SQL-injection в Drupal
dl // 15.10.14 21:49
Команда разработчиков популярной CMS Drupal 7 сообщает о критичной уязвимости в движке, позволяющей анонимному пользователю осуществить внедрение sql-кода, что далее может привести к эскалации привилегий, выполнению произвольного php-кода и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/10/12.html]
Выпущена исправленная версия 7.32, для более ранних версий доступен патч. Случаев использования этой уязвимости на момент анонса замечено не было, но все может быстро поменяться, так что счастливым пользователям Drupal имеет смысл немедленно озаботиться обновлением.

Источник: ZDNet теги: sql injection  |  обсудить  |  все отзывы (0)

Уязвимость в SSL 3.0
dl // 15.10.14 10:56
Специалисты из Google опубликовали сегодня детали атаки на шифры, используемые в режиме CBC, в SSL 3.0.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/10/11.html]
Атака получила название POODLE, ее успешное использование значительно проще, чем у BEAST. Причины ее успеха восходят к тому факту, что в SSL/TLS аутентификация происходит до шифрования.

Google планирует исключить поддержку SSL 3.0 из своих клиентских продуктов. В Firefox он будет заблокирован начиная с 34 версии.

Источник: Google Online Security Blog теги: ssl  |  обсудить  |  все отзывы (0)

Октябрьские обновления от MS
dl // 15.10.14 01:52
8 обновлений, закрывающих 24 уязвимости, 3 критичных, 5 важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/10/10.html]
Критичные: кумулятивное обновление IE (на которое традиционно приходится большая часть исправлений), удаленное исполнение кода в .NET Framework, очередное удаленное исполнение кода в драйверах уровня ядра, связанное с обработкой шрифтов. Важные: обход системы безопасности в ASP.NET MVC, удаленное исполнение кода в Windows OLE (тот самый SandWorm), удаленное исполнение кода в Microsoft Word и офисных веб-приложениях, эскалация привилегий в Message Queuing Service и в драйвере для дисковых разделов с FAT32.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Продуманная оптимизация
dl // 14.10.14 22:25
Команда конференции разработчиков высоконагруженных систем HighLoad++ подготовила перевод книги "Mature Optimization" Карлоса Буэно (Carlos Bueno) – члена команды Facebook по повышению производительности.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/10/09.html]

"Поспешная оптимизация является корнем всех зол" - так говорят все гуру, начиная с Дональда Кнута. "Продуманная оптимизация" является попыткой ответа на вопрос, какая оптимизация все же не является поспешной, и как вообще правильно оптимизировать.

В книге рассматриваются такие вопросы серверной оптимизации веб-проектов, как:

1. Где, как и когда проводить серверную оптимизацию?
2. Что оптимизировать и как выделить узкое место в программе?
3. Как правильно мониторить, какие метрики собирать и как их анализировать?
4. Каковы особенности мониторинга веб-систем?
5. Как выбрать инструментарий мониторинга веб-проектов;
6. Как правильно визуализировать данные мониторинга?
7. Как строить цепи обратной связи?
8. Как перейди от мониторинга к диагностике?
9. Как правильно оптимизировать найденные узкие места?
10. Каковы основные принципы оптимизации?
11. Как избежать фатального "необходимо все переписать с нуля"?

Первые восемь глав перевода уже доступны в онлайне, о выходе следующих интересующиеся будут извещены по почте.

Источник: Продуманная оптимизация теги: конференции  |  обсудить  |  все отзывы (0)

Песчаный червь атакует Windows
dl // 14.10.14 12:38
Исследовательская компания iSight анонсировала очередную уязвимость нулевого дня под кодовым именем SandWorm, приводяющую к удаленному исполнению кода в OLE package manager.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/10/08.html]
Подвержены как десктопные, так и серверные версии Windows, начиная с Vista и Server 2008. По словам iSight, уязвимость была обнаружена в процессе анализа фишерской атаки злобных русских хакеров из Tsar Team на украинские и американские организации.

Название SandWorm уязвимость получила из-за найденных в коде эксплоита отсылок на роман Фрэнка Герберта "Дюна".

Источник: The Register теги: windows  |  обсудить  |  все отзывы (0)

««    «   71  |  72  |  73  |  74  |  75  |  76  |  77  |  78  |  79  |  80   »    »»

Предложить свою новость