Безопасность не волнует рунетовские веб-студии
dl // 22.04.14 14:11
Сервис SiteSecure и проект Ruward опубликовали результаты опроса 270+ представителей студий и агентств, специализирующихся на заказной разработке интернет-проектов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/05.html]
Результаты впечатляющие: более 3/4 студий в принципе не имеют в штате специалиста по безопасности сайтов клиентов; формальный регламент реагирования на инциденты безопасности имеют 7%; в почти 60% компаний сотрудники не подписывают соглашения, регламентирующие соблюдение правил безопасности/конфиденциальности. Лишь 16% уверены в безопасности своих сайтов, при этом клиенты почти 60% считают, что не сталкивались с проблемами безопасности за последний год.

Источник: Ruward обсудить  |  все отзывы (0)

Ежеквартальный патч от Oracle
dl // 16.04.14 14:06
Не рекордный, но все равно внушительный - 104 исправления разных продуктов компании, причем аж 37 приходится на Java.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/04.html]
14 исправленных уязвимостей в MySQL, одна из которых может быть использована удаленно, всего две в Oracle Database Server.

Источник: Oracle Critical Patch Update Advisory теги: oracle, patch  |  обсудить  |  все отзывы (0)

Образцово-показательный взлом через OpenSSL за три часа
dl // 12.04.14 14:26
11 апреля в блоге CloudFlare была опубликована успокаивающая заметка, рассказывающая о малой вероятности успешного использования Heartbleed для извлечения приватного ключа.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/03.html]
Сама CloudFlare получила раннее предупреждение об уязвимости и пропатчила свои серверы пару недель назад, процесс перевыпуска ключей запущен, не о чем волноваться, расходимся.

На всякий случай CloudFlare объявила награду в 10 тысяч долларов за извлечение приватного ключа со специально подготовленного для этого конкурса сервера.

Победитель определился уже через 9 часов. Первым к финишу пришел Федор Индутный, которому для извлечения ключа потребовалось 3 часа и 2.5 миллиона запросов. Еще через 50 минут с задачей справился Илкка Маттила (Ilkka Mattila) со ста тысячами запросов.

Источник: CloudFlare теги: ssl  |  обсудить  |  все отзывы (1)

Прощальные патчи для XP и Office 2003
dl // 08.04.14 23:48
Прощание в день прекращения поддержки XP получилось довольно скромненьким - четыре патча, 11 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/02.html]
Два критичных закрывают три удаленных исполнения кода в Office (включая недавнее с rtf-файлами) и шесть в IE. И еще два важных закрывают удаленное исполнение кода в MS Publisher и при обработке cmd/bat (требующее довольно изощренного сценария удаленное исполнение кода).

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (1)

Критичная уязвимость в OpenSSL
dl // 08.04.14 16:52
Внесенная в декабре 2011 года при реализации расширения Heartbeat (RFC6520) для протокола TLS/DTLS уязвимость позволяет атакующему получить доступ к 64к памяти атакуемого сервиса.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/01.html]
При определенной настойчивости это может привести к утечке массы критичной информации; в качестве очевидного примера - к утечке приватных ключей и полной дешифровке защищаемого трафика.

Уязвимости подвержены версии OpenSSL с 1.0.1 по 1.0.1f, вышедшая вчера версия 1.0.1g ее устраняет. Ветки 1.0.0 и 0.9.8 не затронуты.

Фактически это означает, что в течение двух с лишним лет кто угодно мог тихо накапливать приватные ключи и прослушивать трафик как бы защищенных соединений. Теперь администраторам предстоит увлекательная работа по отзыву и перевыпуску всех ключей, использованных в сочетании с OpenSSL 1.0.1, а также тщательному перетряхиванию всей критичной информации, которую это могло зацепить.

Что самое неприятное, атака может привести к утечке чего угодно, что находится в этот момент в памяти сервера - хэши, пароли, личные сведения и т.п., при этом в логах не останется никаких следов. С учетом того, что OpenSSL используется в Apache, Tor, nginx, возможный ущерб пока просто не поддается оценке. Уже слышны рассказы про две трети всех существующих сайтов; в реальности все не так печально, хоть по иронии судьбы больше всего пострадали те, кто больше заботился о безопасности.

А есть ведь еще куча домашних роутеров, пользователи которых вообще не представляют, что там используется и как это исправлять, даже если производители спохватятся относительно быстро. В целом, ощущения от случившегося и возможных последствий - катастрофа с большой буквы П (как написал Шнайер, 11 по шкале от 1 до 10).

Источник: The Heartbleed Bug теги: уязвимости, ssl  |  обсудить  |  все отзывы (11)

««    «   81  |  82  |  83  |  84  |  85  |  86  |  87  |  88  |  89  |  90   »    »»

Предложить свою новость