Критичная уязвимость в Samba
dl // 03.08.14 17:11
Все версии Samba c 4.0.0 по 4.1.10 (популярнейшая реализация протокола взаимодействия с сетями SMB/CIFS, если совсем на пальцах, то сервис, обеспечивающий работу юниксовых серверов и рабочих станций, продвинутых роутеров, NAS и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/08/02.html]
с разделяемыми ресурсами в Windows-сетях) оказались подвержены уязвимости, способной привести к удаленному исполнению кода с администраторскими правами.

Выпущены новые исправленные версии 4.1.11 и 4.0.21, а также патчи для старых версий. Осталось дождаться их включения в популярные дистрибутивы - так, например, в Ubuntu до сих пор входит мартовская 4.1.6.

Источник: ZDNet теги: patch  |  обсудить  |  все отзывы (1)

Принципиальная уязвимость в USB
dl // 01.08.14 14:01
USB-устройства всегда были большой головной болью с точки зрения безопасности.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/08/01.html]
Понадобилось больше десятка лет, чтобы справиться с банальным автозапуском, сценарий с подсовыванием зараженных флешек не описывался только ленивым.

Теперь, похоже, история выходит на новый виток. Немецкие исследователи Карстен Ноль (Karsten Nohl) и Якоб Лель (Jakob Lell) анонсировали на 7 августа демонстрацию атаки BadUSB, основанной на использовании накопителя с модифицированной прошивкой. Подобное устройство может имитировать работу других устройств - например, клавиатуры. Таким образом, простое подключение накопителя может привести к выполнению команд, установке троянов и т.п. В дальнейшем успешно атакованная система может стать источником заражения других подключенных устройств.

Особую прелесть атаке придает тот факт, что она практически необнаружима современными средствами - никто не контролирует прошивки usb-устройств. Число популярных контроллеров, используемых в устройствах, вполне конечно, а их защитой никто толком не занимается.

Источник: Wired теги: usb  |  обсудить  |  все отзывы (4)

МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor
dl // 24.07.14 14:57
На сайте госзакупок уже почти две недели висит заявка на выполнение НИР "Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR".
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/07/02.html]

Бросившимся кричать "распил, распил" хочется напомнить, что c Tor'ом связана богатая история как утечек, так и подобных исследований. Из последнего - анонсированный и позднее отмененный доклад о бюджетном взломе Tor на ближайшем Black Hat. А порой можно и без взлома обойтись, как в случае с прошлогодним вычислением гарвардского "подрывника".

Источник: Сайт госзакупок теги: анонимность  |  обсудить  |  все отзывы (1)

Июльские обновления от MS
dl // 09.07.14 01:23
Шесть обновлений, закрывающих 29 уязвимостей; два критичных, три важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/07/01.html]
Кумулятивное обновление IE закрывает 24 уязвимости, еще одно критичное исправление закрывает удаленное исполнение кода в Windows Journal. Оставшиеся: эскалация привилегий в экранной клавиатуре, Ancillary Function Driver (AFD) и DirectShow, DoS на Microsoft Service Bus for Windows Server.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

20-летняя уязвимость в библиотеке LZO
dl // 28.06.14 15:22
Целочисленное переполнение в реализации популярного алгоритма сжатия LZO (Lempel–Ziv–Oberhumer) может привести как к DoS-атакам, так и к удаленному исполнению кода при (не)удачном стечении обстоятельств.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/06/04.html]
LZO используется в ряде современных ключевых продуктов, большинство из которых оказалось подвержено как минимум DoS, - от ядра Linux, OpenVPN, Android и mplayer2 до Apache Hadoop и Juniper Junos IPsec. Практически ее можно найти в любом современном линуксе, вплоть до марсианских роверов.

Уже вышли исправления для ядер Linux, ffmpeg, libav.

Источник: DarkReading теги: retro  |  обсудить  |  все отзывы (1)

««    «   71  |  72  |  73  |  74  |  75  |  76  |  77  |  78  |  79  |  80   »    »»

Предложить свою новость