Старая уязвимость позволяет подобрать пароли Oracle
dl // 21.09.12 04:56
Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2, отправляет пользователю сессионный ключ до завершения полной аутентификации.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/05.html]
В результате атакующий может передать имя, получить сессионный ключ, отключиться и спокойно приступить к подбору пароля (в качестве демонстрации восьмисимвольный пароль был подобран на обычном процессоре за пять часов).

Уязвимость стала известна Oracle в мае 2010, всего-то через год с небольшим она была исправлена, но Oracle предпочла включить исправление в новую версию протокола аутентификации под номером 12, переход на которую требует обновления как серверов, так и клиентов. Версия же 11.1 осталась неисправленной, причем Oracle не предпринимает особых усилий по активизации перехода пользователей на новый протокол.

Источник: The Register теги: oracle  |  обсудить  |  все отзывы (0)

Софос-суицидник
dl // 20.09.12 22:43
Антивирус Sophos повторил прошлогоднее достижение Avira, обнаружив в своих собственных исполняемых файлах подозрительную деятельность и обозвав их Shh/Updater-B.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/04.html]
В некоторых случаях это мешало обновить программу на уже исправленную, поскольку критичные для обновления компоненты уже были благополучно перенесены в карантин.

Источник: Sophos теги: stuff  |  обсудить  |  все отзывы (1)

Исправление критичной уязвимости в IE
dl // 20.09.12 12:11
MS выпускает исправление обнародованной в минувшие выходные критичной уязвимости в IE, которая уже активно используется для раздачи трояна Poison Ivy.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/03.html]
Пока исправление доступно в виде заплатки "Fix It", окончательный вариант войдет во внеочередное кумулятивное обновление, запланированное на пятницу.

Источник: Microsoft Security Responce Center обсудить  |  все отзывы (0)

Сентябрьские обновления от MS
dl // 12.09.12 01:02
В этом месяце с обновлениями скромно - всего два важных, закрывающих повышение привилегий в Visual Studio Team Foundation Server и System Center Configuration Manager.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Microsoft перестанет работать с короткими RSA-ключами с октября
dl // 08.09.12 14:08
Со следующего месяца обновленные продукты Microsoft перестанут воспринимать сертификаты, содержащие RSA-ключи длиной менее 1024 бит.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/09/01.html]
IE перестанет открывать сайты с такими сертификатами, Outlook перестанет подписывать ими письма и не сможет соединяться с Exchange-серверами и т.п.

Источник: InfoWorld теги: microsoft  |  обсудить  |  все отзывы (0)

««    «   111  |  112  |  113  |  114  |  115  |  116  |  117  |  118  |  119  |  120   »    »»

Предложить свою новость