IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Безопасность (http://www.imho.ws/forumdisplay.php?f=19)
-   -   Новости с "рынка" сетевой безопасности (http://www.imho.ws/showthread.php?t=39414)

ShooTer 23.09.2003 16:32

Новости с "рынка" сетевой безопасности
 
Все кто нашел интерессные новости о сетевой безопасности,могут поместить в етот Топ. Никакого ФЛЕЙМА и ФЛУДА - наказывать будем строго.

ShooTer 24.09.2003 14:35

MS планирует выпустить XP security rollup
Несмотря на то, что Microsoft предполагала проводить все системные обновления исключительно через сайт Windows Update, сейчас появились сведения об активной подготовке кумулятивного обновления, включающего все ранее вышедшие патчи (в количестве 22). Выход ожидается 24 сентября, обновление будет доступно как для систем с установленным первым сервис паком, так и для систем без него.

Вполне разумное решение, поскольку настоящий обвал патчей, которых сейчас необходимо установить для безопасной работы системы, в сочетании с ранее анонсированным переносом выхода второго сервис пака на середину 2004 года, грозил превратить работу по поддержке XP в сущий кошмар.

Источник: BetaNews

Добавлено через 2 часа и 33 минуты:
Очередной червяк заразил уже полтора миллиона машин

Вот уже несколько дней по сети ползет очередной червяк - Swen, он же Gibe, он же w32.swen@mm. Червь демонстрирует довольно высокую степень приспосабливаемости - распространяется через почту, irc, обменные сети, модифицирует текст и заголовок почтовых сообщений. В самом письме, кстати, рассказывается, что это самый-самый последний патч от Microsoft, который надо срочно поставить. Ну и до кучи после заражения обращается к счетчику на некоем веб-сайте, накрутив к данному моменту уже полтора миллиона сообщений.


Источник: TechNewsWorld

Добавлено через 1 минуту:
Уязвимость в ProFTPD

На последней неделе наблюдается некий обвал обнаруженных дырок в популярных юниксовых службах. OpenSSH, LSH, sendmail, и вот теперь ProFTPD. Уязвимость обнаружена в компоненте, отвечающем за обработку входящих соединений в ASCII-режиме (разумеется, у атакующего должно хватить прав для заливки файлов на сервер). Некорректная обработка символов перевода строки может привести к переполнению буфера со всеми вытекающими последствиями.

Источник: Internet Security Systems Security Advisory

ShooTer 25.09.2003 14:01

IBM и General Electric создали систему тотальной безопасности локальных сетей

Компании IBM и General Electric объявили о создании комбинированной системы контроля безопасности корпоративных компьютерных сетей. По информации агентства Associated Press, новый проект предусматривает совместное использование локальных сетей с системой общего наблюдения, установленной в здании.

Воспользовавшись разработкой IBM и General Electric, клиенты смогут значительно повысить степень безопасности локальных сетей. Например, если оператор системы общего наблюдения видит, что сотрудник компании покинул рабочее место на долгое время, его компьютер становится недоступным для других лиц. Доступ к сети будет запрещен даже в том случае, если постороннему пользователю будут известны логин и пароль отсутствующего в здании человека.

Система также откажется впустить сотрудника в здание в случае, если в другом здании компании уже работает компьютер с его учетной записью. В IBM и General Electric полагают, что новый продукт окажет компаниям хорошую услугу в деле борьбы с кражей паролей и электронных пропусков.

Некоторые компании уже пытались внедрить системы, подобные разработке IBM и General Electric. Однако на широкой коммерческой основе такой продукт появляется впервые.

Игорь Громов
Источник:

Информационное агентство - Associated Press

ShooTer 11.10.2003 00:25

Доступ к Microsoft Windows Server 2003 Shell Folders через символы обхода каталога
 
Недостаток обнаружен в Microsoft Windows Server 2003. Удаленный пользователь может сослаться на различные файлы относительно "Shell Folders" на целевой системе. Эта проблема может облегчить эксплуатацию других уязвимостей.

Удаленный пользователь может сконструировать HTML, который может сослаться на различные "shell folders" на системе используя '..\' символы обхода каталога в комбинации с 'shell:' URL. Удаленный пользователь не должен знать или предполагать имя учетной записи целевого пользователя, чтобы получить доступ к этим директориям.

Shell папки включают стандартные каталоги Windows, типа "My Documents", "Recent", "Start Menu", "Temporary Internet Files" и другие.

Способов устранения обнаруженной уязвимости не существует в настоящее время. Согласно сообщению, исправление будет включено в следующий пакет исправлений для Microsoft Windows Server 2003.

ShooTer 11.10.2003 00:28

Опубликован очередной список самых опасных программ
 
Список Top 20 Vulnerabilities, публикуемый институтом SysAdmin Audit Network Security (SANS), впервые был подготовлен три года назад совместно с Центром защиты национальной инфраструктуры ФБР. Он состоит из двух частей: десятки самых опасных пробелов в защите операционной системы и ПО Microsoft и десятки наиболее опасных пробелов в защите Unix-систем. «Первый список содержит набор сетевых уязвимостей, чаще всего используемых хакерами для проникновения в системы, — говорится в заявлении директора SANS Institute по исследованиям Алана Паллера. — Они должны устраняться системными администраторами как можно скорее». В каждом из описаний 20 уязвимостей предлагаются способы минимизации рисков, относящиеся к данному конкретному программному продукту.

Самой уязвимой из Windows-систем SANS считает Internet Information Service (IIS). В прошлом году Microsoft выпустила предупреждения о полудюжине с лишним пробелов в защите веб-сервера IIS. В мае компания предупредила заказчиков сразу о четырех ошибках в этом ПО, а в ноябре специалисты сообщили софтверному гиганту о новых уязвимостях веб-сервера. Червь Code Red, широко распространившийся в июле и августе 2001 года, использовал для проникновения в инфицируемые машины веб-серверы Microsoft.

Среди Unix-систем наиболее проблематичной программой названа система управления именами доменов (DNS) Berkeley Internet Name Domain (BIND). Она широко применяется для управления базами данных, в которых имена доменов ставятся в соответствие числовым адресам. В прошлом году было обнаружено несколько ошибок в ПО BIND. В марте организация Internet Software Consortium выпустила новую, исправленную версию программы, а в ноябре специалисты нашли новую, неустраненную ошибку.

В числе других наиболее уязвимых Windows-систем фигурируют СУБД Microsoft SQL Server, которую использовал червь Slammer, и сервисы дистанционного доступа Windows, такие как реализация Microsoft стандарта вызова удаленных процедур (RPC), — ошибкой в этой программе воспользовался для самораспространения червь MSBlast.

В число наиболее уязвимых Unix-программ тоже вошла соответствующая реализация сервиса RPC, а еще незащищенные инсталляции веб-сервера Apache.

Самые опасные уязвимости в Windows системах :
  • Internet Information Services (IIS)
  • Microsoft SQL Server (MSSQL)
  • Windows Authentication
  • Internet Explorer (IE)
  • Windows Remote Access Services
  • Microsoft Data Access Components (MDAC)
  • Windows Scripting Host (WSH)
  • Microsoft Outlook Outlook Express
  • Windows Peer to Peer File Sharing (P2P)
  • Simple Network Management Protocol
    (SNMP)

ShooTer 17.10.2003 08:20

Microsoft повышает безопасность ХР
 
Во вторник на конференции Citrix iForum во Флориде вице-президент Microsoft по контенту Ричард Каплан, отвечающий за веб-сайты Microsoft.com и Windows Update Web, сказал, что сервисный пакет Windows XP SP2 будет готов к концу этого года. Первоначально его планировалось выпустить в этом году, но затем срок выпуска был перенесен на 2004 год.

Каплан признал, что с безопасностью у Microsoft «не все в порядке», но заявил, что положение улучшается. Сейчас безопасность — наивысший приоритет для Microsoft, и это должен продемонстрировать SP2, в который войдет усиленная защита памяти, понижающая уязвимость операционной системы к ошибкам переполнения буфера. «Один из главных способов проникновения червей в систему — так называемые ошибки переполнения буфера. Новая технология позволит нам исключить возможность устанавливать код в Windows, используя переполнение буфера», — сказал он.

В SP2 будет по умолчанию включен встроенный межсетевой экран Windows ХР и улучшен механизм управления скриптами ActiveX: «Автоматически загружаются незнакомые и ненужные вам элементы ActiveX — мы значительно упростим контроль над этим процессом».

Каплан сказал также, что Microsoft будет выпускать поправки, за исключением крайних случаев, только раз в месяц. «Вы будете устанавливать патчи не по нашему графику, а по своему», — пообещал он.

