информационная безопасность
без паники и всерьез
 подробно о проекте 		Rambler's Top100Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN
RSN
RSN
архив
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
экспорт
конкурс




Подписка:
BuqTraq: Обзор
RSN
РВС
БСК
Russian Security Newsline
Хотите установить RSN на своем сайте?

XSS в школьном журнале
dl // 01.10.12 20:06
Потенциальный подарок ученикам шести сотен школ.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/10/01.html]
XSS в форме для логина на первый взгляд не выглядит особо перспективным; с другой стороны, обработчик формы реагирует и на GET-запрос, так что в сочетании с фишингом шансы есть.

Источник: Security Effect
теги: xss  |  обсудить  |  все отзывы (3)

Adobe разгребает последствия взлома
dl // 28.09.12 14:14
После обнаружения двух вредоносных утилит, подписанных сертификатом Adobe, компания провела расследование и выяснила, что воздействию подвергся один из серверов, занимающихся сборкой ПО.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/08.html]
Сервер не имел прямого доступа к приватному ключу, но мог делать запросы о формировании цифровой подписи.

Кроме того, на сервере использовался отдельный аккаунт для получения доступа к коду одного продукта, так что у взломщиков была потенциальная возможность внести в него изменения. Имя продукта не называется, лишь уточняется, что это не были Flash Player, Adobe Reader, Shockwave Player или Adobe AIR. Впрочем, по словам Adobe, модификаций или утечек кода замечено не было.

4 октября планируется отзыв скомпрометированного сертификата. Этот отзыв повлияет практически на все Windows-продукты Adobe, выпущенные после 10 июля, а также три AIR-приложения, доступные для Windows и Macintosh. Для всех потенциально затронутых приложений уже выпущены обновления.

Источник: Adobe
теги: adobe, leak  |  обсудить  |  все отзывы (0)

Бэкдор в phpMyAdmin
dl // 26.09.12 03:01
Разработчики популярного веб-интерфейса предупреждают о том, что одно из зеркал SourceForge раздавало вариант phpMyAdmin с модифицированным файлом server_sync.php, допускающим удаленное выполнение произвольного php-кода.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/07.html]
Затронут был только phpMyAdmin-3.5.2.2-all-languages.zip.

Источник: phpMyAdmin
теги: php  |  обсудить  |  все отзывы (0)

Сброс Samsung Galaxy при просмотре веб-страниц
dl // 25.09.12 20:02
Фантастический подарок получили пользователи Samsung Galaxy SII (насчет третьей и Note пока противоречивые сведения).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/06.html]
Попытка открыть адрес вида tel:*2767*3855%23 (в том числе простое открытие страницы с iframe, в url которого есть эти символы) приводит к честному отрабатыванию USSD-кода *2767*3855# с немедленным сбросом всех настроек и потерей пользовательских данных.

Понятно, что эта схема заставляет уязвимый аппарат выполнить любую USSD-команду, полный сброс - лишь наиболее яркая демонстрация. Не исключено, что подобная проблема присутствует и в некоторых смартфонах HTC.

Поневоле заставляет вспомнить золотые времена, когда некоторые модемы честно выполняли AT-команды, встретившиеся в передаваемых текстовых файлов.

Источник: Pocket-lint
теги: android  |  обсудить  |  все отзывы (8)

Старая уязвимость позволяет подобрать пароли Oracle
dl // 21.09.12 04:56
Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2, отправляет пользователю сессионный ключ до завершения полной аутентификации.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/05.html]
В результате атакующий может передать имя, получить сессионный ключ, отключиться и спокойно приступить к подбору пароля (в качестве демонстрации восьмисимвольный пароль был подобран на обычном процессоре за пять часов).

Уязвимость стала известна Oracle в мае 2010, всего-то через год с небольшим она была исправлена, но Oracle предпочла включить исправление в новую версию протокола аутентификации под номером 12, переход на которую требует обновления как серверов, так и клиентов. Версия же 11.1 осталась неисправленной, причем Oracle не предпринимает особых усилий по активизации перехода пользователей на новый протокол.

Источник: The Register
теги: oracle  |  обсудить  |  все отзывы (0)



««    «   101  |  102  |  103  |  104  |  105  |  106  |  107  |  108  |  109  |  110 >>  »    »»


Предложить свою новость

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube


Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach