BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Apple исправила DNS, поздно и не полностью
dl // 02.08.08 11:23
Не прошло и месяца, как Apple присоединилась к производителям, закрывшим свои службы DNS от недавно обнаруженного cache poisoning.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/08/01.html]
Впрочем, по свидетельству специалистов nCircle и SANS Institute, Apple ограничилась исправлением серверов - полностью пропатченные Tiger и 10.4.11 и Leopard 10.5.4 по-прежнему оказались не в состоянии адекватно противостоять уязвимости. Пока неясно, из каких соображений было принято такое решение - то ли инженеры Apple посчитали, что для клиентских ОС это несущественно, то ли просто зевнули ошибку.

Источник: The Register
теги: apple, dns, уязвимости | обсудить | все отзывы (0)

Массовое исправление DNS-серверов
dl // 09.07.08 13:30
Вчерашнее исправление DNS-службы в Windows оказалось первой ласточкой в координированном выпуске исправлений DNS от разных производителей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/07/03.html]
Аналогичные обновления уже вышли для Bind и продуктов Cisco и Sun.

Обновления исправляют уязвимости класса "отравление кэша" (cache poisoning), которые могут привести к подмене записей в DNS-серверах для последующей атаки на их клиентов.

Уязвимости были обнаружены несколько месяцев назад Дэном Камински, который предпочел сообщить о них производителям, что и сделало возможным совместный массовый выпуск исправлений. Для проверки, уязвим ли ваш DNS, можно воспользоваться этим сайтом. Детали уязвимости обещано обнародовать на августовской BlackHat-конференции.

Источник: ZDNet
теги: dns, cisco, sun, windows, уязвимости | обсудить | все отзывы (3)

Июльские обновления от MS
dl // 08.07.08 22:44
На сей раз всего четыре важных - повышение привилегий в SQL Server и Outlook Web Access for Exchange Server, удаленное исполнение кода в Windows Explorer, возможный спуфинг из-за уязвимостей в DNS.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/07/02.html]

Кроме того, выпущено предупреждение по поводу возможного удаленного исполнения кода в Microsoft Office Snapshot Viewer ActiveX, входящего в состав Office 2000, Office XP и Office 2003. Исправление пока отсутствует, пользователям предлагается на выбор несколько вариантов блокировки уязвимости.

Источник: MS Security Bulletin Summary, MS Security Advisory
теги: microsoft, patch, outlook, activex, windows, server, xp, уязвимости | обсудить | все отзывы (0)

800 уязвимостей в антивирусных продуктах
dl // 08.07.08 01:42
По словам специалистов из компании n.runs AG, насчитавших за последние месяцы около 800 уязвимостей в популярных антивирусных продуктах, это тот самый случай, когда охранник превращается в шпиона.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/07/01.html]

Согласно проведенным тестам, буквально каждый антивирус, представленный на рынке, подвержен нескольким критичным уязвимостям, позволяющим реализовать с их помощью как простые DoS-атаки, так и внедрение деструктивного кода в защищаемые системы. Усилия n.runs были сконцентрированы на процедурах разбора различных форматов, в которых было обнаружено множество ошибок, связанных с ложными допущениями (видимо, в основном из-за излишнего доверия к значениям, занесенным в критичные поля заголовков).

Источник: ZDNet
теги: dos | обсудить | все отзывы (1)

MS выпустила средства борьбы с SQL injection
dl // 25.06.08 22:24
Выпущенные во вторник инструменты включают бета-версию URLScan 3.0 и Microsoft Source Code Analyzer for SQL Injection (MSCASI), доступный в качестве Community Technology Preview.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2008/06/13.html]
Кроме того, в тот же день HP выпустила средство обнаружения SQL-инъекций Scrawlr, разработанное совместно HP Web Security Research Group и Microsoft. Предполагается совместное использование всех трех инструментов, поскольку все они рассматривают проблему SQL injection с разных точек зрения: MSCASI анализирует исходный код ASP, UrlScan позволяет блокировать подозрительный HTTP-запросы, содержащие нечто, похожее на SQL-код, и Scrawlr является анализатором, прощупывающим сайт извне без доступа к исходному коду веб-приложений.

Источник: InfoWorld
теги: microsoft | обсудить | все отзывы (3)

«« « 211 | 212 | 213 | 214 | 215 | 216 | 217 | 218 | 219 | 220 » »»

Предложить свою новость