-версий 2.7 следует запретить препроцессор DCE/RPC, который и содержит данную уязвимость.

Источник: ZDNet теги: snort, ids, open source, beta  |  обсудить  |  все отзывы (0)

Конкурс Trend Micro
dl // 18.02.07 16:34
Trend Micro анонсировала акцию "Отвечаем на вопросы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/02/04.html]
Легко!". До 28 февраля предлагается задать любой вопрос об антивирусной защите в целом и компании Trend Micro в частности. Вопрос может быть любым - техническим, личным, юмористическим. Автор лучшего вопроса получит главный приз – iPod nano, среди других призов - фирменные сувениры.

Источник: страница акции обсудить  |  все отзывы (0)

Пара уязвимостей в FireFox
dl // 08.02.07 09:50
Одна связана с работой блокировщика всплывающих окон в версии 1.5.0.9 и позволяет внешнему сайту получить доступ к пользовательским документам (обычно FF запрещает такой доступ, но проверка обходится в случае "ручного" разрешения всплывающего окна).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/02/03.html]
Вторая позволяет обмануть фишинг-фильтр, добавив несколько символов "/" после имени домена. Тут под раздачу попала и актуальная на сегодня версия 2.0.0.1.

Источник: cnet теги: firefox  |  обсудить  |  все отзывы (0)

Утечка LJ-паролей в Яндекс.Ленте
dl // 03.02.07 20:57
Яндекс.Лента провела сеанс наглядной демонстрации того, чем может обернуться передача каких-либо паролей сторонним сервисам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/02/02.html]

Как известно, LiveJournal поддерживает схему аутентификации пользователей с передачей логина/пароля непосредственно в url - в основном это используется для доступа к так называемым подзамочным записям своих друзей из различных программ-агрегаторов. Этот же механизм использовался некоторыми пользователями и для чтения таких записей через Яндекс.Ленту.

Не могу гарантировать точности описания всех деталей, поскольку дырка уже прикрыта, но такое ощущение, что после первого добавления ленты LJ-пользователя ее адрес запоминался (вместе с логином/паролем) и в дальнейшем использовался повторно уже при подключении другими пользователями. Причем не только использовался, но и легко этими самыми другими пользователями просматривался. Видимо, ошибка была связана с попыткой избежать скачивания одной ленты каждый раз для каждого добавившего, только вот при поиске дубликатов почему-то было принято решение игнорировать пароли.

Так что всем использовавшим Яндекс.Ленту для чтения LJ по описанной схеме стоит срочно сменить свои LJ-пароли. Кстати, если причина ошибки угадана правильно, то она позволяла читать подзамочные записи пользователей и не только их друзьям...

Источник: netlux LJ теги: livejournal  |  обсудить  |  все отзывы (0)

PHPConf 2007
dl // 01.02.07 16:53
24-25 мая 2007 случится 6-я Международная PHP-конференция, организованная Международным клубом веб-разработчиков PHPСLUB.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/02/01.html]
Заявленные темы: эффективное применение PHP в веб-разработке, эффективное создание приложений, PHP и корпоративные информационные системы, будущее PHP.

Тезисы выступлений от авторов, желающих принять участие в конференции, принимаются до 5 февраля.

Источник: call for papers теги: конференции  |  обсудить  |  все отзывы (0)

««    «   241  |  242  |  243  |  244  |  245  |  246  |  247  |  248  |  249  |  250   »    »»

Предложить свою новость