Уязвимость в mod_perl от Apache 2
dl // 23.01.04 03:44
Передача файлового дескриптора в дочерние процессы делает возможным захват https-порта локальным пользователем.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/27.html]
Об аналогичной утечке критичных дескрипторов уже сообщалось около года назад. Опасность я бы оценил как вполне умеренную - если уж у взломщика дошло дело до правки cgi-скриптов, то это не самое страшное, что могло произойти (вариант атаки своего же хостера я не рассматриваю :).

Источник: Secunia Advisory обсудить  |  все отзывы (0)

Хостинг вареза: этика и закон
jammer // 22.01.04 15:14
Варезные сайты – один из видов проявления сетевого пиратства.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/26.html]
В роли жертвы - производители лицензионного софта, в роли злодея - авторы варезных сайтов. Но есть и третья сторона - хостеры, размещающие у себя проекты с варезным софтом. Недавний конфликт между компанией TamoSoft и хостинг-провайдером Highway послужил хорошим поводом для выяснения позиций сторон по этому поводу.

Юридические консультанты TamoSoft полагают, что хостинг варезных сайтов подпадает под статью 146 УК РФ (Нарушение авторских и смежных прав) и статью 25 Закона РФ "Об авторском праве и смежных правах". Согласно позиции Highway, провайдер руководствуется положениями лицензии на предоставление услуг телематических служб, не является судом и не можем знать, законной или незаконной является та или иная деятельность. При наличии решения суда будет отключен любой ресурс.

Виктор Наумов, руководитель группы по правовой защите интеллектуальной собственности и информационных технологий EY Law считает, что в такой ситуации непосредственной ответственности для хостеров в законе не указано. Однако юридическая теория позволяет пробовать привлечь к ответственности владельцев хостинга в том случае, если они отказываются прекратить нарушение авторских прав, совершаемое с помощью их услуг, путем, например, прекращения доступа к незаконно размещаемому программному обеспечению.

Источник: webinform.ru обсудить  |  все отзывы (3)

Серверный продукт SuSE получил новый сертификат Common Criteria
Ktirf // 22.01.04 12:54
Вчера IBM и Novell объявили о том, что SuSE Linux Enterprise Server 8 (SLES8) c установленным третьим сервис-паком на IBM eServer в качестве аппаратной платформы прошел сертификацию по Common Criteria for Information Security Evaluation (он же просто Common Criteria) известную под сокращением CAPP/EAL3+.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/25.html]
В прошлом августе SLES8 был сертифицирован по второму уровню CC, первым среди Linux-систем. RedHat тоже все собиралась пройти второй уровень, с помощью Oracle, но пока результата как-то не видно. А с третьим уровнем уже берут в Пентагон :)
Для того, чтобы было с чем сравнить, напомню: определенные конфигурации Windows, Solaris, AIX (производства IBM, между прочим), HPUX - имеют сертификаты CC четвертого уровня. До этого самого уровня IBM и SuSE обещают дотянуться уже в этом году.

Источник: SuSE теги: linux, novell, windows, redhat, server, ibm, solaris  |  обсудить  |  все отзывы (0)

Спам: итоги года
dl // 16.01.04 14:06
На сайте Спамтеста опубликован аналитический отчет по спаму за 2003 год, подготовленный компанией "Ашманов и партнеры".
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/24.html]

Подведены итоги года, дан прогноз на 2004. Приведен статистический анализ спамерских тематик, описаны популярные технологии и новые технические приемы, направленные на обход фильтров - распределенные атаки на системы, ведущие "черные списки", активное использование затрояненных машин, использование псевдорассылок, предназначенных для введенияв заблуждение байесовские фильтры, использование графики и html-трюков.

Предполагается, что 2004 год станет годом пика спама, что приведет к активному применению антиспамерских мер (от технических до законодательных), что в свою очередь должно привести к спаду в 2005. Ну что ж, будем надеяться, что к этому спаду действительно приведут антиспамерские меры, а не поголовный отказ от традиционной электронной почты по причине невозможности ее использования из-за спама :)

Источник: Спамтест обсудить  |  все отзывы (0)

В процессорах AMD и Intel появится антивирусная защита
cybervlad // 16.01.04 08:05
Ведущие производителя прпоцессоров собираются встроить защиту от переполнения буфера (причина большинства "дырок" в софте) непосредственно в чипы.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/23.html]
Решение по меньшей мере странное: на существующей архитектуре уже есть возможность защищать сегменты памяти от записи и исполнения. В частности, существует несколько вариантов патчей для linux-систем, запрещающих от исполнения кода в стеке. Правда, после этого перестает работать ряд программ, но может быть надо просто выпрямить руки программистам? :)

Источник: Compulenta теги: linux  |  обсудить  |  все отзывы (8)

««    «   371  |  372  |  373  |  374  |  375  |  376  |  377  |  378  |  379  |  380   »    »»

Предложить свою новость