BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Взлом Adobe оказался на порядок крупнее
dl // 29.10.13 17:23
В первые дни после случившегося в начале месяца взлома Adobe сообщалось о компрометации почти трех миллионов пользовательских аккаунтов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/08.html]
Реальность оказалась еще суровее - теперь Adobe подтвердила, что речь идет уже о 38 миллионах аккаунтов активных пользователей и неизвестно о каком количестве неактивных.

Источник: cnet
теги: adobe, leak | обсудить | все отзывы (0)

35 тысяч взломанных vBulletin
dl // 16.10.13 19:44
В конце августа автор vBulletin опубликовал предупреждение о возможности легкого взлома версий 4.x и 5.x этого популярного форума.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/07.html]
С тех пор по оценке Imperva эта уязвимость была успешно использована более 35 тысяч раз. Уязвимость легко обнаруживается, автоматизированные средства получения администраторского доступа разбежались по сети.

Все, что нужно для предотвращения атаки - удалить каталоги /install и /core/install, оставшиеся после установки.

Источник: Krebs on Security
теги: уязвимости | обсудить | все отзывы (0)

Крупный квартальный патч от Oracle
dl // 16.10.13 18:33
Вслед за сменой номеров патчей Java Oracle сделала действительно полезный шаг и привязала выходы обновлений Java к своим традиционным ежеквартальным патчам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/06.html]

В результате этого склеивания получился очередной мегапатч, включающий 127 исправлений, причем к Java относится аж 51, и почти все они клиентские.

Источник: Oracle Critical Patch Update Advisory
теги: oracle, patch, java | обсудить | все отзывы (0)

HighLoad++ 2013: программа конференции
dl // 16.10.13 01:01
Cедьмая профессиональная конференция для разработчиков высоконагруженных систем HighLoad++ начнет свою работу в Москве уже через две недели, и формирование ее программы вышло на финишную прямую.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/05.html]
Ожидается полторы тысячи участников, три потока, пятьдесят докладчиков из Яндекса, Badoo, Facebook, Одноклассников, Twitter, Mail.ru, Мамбы, 2ГИС, Microsoft, Skype и многих других лидеров разработки России и всего мира.

Константин Осипов расскажет про современные алгоритмы хранения данных на диске: LevelDB, TokuDB, LMDB, Sophia; а Alvaro Videla - про внутреннюю архитектуру RabbitMQ. AdRiver раскроет тему о хранении и обработке 60 тысяч событий в секунду, а Одноклассники - об обработке миллиардов записей в статистике этой социальной сети. James Golick прочитает доклад про детали выделения памяти, Алексей Рагозин - про алгоритмы сборки мусора без пауз, Алексей Салов (2ГИС) про кеширование высоконагруженного сервиса.

Поиск представлен уникальной технологией мультитерабайтного Sphinx-кластера, 2ГИС рассказывает про вертикальный поиск, а Mail.ru про организацию их собственного полнотекстового поискового движка. Яндекс раскроет тему обратной совместимости, Skype - детали используемого этой компаний стека технологий для построения собственных веб-сайтов, а Facebook - принципы правильно организованной оптимизации производительности.

Александр Крижановский научит обрабатывать миллионы пакетов в секунду с одного ядра CPU, Максим Лапшин - отдавать видео на скорости 10 гигабит в секунду с одной машины, а Кирилл Гаврилюк (Microsoft) раскроет тему одновременной доставки персонализованных мобильных уведомлений миллионам пользователей iOS, Android, Windows и Windows Phone.

Также в программе сравнение производительности NoSQL баз данных, распределённых файловых систем, тестирование производительности DNS-серверов, расчёт аппаратной нагрузки highload-проектов, вопросы безопасности, блок докладов про правильную организацию API и доклад о том, что нового в nginx. Ожидается доклад о разработке самого крупного проекта будущего года - Сочи 2014.

Завсегдатаи нашего форума могут увидеть знакомое лицо - Леонида Юрьева с докладом о многоцелевой терабитной DPI-платформе (доклад еще находится на рассмотрении программного комитета).

Каждый участник конференции получит книгу и диски с материалами по высоконагруженным системам.

Источник: HighLoad++ 2013
теги: конференции | обсудить | все отзывы (5)

Ослабленная криптография в Android SSL
dl // 15.10.13 02:02
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/04.html]

Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.

Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.

Источник: op-co.de blog
теги: android, retro | обсудить | все отзывы (0)

«« « 81 | 82 | 83 | 84 | 85 | 86 | 87 | 88 | 89 | 90 » »»

Предложить свою новость