Двадцатилетняя уязвимость в bash
dl // 25.09.14 02:45
Вышли срочные патчи для RHEL, Fedora, CentOS, Ubuntu, Debian (другие производители на подходе), устраняющие существующую десятки лет уязвимость в популярнейшей командной оболочке bash.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/09/05.html]
Уязвимость позволяет выполнить любую команду путем внедрения bash-кода в специально сформированные переменные окружения (фактически туда просто кладется код функции, которая выполняется сразу при запуске интерпретатора).

Эту уязвимость, уже получившую название Shellshock, по возможным последствиям сравнивают с Heartbleed - с учетом того, сколько времени она существует и какое количество софта затрагивает. Затронуты версии GNU Bash с 1.14 (июль 1994) по 4.3, под раздачу попал практически любой юникс, от RedHat и FreeBSD до Mac OS и линуксов, встроенных в домашние роутеры.

Потенциально уязвима любая система, позволяющая в том или ином виде запустить снаружи нечто, работающее с командной оболочкой. Например, любой существующий bash-скрипт, запускающийся из-под апача, или простой вызов system/popen в C, некоторые варианты развертывания Git и Subversion, предоставляющие пользователям возможность выполнения команд, любые веб-оболочки (в тех же роутерах, например), использующие шелл для выполнения команд и т.п. Рвануть может практически где угодно.

Источник: NVD, RedHat Security Blog теги: unix, retro  |  обсудить  |  все отзывы (1)

TrueCrypt, возможно, обретет новую жизнь
dl // 20.09.14 02:06
Знамя, внезапно брошенное анонимными авторами TrueCrypt, вскоре было подхвачено создателями готовящегося к выходу форка, сначала получившего название TCnext и позднее переименованного в CipherShed.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/09/04.html]
Согласно первоначальной лицензии TrueCrypt, создание форков возможно при удалении из кода всех упоминаний TrueCrypt и смене названия готовой программы.

Основными достоинствами своего проекта авторы считают его честный открытый код (до сих пор, насколько я помню, собранный из открытых исходников TrueCrypt отличался от готового продукта) и свою неанонимность. Пока на сайте раздается лишь последняя необрезанная версия TrueCrypt 7.1a, обещается скорый выход альфа-версии, которая фактически будет представлять собой TrueCrypt с вычищенными упоминаниями TrueCrypt и чуть подчищенным кодом.

Инициатор проекта со сложновоспроизводимым именем Jos Doekbrijder рассказал о безуспешной попытке привлечь к участию авторов исходного TrueCrypt, которые в итоге попросили их больше не беспокоить. Один из них еще раньше заявлял, что не видит смысла в подобных форках - они и сами уже давно собирались полностью переписать программу, а уж если запускать новый продукт, то дешевле написать его с нуля, чем разбираться в существующем многолетнем коде.

Источник: eSecurity Planet теги: crypto  |  обсудить  |  все отзывы (1)

10-летняя уязвимость в FreeBSD
dl // 17.09.14 19:33
Не прошло и десяти лет с тех пор, как в Windows и NetBSD закрыли обнаруженную 10 лет и один месяц назад уязвимость в стеке tcp/ip, позволяющую сбросить tcp-соединение - и у разработчиков FreeBSD добрались руки до ее исправления.

Источник: FreeBSD Security Advisory теги: freebsd, retro  |  обсудить  |  все отзывы (0)

Сентябрьские обновления от MS
dl // 09.09.14 21:49
Всего 4 обновления, закрывающих аж 42 уязвимости, большая часть из которых приходится на критичное кумулятивное обновление IE.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/09/02.html]
Оставшиеся устраняют DoS на ASP.NET, эскалацию привилегий в Windows Task Scheduler и DoS на Microsoft Lync Server.

Источник: Microsoft Security Bulletin Summary теги: microsoft, ie, patch  |  обсудить  |  все отзывы (0)

Взлом почты создателя bitcoin
dl // 09.09.14 17:56
Неизвестные взломщики получили доступ к почтовому ящику satoshin@gmx.com, который использовался человеком (или группой людей), называющим себя Сатоши Накамото и считающимся создателем bitcoin.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/09/01.html]
Одним из первых следствий этого стала правка сайта проекта на SourceForge (архивы с кодами тронуты пока не были).

Источник: Slashdot теги: leak, bitcoin  |  обсудить  |  все отзывы (0)

««    «   71  |  72  |  73  |  74  |  75  |  76  |  77  |  78  |  79  |  80   »    »»

Предложить свою новость