В скандале с сертификатами к Google присоединились Mozilla, Yahoo, Tor и WordPress
dl // 01.09.11 00:17
DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/09/01.html]

Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).

Источник: The Register теги: google  |  обсудить  |  все отзывы (8)

История с левыми сертификатами затронет не только Google
dl // 31.08.11 11:59
История, конечно, замечательная.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/08/15.html]
Голландский CA DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще "нескольких дюжен" сайтов - и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты - от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).

Источник: InfoWorld теги: google  |  обсудить  |  все отзывы (0)

Не очень опасный червь распространяется через RDP
dl // 28.08.11 23:22
Новый червь Morto использует RDP-соединение для своего распространения.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/08/14.html]
При обнаружении доступного RDP-сервера он пытается подобрать пароли по словарю, что вместе со сканированием сети генерирует большое количество RDP-трафика (порт 3389).

Поскольку червь не использует какие-то особые уязвимости, владельцы систем с нормальными паролями могут спать спокойно. Внимания он заслуживает разве что из-за своего относительно нового механизма распространения.

Источник: Slashdot теги: windows  |  обсудить  |  все отзывы (0)

Серьезная ошибка в LDAP-аутентификации в Mac OS X Lion
dl // 26.08.11 23:35
Apple сделала большущий подарок корпоративным пользователям своей последней OS, использующим LDAP-аутентификацию - Lion позволяет получать доступ к ресурсам с использованием любого пароля.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/08/13.html]
Пока не вполне понятен механизм (сама Apple еще не признала проблему) - похоже, что это происходит лишь при апгрейде на Lion с предыдущей версии системы.

Ошибка не была исправлена и в свежевышедшей версии 10.7.1 (хотя первая информация о ней появилась еще месяц назад), так что пока Lion представляет собой одну большую дыру в случае использования в сетях с LDAP-аутентификацией и наглядно демонстрирует, что Apple, мягко говоря, весьма поверхностно тестирует использование своей OS в корпоративном окружении.

Источник: The Register теги: apple  |  обсудить  |  все отзывы (0)

20 лет первому посту о Linux
dl // 25.08.11 20:57
25 августа 1991 года в 20:57:08 GMT некий студент из Хельсинки с адресом torvalds@kruuna.helsinki.fi отправил в конференцию comp.os.minix сообщение под заголовком "What would you like to see most in minix?", в котором рассказал, что пишет бесплатную операционную систему, свободную от кода minix (чисто хобби, не будет такой большой и профессиональной, как gnu), в которой уже вроде работают bash 1.08 и gcc 1.40, но нет переносимости, и вряд ли когда-нибудь она будет работать с чем-то помимо ATшных винчестеров.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/08/12.html]

P.S. Похоже, что оригинал этого сообщения исчерпал сегодня квоту трафика для linux.org.

Источник: Slashdot теги: linux  |  обсудить  |  все отзывы (0)

««    «   131  |  132  |  133  |  134  |  135  |  136  |  137  |  138  |  139  |  140   »    »»

Предложить свою новость