Источник: ZDNET

ShooTer 19.10.2003 14:22

Пакет патчей Update Rollup 1 для Windows XP
 
Компания Microsoft выпустила новый пакет обновлений для операционной системы Windows XP. Новый пакет получил наименование Update Rollup 1, и является сборником критических заплаток, выпущенных Microsoft после выхода Service Pack 1.

В этом отношении Update Rollup 1 уступает сервис-пакам, которые помимо критических исправлений обычно несут в себе более широкий спектр изменений, в частности, поддержку новых компьютерных технологий. Тем не менее, Update Rollup может оказаться полезен тем пользователям, которым не хочется скачивать и устанавливать патчи по одному.

Скачать исправление можно отсюда:

Update Rollup 1 for Microsoft Windows XP (KB826939)

Патч содержит следующие исправления:

MS03-027: An Unchecked Buffer in the Windows Shell Could Permit Your System to Be Compromised

MS03-013: Buffer Overrun in Windows Kernel Message Handling Could Lead to Elevated Privileges

MS02-071: Flaw in Windows WM_TIMER Message Handling Can Enable Privilege Elevation

MS03-026: Buffer Overrun in RPC May Allow Code Execution

MS03-010: Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks

MS02-055: Unchecked Buffer in Windows Help Facility May Allow Attacker to Run Code

MS03-005: Unchecked Buffer in Windows Redirector May Permit Privilege Elevation

MS03-007: Unchecked Buffer in Windows Component May Cause Web Server Compromise

MS02-050: Certificate Validation Flaw Might Permit Identity Spoofing

MS02-070: Flaw in SMB Signing May Permit Group Policy to Be Modified

MS03-024: Buffer Overrun in Windows Could Lead to Data Corruption

MS03-001: Unchecked Buffer in the Locator Service Might Permit Code to Run

MS03-023: Buffer Overrun in the HTML Converter Could Allow Code Execution

MS02-054: Unchecked Buffer in File Decompression Functions May Allow Attacker to Run Code

MS02-072: Unchecked Buffer in Windows Shell Might Permit System Compromise

MS02-063: Unchecked Buffer in PPTP Implementation May Permit Denial-of-Service Attacks

MS03-039: A Buffer Overrun in RPCSS May Allow Code Execution

ShooTer 29.10.2003 20:08

В Москве задержан 17-летний хакер
 
В Москве за неправомерный доступ в компьютерную сеть Интернет задержан 17-летний хакер. Об этом РИА "Новости" во вторник сообщил представитель пресс-службы Управления "К" МВД России, которое занимается расследованием преступлений в сфере высоких технологий.

"Молодой человек, проживающий в Москве на улице Верхняя Масловка, был задержан во время оперативно-профилактической операции "Сеть-2003", - сказал собеседник агентства. По его словам, этот гражданин в течение длительного времени неоднократно осуществлял неправомерный доступ в сеть Интернет.

"Используя вредоносные программы для ЭВМ, он незаконно копировал реквизиты доступа в сеть Интернет, тем самым принес материальный ущерб фирме-провайдеру и пользователям сети на сумму около 300 тыс рублей", - пояснил представитель пресс-службы. В отношении задержанного возбуждено уголовное дело по трем статьям Уголовного кодекса, добавил он.

По данным МВД, количество компьютерных преступлений ежегодно возрастает в три - три с половиной раза.

Источник: РИА "Новости"

ShooTer 05.11.2003 00:45

Стали известны подробности о новой файловой системе в SQL Server Yukon
 
Главной темой для обсуждения при представлении на конференции Microsoft Professional Developers новой версии реляционной базы данных SQL Server Yukon стала новая файловая система WinFS. По словам представителей компании, WinFS вобрала в себя все самое лучшее за 15 лет развития продукта SQL Server. Как отметил Гордон Манджионе (Gordon Mangione), вице-президент подразделения Microsoft SQL Server, платформа для хранения данных WinFS в новой версии Windows Longhorn, вместе с SQL Server Yukon позволит каталогизировать информацию различными способами и связывать один информационный элемент с другим.

