Переполнение буфера в Firefly Media Server23-04-2008 Средства безопасности связи
Программа: Firefly Media Server 0.x
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки вычисления в функции "ws_getpostvars()" в src/webserver.c. Атакующий может передать специально сформированный POST запрос, содержащий отрицательное значение "Content-Length", что приведет к выполнению произвольного кода. Переполнение буфера в Clam AntiVirus16-04-2008 Средства безопасности связи
Программа: Clam AntiVirus (clamav) 0.x
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функции "cli_scanpe()" в libclamav/pe.c. Атакующий может передать специально сформированный исполняемый файл "Upack", что приведет к выполнению произвольного кода.
Обход ограничений безопасности в CcMail15-04-2008 Средства безопасности связи
Программа: CcMail 1.0.1
Уязвимость позволяет удаленному злоумышленнику обойти ограничения безопасности на целевой системе. Уязвимость существует из-за того, что CcMail не правильно обрабатывает cookie. Атакующий может установить произвольное значение cookie и получить доступ к секции admin.
Эксплоит Нарушение конфиденциальности информации в LightNEasy12-04-2008 Средства безопасности связи
Программа: LightNEasy 1.2
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных сценарием LightNEasy/lightneasy.php. Атакующий может получить хэши паролей, содержащиеся на целевой системе.
Эксплоит Множественные SQL-инъекции в Koobi10-04-2008 Средства безопасности связи
Программа:
Koobi 4.4/5.4
Koobi Pro 6.25
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметре «img_id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
index.php?p=gallerypic&img_id=-1+union+select+0,1,2, concat(email,0x3a,pass),4,5,6,7,8... США хотят создать систему раннего предупреждения кибератак10-04-2008 Средства безопасности связи
Глава министерства внутренней безопасности США Майкл Чертофф, выступая на конференции RSA 2008, поделился некоторой информацией о новых инициативах, направленных на защиту правительственных компьютерных систем.
Уак сообщает Associated Press со ссылкой на заявления Чертоффа, Соединенные Штаты рассматривают возможность разработки системы раннего предупреждения кибератак. Теоретически такой комплекс должен будет выдавать предупреждение о готовящемся хакерском нападении еще до того, как это нападе... Анонсирована Open Source-реализация PowerShell10-04-2008 Средства безопасности связи
Игорь Мучник представил в своем блоге проект по созданию межплатформенной Open Source-реализации PowerShell - командной оболочки Microsoft Windows. Новый проект получил название Pash (комбинация слов "Powershell" и "bash").
Цель Pash - создание мощного окружения командной строки для различных операционных систем и предоставление движка скриптового языка для "обогащенных" приложений. Среди платформ, для которых создается Pash, - GNU/Linux, Solaris, Mac, Windows (вкл... SQL-инъекция в Software Index08-04-2008 Средства безопасности связи
Программа: MyBB Plugin Custom Pages 1.0
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «page» сценарием pages.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://[target]/pages.php?page=union/**/select/**/1,unhex(hex(concat_ws(0x202d20, username,password... PHP-инклюдинг в DaZPHP04-04-2008 Средства безопасности связи
Программа: DaZPHP 0.1
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных в параметре «prefixdir» сценарием makepost.php. Удаленный
пользователь может выполнить произвольный PHP сценарий на целевой системе с
привилегиями Web сервера. Успешное эксплуатирование уязвимости требует включение
опции "register_globals" в конфигурационном файле PHP.
Эксплоит:
http://... Информзащита объявила о выходе новой услуги Мы молимся о Вашей безопасности02-04-2008 Средства безопасности связи
Компания «Информзащита» объявила о выходе новой услуги «Мы молимся о Вашей безопасности». Эта услуга разработана в рамках стратегии компании, принятой в 2007 году и направленной на увеличение доли сервиса в общей выручке компании.
В рамках оказания этой услуги специальная группа подготовленных и получивших посвящение сотрудников компании может отслужить молебен или провести специальный ритуал, направленный на защиту информационной системы клиента от внешнего и внутреннего воздействия. Данная ус... Повышение привилегий в Nik Sharpener Pro01-04-2008 Средства безопасности связи
Программа: Nik Sharpener Pro 2.x
Уязвимость позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в установке прав доступа на устанавливаемые плагины. Атакующий может заменить плагины злонамеренными файлами, что приведет к выполнению произвольного кода с повышенными привилегиями.
Нарушение конфиденциальности информации в Apache Tomcat29-03-2008 Средства безопасности связи
Программа: Apache Tomcat 5.5.17
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации на целевой системе. Уязвимость существует из-за того, что конфигурация SSL по умолчанию разрешает использование небезопасных наборов шифиров, в том числе анонимного набора шифров. Атакующий может получить несанкционированный доступ к конфиденциальной информации на целевой системе.
9 из 10 популярных сайтов имеют уязвимости27-03-2008 Средства безопасности связи
По сообщению White Hat Security, 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.
ИБ-специалисты из White Hat Security отмечают, что, несмотря на развитие индустрии защиты данных от атак, владельцы сайтов часто не думают о защите своих ресурсов, несмотря на то, что они несут убытки от взломов сайтов и утечек данных клиентов. Самой распространенной уязвимостью оказалась XSS (Cross-Site Scrip... Microsoft Singularity: первый шаг в будущее25-03-2008 Средства безопасности связи
Введение
Многие уже наслышаны о супер мега проекте от Microsoft - новой операционной системе Singularity. Microsoft решила с нуля попробовать написать ОСь используя "безопасное программирование", которое на корню будет пресекать баги различного рода. Для этого решили использовать "безопасные" языки программирования C#, Sing#, ну и кое-где си и ассемблер. Так вот, совсем недавно были открыты исходники первых наработок этой операционной системы и в этой статье я расскажу как м... Множественные уязвимости в Gallarific22-03-2008 Средства безопасности связи
Программа: Gallarific 1.x
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS атаку, обойти ограничения безопасности и выполнить произвольный SQL код на целевой системе.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметре "query" сценарием search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Атакующий может выполнить произвольный сценарий в ... Безопасность США обеспечивают китайские программисты22-03-2008 Средства безопасности связи
Специалисты из Университета Акрон совместно с коллегами из Американского Университета провели исследование, согласно которому, большинство программ, предназначенных для вооруженных сил и силовых структур США, компании-производители заказывают за границей, в частности, в Китае.
По данным исследования, из 137 американских компаний, выполняющих подряды Пентагона, Агентства Национальной Безопасности и Министерства Национальной Безопасности США, больше половины заказывают разработку программных прод... Microsoft покупает разработчика средств безопасности Komoku22-03-2008 Средства безопасности связи
Корпорация Microsoft заключила сделку по приобретению молодой компании Komoku, базирующейся в Мэриленде.
Фирма Komoku была основана в 2004 году и получала финансирование от различных правительственных организаций, в том числе от Агентства передовых оборонных исследований США (DARPA), Министерства национальной безопасности США и американского военно-морского флота. Komoku специализируется на разработке аппаратных и программных инструментов защиты от руткитов - специализированных средств, призва... Множественные уязвимости в Belkin Wireless G Router20-03-2008 Средства безопасности связи
Программа: Belkin Wireless G Router
Найденные уязвимости позволяют удаленному злоумышленнику осуществить DoS атаку и обойти ограничения безопасности на целевой системе.
1) Уязвимость возникает из-за ошибки в реализации сессий аутентификации. Атакующий может установить сессию с предварительно прошедшего аутентификацию IP адреса, что позволит ему получить доступ к панели управления маршрутизатора.
2) Уязвимость возникает из-за ошибки в установлении полномочий в cgi-bin/setup_dns.exe. Атакующий ... В Японии выпустили туалетную бумагу с описанием достоинств Vista SP118-03-2008 Средства безопасности связи
Японский компьютерный универсам T-ZONE PC в субботу, 15 марта, начал продажу туалетной бумаги с описанием достоинств Windows Vista Ultimate SP1.
Как уточняет японское издание Akiba, туалетная бумага является одним из промо-товаров для покупателей Windows Vista. Windows Vista вышла свыше года назад. За это время Microsoft успела продать 100 миллионов лицензий операционной системы. Первый крупный патч к ОС, так называемый Service Pack 1 должен появиться в системе Windows Update в течение марта. ... CeBIT 2008: матери от MSI на чипсете P4507-03-2008 Средства безопасности связи
Смена мэйнстримового хита Intel P35 на P45 повлекла за собой выход целой лавины материнок на новом чипсете. Отличилась и MSI, представившая новую линейку плат – как обычно, модельный ряд варьируется от простейшей версии P45 Neo до топовой Diamond с тремя графическими портами и 13-ю (!) SATA разъемами. Благодаря новому чипсету платы поддерживают PCI Express 2.0 и до 16 Гб памяти.
