Конкурс на поиск уязвимостей в Одноклассниках
dl // 22.07.13 11:00
Социальная сеть Одноклассники, проект Mail.Ru Group, объявляет о начале конкурса "Нация тестирует!"

С 9 августа 2013 года по 19 августа 2013 года организаторы конкурса будут награждать пользователей за каждую найденную серьезную уязвимость в безопасности сайта Одноклассники - совершать действия от имени пользователя, загружать/удалять контент, не имея на это соответствующих прав и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/09.html]

Чем серьезнее уязвимость удастся найти, тем значительнее будет награда. При нахождении одинаковой ошибки вознаграждение получат первые три сообщивших о ней пользователя.

В конкурсе участвуют только два сайта: www.odnoklassniki.ru и m.odnoklassniki.ru. Никакие другие ресурсы Одноклассников в конкурсную программу не входят.

Информация о найденных уязвимостях должна быть выслана на адрес bugfound@odnoklassniki.ru, желательно с подробным описанием, достаточным для проверки и воспроизведения уязвимости.

Источник: Одноклассники обсудить  |  все отзывы (2)

Очередная уязвимость Java открывает дверь атакам десятилетней давности
dl // 20.07.13 00:20
Польский исследователь Адам Говдяк (Thursday) в четверг известил Oracle об очередной уязвимости, обнаруженной в Java 7 Reflection API, которая вполне работоспособна как в Java SE 7 Update 25, так и в более ранних версиях.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/08.html]
Уязвимость позволяет выполнить произвольный код в результате обмана контроля типов, одного из базовых компонентов системы безопасности Java. Подобные атаки, использующие некорректное приведение типов для обхода ограничений песочницы, были характерны для конца 90-х (собственно, даже не 10, а все 15 лет назад).

Источник: InfoWorld теги: java, retro  |  обсудить  |  все отзывы (0)

HighLoad++ 2013
dl // 19.07.13 14:58
28 и 29 октября в Москве в конференц-центре отеля Рэдиссон САС Славянская состоится седьмая ежегодная профессиональная конференция разработчиков высоконагруженных систем HighLoad++.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/07.html]
Цель конференции - профессиональный рост каждого из ее участников, приобретение практических знаний в различных сферах проектирования, разработки, тестирования, администрирования и поддержки высоконагруженных и сложных систем, а также установление новых полезных связей и контактов.

В течение нескольких последних лет на конференции подробно изучали все, что можно назвать стандартом в разработке сложных веб-проектов. Такие слова как трехзвенная архитектура, горизонтальное масштабирование, репликация, шардинг, nginx и memcached знакомы уже многим веб-разработчикам.

В этом году HighLoad++ становится серьёзным комплексом мероприятий для всех целевых аудиторий. Предваряет конференцию учебный день для новичков. Это будет однодневная лекция 27 октября, на которой будет представлен алгоритм проектирования архитектуры высоконагруженной системы. Участники смогут структурировать свои представления о инструментах, которые используются в highload-индустрии и попрактиковаться, спроектировав небольшой Фейсбук.

28 и 29 октября состоится привычная конференция разработчиков высоконагруженных систем. Два дня, полторы тысячи участников, два или три параллельных потока. Обсуждение новых архитектур, концепций и подходов в построении крупных проектов, основные темы - архитектуры, базы данных и системы хранения, менеджмент, системное администрирование, тестирование и смежные области.

Наконец, 30 октября пройдет VIP-день конференции HighLoad++ - это место встречи практиков, серия мастер-классов, на которых признанные специалисты поделятся деталями использования тех или иных инструментов. VIP-день предназначен для тех, кто уже работает в сфере высоких нагрузок, но сталкивается с сложными задачами или проблемами.

Для учебного дня и двух дней основной конференции запланирована онлайн-трансляция.

Источник: HighLoad++ 2013 теги: конференции  |  обсудить  |  все отзывы (8)

Квартальный патч от Oracle
dl // 17.07.13 19:14
Oracle выпустила очередной квартальный патч, содержащий 89 обновлений.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/06.html]
18 из исправленных уязвимостей относится к MySQL, включая две, используемых удаленно. 16 относится к Sun Solaris, половина из которых может быть использована удаленно. У Oracle Database соответствующий счет 8:1; наконец, у Fusion Middleware 21:16 (быстрая проверка обнаружила полмиллиона доступных хостов с Oracle HTTP server, использующих Fusion Middleware).

Итого за прошедшую половину 2013 года Oracle уже исправила 343 уязвимости в своих продуктах.

Источник: The Register теги: oracle, patch  |  обсудить  |  все отзывы (0)

HP признала существование бэкдоров в двух линейках своих продуктов
dl // 13.07.13 17:19
HP признала существование недокументированных бэкдоров в StoreOnce D2D Backup и StoreVirtual Storage, обеспечивающих администраторский доступ к управляющей системе.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/05.html]

В случае StoreOnce достаточно залогиниться по SSH пользователем HPSupport и паролем с SHA1 78a7ecf065324604540ad3c41c3bb8fe1d084c50 (искомый пароль даже не надо подбирать, все уже гуглится на ура). Уязвимость существует по крайней мере с 2009 года, затронуты версии вплоть до 2.2.17 и 1.2.17. Исправленные версии 2.2.18 и 1.2.18 уже вышли, в версиях 3.х такого пользователя не было изначально.

В линейке StoreVirtual затронуты устройства с LeftHand OS версий вплоть до 10.5. По словам HP, тут для обеспечения поддержки пользователей используется механизм одноразовых паролей, но все-таки к 17 июля обещано исправление, позволяющее эту поддержку отключить. Кроме того, HP уверяет, что этот механизм не позволяет получить доступ к пользовательским данным, хотя его вполне достаточно для перезагрузки узлов кластера и эффективного удаления всех данных путем сброса установок на стандартные.

Источник: InfoWorld теги: hp  |  обсудить  |  все отзывы (2)

««    «   81  |  82  |  83  |  84  |  85  |  86  |  87  |  88  |  89  |  90   »    »»

Предложить свою новость