Наследование информации от одного объекта к другому сквозь все приложения, работающие в операционной среде, является ключевым моментом для модели данных WinFS. При этом в Microsoft считают, что при 70-процентном годовом росте дискового объема уже через несколько лет станут доступны 500-гигабайтные накопители, а компьютерные системы будут состоять из нескольких таких дисков. Поиск среди миллионов файлов на дисках большого размера является одной из причин, почему в WinFS реализована концепция совместного использования данных, относящихся к общей информации, во множестве приложений от различных поставщиков. По словам разработчиков, способность Longhorn синхронизировать систему WinFS со внешними источниками данных дают возможность построения так называемых «синхронизирующих адаптеров», позволяющих связываться с другими системами и синхронизировать данные еще глубже, с тем типом, который используется для хранения информации в файловой системе Windows. При этом кроме существующих нескольких ключевых схем, например, для файлов мультимедиа или документов, можно создавать и предоставлять для общего использования схемы собственных типов данных.

В Yukon будет доступна такая возможность, как Common Language Runtime (CLR), позволяющее размещать в механизме БД и затем предлагать разработчикам выбор из нескольких языков для построения приложений. Как отмечают представители компании, обогащение новой версии SQL Server XML и веб-сервисами позволит разработчикам «увеличить гибкость, простоту интеграции внутренних и внешних систем, а также обеспечить более эффективную разработку и отладку приложений». Бета-версия новой редакции SQL Server выйдет в первой половине 2004 года.

Источник: itnewscom.au, cnews.ru

Обсуждение

savgust 03.03.2004 01:35

Множественные уязвимости в YaBB SE форуме

Программа: YaBB SE Version(s): 1.5.4, 1.5.5, 1.5.5b, и возможно другие версии

Опасность: Высокая

Наличие эксплоита: Да

Описание: Несколько уязвимостей обнаружено в YaBB SE. Удаленный авторизованный пользователь может получить информацию о системе и может удалять информацию и файлы на целевой системе.

Уязвимости обнаружены в 'ModifyMessage.php' файле.

1. SQL инъекция в '$msg' параметре.
2. SQL инъекция в параметре '$postid' в функции ModifyMessage2.


Решение:Неофициальное исправление можно скачать отсюда: http://www.elhacker.net/foro/attachm...1.5.5patch.rar
взято на www.securitylab.ru

savgust 07.03.2004 01:21

FreeBSD не свободна от ошибок
Компания iDefense обнаружила в ядре операционной системы FreeBSD ошибку, которая позволяет блокировать работу стека TCP/IP. Удаленный пользователь может послать пакеты для установления TCP-сеанса в неправильной последовательности и тем самым заблокировать все буфера, отводимые ОС для сетевых соединений. После этого система прекращает обработку новых соединений. Исправления для этой ошибки уже разработаны - их нужно скачать с сайта FreeBSD.
osp.ru

Shanker 05.04.2004 17:18

Открылась база данных уязвимостей open-source
Проект Open Source Vulnerability Database (OSVDB) открыл бесплатный вэб-хостинг с каталогом всех уязвимостей в ПО, относящемся к интернету.

Создатели базы данных уверяют, что она будет стимулировать более открытое сотрудничество между компаниями и отдельными программистами «и сократит расходы, связанные с поиском и устранением уязвимостей в базах данных собственными силами».

Существуют разнообразные списки рассылки, информирующие администраторов и разработчиков о вновь обнаруженных уязвимостях, однако группа OSVDB, образованная в 2002 году, утверждает, что ее сайт впервые собрал всю эту информацию в едином ресурсе с возможностью поиска и сделал ее свободно доступной в вебе.

В заявлении представителя OSVDB говорится, что с 1995 года число пробелов в защите программного обеспечения увеличилось более чем на 2000%: «Отслеживание этих уязвимостей и средств для их устранения критически важно для всех, кто защищает сетевые системы от случайных злоупотреблений и систематических атак, начиная с домашних пользователей и малых предприятий и заканчивая транснациональными корпорациями».

Ричард Штернз, директор по экстренному реагированию на инциденты компании Cable & Wireless, приветствует появление ресурса, так как тот поможет администраторам держать под контролем растущее число угроз: «Администраторам приходится следить более чем за десятком веб-сайтов и списков рассылки, и из-за этого даже компаниям среднего размера приходится приглашать высоко квалифицированного сотрудника, ответственного за информацию о вновь обнаруженных уязвимостях».

В том же году, когда была создана группа OSVDB, антивирусная компания Symantec приобрела фирму SecurityFocus, издающую список почтовой рассылки BugTraq, который предоставляет аналогичную услугу своим подписчикам, а через несколько дней выкладывает информацию в веб для всех пользователей.

Ссылка

Добавлено через 13 минут:
Эпидемия MSBlast оказалась гораздо обширнее, чем предполагалось
Новые данные Microsoft указывают на то, что с августа прошлого года червем MSBlast, или Blaster, было заражено по крайней мере 8 млн Windows-компьютеров — во много раз больше, чем считалось до сих пор.

Эти данные получены благодаря способности софтверного гиганта наблюдать за использованием онлайнового инструмента, который его инженеры создали для очистки зараженных червем систем. С момента выпуска этого инструмента в январе червь MSBlast был обнаружен более чем в 16 млн систем, подключенных к службе Microsoft Windows Update. Всем их пользователям было предложено установить патч и воспользоваться дезинфицирующим средством. За тот же период за патчем, профилактическим средством и специальным инструментом для извлечения червя в службу Update действительно обратились около 8 млн систем.

Microsoft считает, что общее число зараженных червем пользователей близко к верхней цифре 16 млн, тогда как цифра 8 млн служит надежным показателем нижней границы уровня пораженных систем. Верхнее число может включать системы, учтенные более одного раза, так как занятые пользователи не сразу начинали бороться с червем или прерывали процесс после его начала и возвращались на Windows Update позднее. Microsoft не определяет, какие именно системы обратились за инструментом, а только фиксирует факт его использования.

«В конце прошлого года мы получали сообщения от заказчиков, которые все еще наблюдали симптомы заражения Blaster, — говорит менеджер программы безопасности Microsoft Security Response Center Стивен Тулуз. — Наши партнеры-ISP тоже фиксировали в своих сетях интенсивный трафик Blaster».

Эпидемия оказалась такой сильной, что компания срочно поручила нескольким группам программистов создать промежуточное обновление Service Pack 2 для укрепления защиты Windows ХР, приостановив работу над следующей версией операционной системы. Более того, жалобы, не прекращавшиеся несколько месяцев, вынудили Microsoft дополнить Windows Update специальным онлайновым инструментом для обнаружения и устранения червя MSBlast. Этот инструмент стал для Microsoft источником бесценной информации, позволяющей измерять степень опасности подобных интернет-червей.

Размеры эпидемии уже значительно превзошли оценки исследователей, которые следят за червем с момента его появления 11 августа. Обычно они пытаются оценить масштабы распространения червя, собирая данные, записанные сетевыми устройствами, такими как межсетевые экраны и системы обнаружения проникновений. Собирая информацию от таких устройств, можно подсчитать число интернет-адресов, из которых пытается распространяться червь.

Большинство организаций по интернет-безопасности было уверено, что MSBlast заразил максимум полмиллиона систем. «Я не сомневаюсь в новых данных», – говорит Йоханнес Уллрих, главный технолог компании Internet Storm Center, которая собирает логи брандмауэров, присылаемые тысячами добровольцев, и с их помощью определяет степень опасности угроз, поджидающих пользователей интернета. На основании этих данных Internet Storm Center пришел к выводу, что MSBlast заразил от 200 до 500 тыс. компьютеров.

Еще один наблюдатель, компания Symantec, имеет соглашения с владельцами примерно 20 тыс. сетевых устройств об использовании для анализа их журналов регистрации событий. Компания обрабатывает эти данные, наблюдая за угрозами в интернете, и, хотя она прекратила подсчет MSBlast после того, как червь заразил свыше 40 тыс. компьютеров, по оценкам Symantec, могли быть поражены «пара сотен тысяч систем», сказал старший директор по техническому обеспечению компании Альфред Хьюгер. «Я удивлен данным Microsoft, — сказал он. — Однако я не могу с ними спорить; им виднее. Конечно, мы видим, что Blaster можно черпать лопатами».

Обследование 2000 компьютеров, выполненное Symantec, обнаружило, что в среднем система, подключенная к интернету, получает сетевой пакет от компьютера, зараженного червем MSBlast, каждую секунду. Столь интенсивное распространение — одна из причин, по которым Symantec ждала до февраля, пятого месяца с начала распространения MSBlast, чтобы понизить рейтинг степени угрозы с трех до двух баллов по своей пятибалльной шкале.

