The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

27.09.2018 Результаты аудита обновлённого генератора псевдослучайных чисел OpenSSL 1.1.1 (4 +21)
  Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал результаты аудита обновлённого генератора псевдослучайных чисел, предложенного в ветке OpenSSL 1.1.1. Аудит выявил 10 проблем, негативно влияющих на качество случайных чисел, безопасность и производительность. Так как аудит проводился скоординировано с разработчиками OpenSSL, проблемы были устранены на этапе разработки и исправления вошли в финальный релиз.
26.09.2018 Опубликован эксплоит для уязвимости в подсистеме vmacache ядра Linux (27 +11)
  Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали детали эксплуатации уязвимости (CVE-2018-17182) в подсистеме vmacache ядра Linux, о которой сообщалось на прошлой неделе. Продемонстрирован процесс создания рабочего эксплоита при наличии возможности обращения к уже освобождённому блоку памяти (use-after-free), вызванной отсутствием проверки переполнения 32-разрядного номера последовательности в vmacache...
26.09.2018 Локальная root-уязвимость в ядре Linux (49 +31)
  Компания Qualys раскрыла информацию об уязвимости (CVE-2018-14634) в ядре Linux. Проблема вызвана целочисленным переполнением в функции create_elf_tables() и проявляется на 64-разрядных системах, имеющих более 32 Гб ОЗУ. Локальный атакующий может эксплуатировать уязвимость через исполняемый файл с флагом SUID root для получения полноценных root-привилегий в системе...
22.09.2018 Зафиксирована массовая атака на сайты с необновлённым движком WordPress (61 +5)
  В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему...
20.09.2018 Критическая уязвимость в Bitcoin Core (82 +10)
  Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt (дополнение: при подготовке исправления в ветках 0.15 и 0.16 всплыла критическая инфляционная уязвимость, которая может привести к двойной трате средств). Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные...
20.09.2018 Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации (61 +18)
  В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации...
20.09.2018 Уязвимость в ядре Linux, потенциально позволяющая поднять привилегии (22 +10)
  В подсистеме vmacache ядра Linux обнаружена уязвимость (CVE-2018-17182), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присутствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча (дополнение: исправления включены в свежие выпуски 4.18.9 и 4.14.71). Обновления пакетов для дистрибутивов ещё не сформированы (Debian, Ubuntu, RHEL, SUSE, Fedora), но уже доступно в стабильном репозитории Arch Linux...
14.09.2018 Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux (25 +17)
  Исследователь безопасности Max Justicz, известный выявлением уязвимостей в репозиториях Packagist, NPM и RubyGems, опубликовал информацию о новой критической уязвимости в пакетном менеджере APK, применяемом в дистрибутиве Alpine Linux (используется по умолчанию для контейнеров Docker). Уязвимость несколько дней назад уже устранена в APK, а проект Alpine Linux выпустил обновление 3.8.1, в который включено данное исправление...
14.09.2018 Компрометация репозиториев дополнений к Kodi привела к распространению вредоносного кода (42 +10)
  Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющим майнинг криптовалюты...
14.09.2018 В Ghostscript 9.25 продолжено исправление опасных уязвимостей (3 +8)
  Доступен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.25, в котором продолжено исправление уязвимостей. После публикации выпуска Ghostscript 9.24, в котором были устранены критические уязвимости, исследователи безопасности пришли к выводу, что реализованный метод блокирования уязвимостей не охватывает все возможные векторы атаки. В частности, выявлено три новых варианта (CVE-2018-16802) эксплуатации уязвимости CVE-2018-15909, позволяющих через манипуляцию с инструкцией "pipe" в PostScript-файле добиться исполнения кода атакующего...
12.09.2018 Ошибка настройки MongoDB привела к утечке 445 млн email-адресов клиентов компании Veeam (71 +13)
  Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил наличие в открытом доступе базы данных компании Veeam, специализирующейся на системах мониторинга и резервного копирования виртуальных окружений. Из-за ошибки в конфигурации СУБД MongoDB, размещённой в облачном хостинге Amazon, в интернет без аутентификации оказалась выставлена база данных, включающая более 445 млн записей...
10.09.2018 Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x (46 +18)
  Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension...
06.09.2018 В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей (88 +30)
  В официальном Chrome-дополнении MEGA, предоставляющем доступ к облачному хранилищу mega.nz и установленном у 1.6 млн пользователей, выявлен вредоносный код, осуществляющий накопление и передачу сведений об учётных записях и связанных с ними паролях. Перехват паролей выполнялся для избранных сайтов, среди которых сервисы Google, Facebook, Amazon, GitHub и Microsoft Live/OneDrive, а также разнообразные web-кошельки и интерфейсы для работы с криптовалютой, включая MyEtherWallet, MyMonero и idex.market...
04.09.2018 Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика (151 +14)
  Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847,...
04.09.2018 Выпуск Ghostscript 9.24 с исправлением уязвимостей, эксплуатируемых через ImageMagick, Evince и Nautilus (8 +17)
  Компания Artifex Software выпустила релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.24. Ghostscript позволяет обрабатывать как язык Postscript, так и документы PDF, переводить их в растровые форматы для показа на экране или для вывода на печать на принтерах без поддержки Postscript. Код проекта распространяется под лицензией AGPLv3, а содержимое каталога CMap по специальной лицензии Adobe...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor