Let's Encrypt открывается
dl // 04.12.15 00:30
Не прошло и года...
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/12/01.html]
а впрочем нет, прошло, как стала доступна публичная бета Let's Encrypt - проекта, обещающего, во-первых, бесплатное получение, во-вторых, упрощенную установку и обновление TLS-сертификатов, позволяя владельцам сайтов добавить поддержку https в несколько простых шагов. Ключевой момент - установка специального клиента, автоматизирующего работу с сертификатами.

Первые сертификаты были подписаны в сентябре, закрытое тестирование началось в ноябре, публичное - только что. Подписанные сертификаты поддерживаются всеми основными браузерами, автоматизированная установка поддерживает apache и nginx (последний - экспериментально). Поддерживаются unix'ы c установленным Python 2.6 либо 2.7. Готовые пакеты доступны для FreeBSD, Arch Linux, Debian (опять же экспериментальный вариант).

Источник: The Register теги: ssl  |  обсудить  |  все отзывы (0)

Универсальный шелл-код для Cisco
dl // 28.11.15 15:05
На конференции ZERONIGHTS 2015 исследователь безопасности из компании Digital Security Георгий Носенко рассказал о создании универсального шелл-кода, переносимого между устройствами Cisco.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/11/03.html]

Сетевое оборудование Cisco имеет большое разнообразие архитектур, видов и версий прошивок, что сильно затрудняет разработку универсального шелл-кода (исполняемого кода, передающего управление командному процессору, и обычно используемого в качестве полезной нагрузки эксплоита).

Продемонстрированный шелл-код может быть использован для реализации атак на разнообразные устройства Cisco под управлением IOS 15.1 и IOS XE 3.3, а возможно и на любых устройствах Cisco под управлением IOS, которые содержат интерпретатор языка Tcl (этот интерпретатор используется в устройствах Cisco с 2003 г.).

Были продемонстрированы возможности злоумышленника, который получил полный контроль над оборудованием, а также сценарии, при которых злоумышленник способен не только выполнять любые команды и изменять конфигурацию оборудования, но и находить другое уязвимое оборудование и атаковать его в автоматическом режиме, перенаправлять сетевой трафик.

Источник: Digital Security теги: cisco  |  обсудить  |  все отзывы (0)

Очередное проблемное обновление MS
dl // 12.11.15 00:31
Патч MS15-115, входящий во вчерашнее обновление, вызвал у ряда пользователей проблемы с Outlook.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/11/02.html]
Он был призван устранить уязвимость в обработке шрифтов (уж в который раз), но в результате Outlook (в том числе и предыдущих версий) начинает падать через несколько минут после запуска. Откат патча устраняет проблему.

Источник: The Register теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Ноябрьские обновления от MS
dl // 11.11.15 00:33
На этот раз дюжина обновлений, четыре из которых критичных, закрывающих 50 с лишним уязвимостей, многие из которых заслуживают внимания.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/11/01.html]
Критичные: кумулятивные обновление IE и Edge, удаленное исполнение кода при обработке Windows Journal и большая пачка удаленных исполнений кода в разных системных компонентах. Важные: удаленное исполнение кода в Office, эскалация привилегий в NDIS, .NET и WinSock, DoS на IPSec, обход защиты в реализации Kerberos, утечка информации в Skype и Lync, MiTM-атака на реализацию Schannel.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Ежеквартальный патч от Oracle
dl // 21.10.15 14:47
Очередной крупный патч, закрывающий 154 уязвимости в различных продуктах.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/10/02.html]
Восемь в Oracle Database, 2 в MySQL, 23 в Oracle Fusion Middleware. Традиционно лидирует Java, 25 уязвимостей, 24 из которых приводят к удаленному исполнению кода.

Источник: Oracle Critical Patch Update Advisory теги: oracle, java, patch  |  обсудить  |  все отзывы (1)

««    «   51  |  52  |  53  |  54  |  55  |  56  |  57  |  58  |  59  |  60   »    »»

Предложить свою новость