Значительный разрыв между предыдущими оценками и последними данными ставит под вопрос способность интернет-исследователей точно измерять степень распространения компьютерных червей. Уллрих из Internet Storm Center отмечает, что оценки, основанные на сетевых датчиках, учитывают только данные за пределами брандмауэра. Многие компании блокируют данные, используемые червем MSBlast для своего распространения. Более того, многие интернет-сервис-провайдеры тоже блокируют эти данные, что еще больше занижает число зараженных систем в интернете.

«Конечно, часть из них мы упускаем, — говорит Уллрих. — Самое большое несоответствие может иметь место в крупных корпоративных сетях».

Тулуз из Microsoft уверен в точности данных софтверного гиганта. Windows Update устраняет уязвимость, позволяющую MSBlast распространяться, но до января этот сервис не удалял самого червя из зараженной системы. В результате многие пользователи были вынуждены обновлять свои систему уже после того, как червь благополучно заразил их компьютеры. Это и заставило Microsoft предложить инструмент для чистки этих Windows-систем. «Они были защищены от повторного заражения, но зараза в них уже сидела, — говорит он. — Средство даже не предлагалось пользователям, пока те не установили патч и мы не обнаружили на их компьютере Blaster».

В пятницу секьюрити-эксперты еще не были готовы целиком довериться новым данным. Им понадобится время, чтобы свыкнуться с новой реальностью, в которой единственный червь или вирус может угрожать миллионам компьютеров. «Это очень большое число», — сказал Хьюгер из Symantec.

Ссылка

Shanker 06.04.2004 14:21

Удаленное переполнение буфера в eMule

Программа: eMule 0.42d
Опасность: Высокая
Наличие эксплоита: Да

Описание: Уязвимость обнаружена в eMule в декодировании шестнадцатеричных строк. Удаленный пользователь может выполнить произвольный код на целевой системе.

Переполнение стекового буфера обнаружено в функции DecodeBase16(), вызываемой в коде Web сервера и в коде IRC клиента.

Удаленный пользователь, например, может послать специально обработанную IRC SENDLINK команду целевому пользователю, чтобы выполнить произвольный код на целевой системе.

URL производителя: http://www.emule-project.net/

Решение: Установите обновленную версию программы: http://www.emule-project.net/home/pe...=1&rm=download

_http://www.securitylab.ru/44314.html

Shanker 07.04.2004 01:24

Новая эра в компьютерной безопасности

Недавно появилась и пока находится в стадии бета тестирования новая технология защиты файловой системы от несанкционированного изменения для Windows NT, 2000, XP, 2003.

Усилиями группы трудолюбивых американцев из компании ShadowStor наконец создан продукт, который позволяет вам все: запускать трояны, вирусы, да все подряд, все программы с неизвестным происхождением - чем обычно люди и занимаются на своих компьютерах. У вас что-то стерли на диске, записалась программа, которая при запуске explorerа выводит рекламу? Что делать? Куда звонить? Ничего. Просто перезагрузись.
http://www.securitylab.ru/_Article_Images/2004/1.GIF

Незаметно из системы создания так называемых снапшотов, то есть статических образов дисков на лету выросла эта новая технология, которая позволяет операционной системе работать как бы на образе диска (снапшоте). То есть вы работаете на компьютере как обычно, но после перезагрузки диск выглядит совершенно чистым как при начально зафиксированной конфигурации. С точки зрения файловой системы – она монтируется не на реальном диске, а на образе (снапшоте) диска. То есть после загрузки операционной системы вы работаете и изменяете не сам диск, а его образ, который удаляется после перезагрузки. Отличительной особенностью данной системы является то, что образ нигде не хранится. Точнее хранится, но в незанятых данными секторах диска, что не замечает пользователь. Управляет всей переадресацией записи и чтения фильтр файловой системы. Поддерживаются все имеющиеся в Windows файловые системы. Заметьте, что тратить время на создание образа не нужно. Все делается мгновенно. Было ли такое раньше? В несколько иной форме: например для таких же критических ситуаций мною используется Norton Ghost. Вы грузитесь с дискеты, создаете образ диска (причем нужен другой том достаточного размера), а когда что-то произошло с системой – опять грузитесь с дискетки и восстанавливаете. Новая технология устраняет минусы Ghost: не нужно место для образа, не нужно грузиться с дискеты, можно спасти рабочие документы.

Что дает новая технология? Вам достаточно установить операционную систему, установить нужные программы и когда нужная конфигурация задана, и вам уже не нужно изменять операционную систему или другое программное обеспечение вы переводите выбранные диски в так называемый режим тени (Shadow Mode). В этом режиме операционная система работает точно также: файлы изменяются и удаляются. Что самое интересное и реестр правится и файлы конфигураций меняются, но все изменения происходят на снапшоте, а не на реальном диске. Реальный диск находится под непробиваемой защитой новой технологии. Все изменения на самом деле пишутся в свободные сектора диска и переадресовываются нужным образом программам, чтобы они думали, что работают с реальным диском. Когда что-то с операционной системой или просто нужно восстановить чистую конфигурацию: вы затерли ветку реестра, вы стерли нужный файл или даже вы заразились вирусом, то все что вам нужно сделать – это перезагрузиться и файловая система смонтируется на новом образе реального диске, который на самом деле не изменялся. Все будет в идеальном состоянии. Кроме того, вы сможете избавиться от накопленного за время работы мусора: cookies, файлов истории explorer, рекламного софта которые так и норовит прописаться в домашнюю страничку explorer.

Где это нужно?

- Интернет-кафе может успешно использовать эту технологию: для каждого нового клиента операционная система будет выглядеть чистой как новорожденный.
- Обучающие центры: опять же после каждой лабораторной работы – легко можно восстановить начальную конфигурацию – для этого нужно просто перегрузиться.
- Публичные библиотеки – теперь будут всегда без вирусов.
- Рабочие места сотрудников компаний – должны быть всегда без вирусов. На рабочих местах стоит остановиться подробно: рассматриваемый продукт конечно предполагает, что вы должны хранить где-то свои документы, которые вам бы не хотелось потерять после перезагрузки. И это продумано, вы указываете директории, в которой хранятся нужные файлы, и они будут автоматически сохранены на реальном диске. (Хотя конечно лучше хранить документы на файл-сервере, где стоит антивирусный софт.) Кроме того, можно указать имена нужных файлов при помощи маски. Например укажите *.doc и все ваши документы везде будут свежими, а не восстановленными из бекапа! Забыли указать директорию – тоже нет проблем, перед перезагрузкой вас спросят не хотите ли вы сохранить все изменения. Эта опция называется Global Commit – она позволит сохранить все изменения в следующую перезагрузку. Но на это уже потребуется время.
- Сервера, где важно время восстановления после краха. Например, время на восстановление сервера после хакерской атаки, в результате чего было изменено содержимое сайта равно времени одной перезагрузки. Если сервер при этом меняет данные – используется база данных, то тоже можно попробовать сделать теневой том, но при этом исключить из образа для восстановления директорию, где лежат сами данные – чтобы они были всегда актуальны в случает восстановления всего остального. На мой взгляд (и на взгляд авторов программы), еще одним из плюсов является уменьшение стоимости владения: уже сомнительной кажется необходимость антивирусного обеспечения и персонального межсетевого экрана, да и вообще уже не будет требовать постоянного обслуживания Windows: достаточно один раз и навсегда все установить. Так что советую зайти на сайт компании www.ShadowStor.com и попробовать. Пока это бесплатно.

Ссылка

Shanker 07.04.2004 17:48

Треть всех почтовых серверов в интернете уязвимы для атак
Сотрудники компании NGSSoftware, специализирующейся на вопросах компьютерной безопасности, утверждают, что примерно треть всех почтовых серверов в интернете уязвимы для хакерских атак. Причем для вывода такой машины из строя злоумышленнику достаточно просто отправить составленное особым образом сообщение.

Методика, описанная в журнале New Scientist, сводится к следующему. Известно, что многие почтовые серверы настроены таким образом, что письмо, посланное на несуществующий или ошибочный адрес, возвращается отправителю вместе со всеми вложениями. Именно это обстоятельство и играет ключевую роль в проведении атаки.

На первом этапе злоумышленнику необходимо составить список фальшивых адресов, которые затем вводятся в поле "Копия" отсылаемого сообщения. Далее нужно подделать обратный адрес таким образом, чтобы казалось, что письмо отправлено с компьютера-мишени. Наконец, внутрь письма можно вложить какой-нибудь файл размером, скажем, в один-два мегабайта. Нетрудно подсчитать, что если в поле "Копия" будут указаны тысяча поддельных адресов, жертва получит более гигабайта ничего не значащих данных, что может привести к выходу сервера из строя.

По словам представителей NGSSoftware, протестировавших сети компаний, входящих в список Fortune 500, около 30 процентов корпоративных компьютерных систем уязвимы для вышеописанного типа атаки. Причем удар можно нанести совершенно незаметно с какого-либо анонимного почтового сервера. Впрочем, защититься от нападения также не составляет особого труда: для этого нужно лишь внести соответствующие изменения в настройки серверного программного обеспечения.

Ссылка

Shanker 11.04.2004 21:38

Green Hills: русские шпионы подрывают безопасность Linux
Компания Green Hills, специализирующаяся на встраимаевых операционных системах реального времени, обвинила Linux в ее фундаментальной ненадежности и полной открытости в плане безопасности для "зарубежных сообразительных агентств и террористов".

Эти разрушительные заявления высказал на прошедшем в McLean форуме Net-Centric Operations Industry Forum Dan O'Dowd, глава Green Hills.

"Сейчас, когда зарубежные смышленые агентства и террористы знают о том, что Linux будет контролировать наши наиболее продвинутые системы защиты, они могут добавить ложные программные поправки в программное обеспечение", -- подчеркнул Dan.

"Если у Linux будет подорвана безопасность, то наша защита станет ненадежной, и за ней будут шпионить, -- отрезал O'Dowd. -- Ежедневно код в Linux добавляют в России, Китае и где угодно по всему миру. Ежедневно этот код вводится в использование нашими управляющими, связующими и вооруженными системами. Это нужно остановить.", сообщает nixp.ru

Ссылка

Shanker 11.04.2004 21:42

От секьюрити-инструмента больше вреда, чем пользы?
 
От секьюрити-инструмента больше вреда, чем пользы?
Проект Metasploit Project и его основатель Г.Д. Мур надеются изменить это мнение. В среду Metasploit Project выпустил обновленную структуру проектирования для инструмента Metasploit, который позволяет секьюрити-экспертам проверять подключенные к их сетям компьютеры и выявлять те из них, в которых есть неустраненные уязвимости. Новая структура, называемая Metasploit Framework 2.0, позволяет создавать стандартизованные плагины, помогающие легально проникать в компьютеры через вновь обнаруженные пробелы в защите. Уже существует 18 таких эксплойтов, способных решать 27 разных задач.

В общем случае инструмент может помочь администраторам находить и «патчить» системы с уязвимостями, не позволяя злоумышленникам нарушить защиту компании, утверждает Мур. «Это хороший аналитический инструмент», — заявил он, отметив, что около 30% бета-тестеров Metasploit — это консультанты по безопасности, отыскивающие пробелы в защите сетей своих клиентов. Другие компании активно используют инструмент для обнаружения уязвимостей в собственных приложениях. «Одна крупная софтверная фирма внедрила продукты Metasploit в свой процесс контроля качества».

Однако подобный инструмент может сослужить службу и злоумышленникам, автоматически обнаруживая уязвимые серверы и позволяя проникнуть в компьютер даже человеку со слабой технической подготовкой.

Недавний отчет аналитической фирмы Forrester показывает, что, после того как недобросовестные хакеры создают эксплойты, обычно наблюдается всплеск атак. Многие эксперты согласны с этим, утверждая, что подобные скрипты exploit-testing, автоматизирующие сложную техническую задачу использования уязвимости, плодят желающих побаловаться онлайновыми атаками.

«На десяток академиков и серьезных исследователей, которым это покажется интересным, найдется 10 тыс. недоумков, пудрящих друг другу виртуальные мозги, а отдуваться придется системным администраторам», — говорит директор по исследованиям консалтинговой секьюрити-фирмы Spire Security Питер Линдстром.

Однако предусмотрительным сисадминам Metasploit позволит играть на одном уровне с хакерами-злоумышленниками, отмечает Стивен Норткатт, директор по обучению и сертификации The SANS Institute, который преподает безопасность и сетевое администрирование. В частности, инструмент оберегает их от необходимости отдавать много времени кодированию. «Опасение, что инструмент будет использоваться с дурными намерениями, естественно. Но злоумышленники и так создают эксплойты, так что это ничего не изменит, — говорит он. — Это следующий логический шаг к созданию инкубаторов эксплойтов, так же, как инкубаторы вирусов стали шагом в развитии этой разновидности злонамеренного ПО».

Даже Мур соглашается, что продукты его компании облегчают эксплуатацию уязвимостей. Однако он настаивает на том, что инструмент станет неоценимым подспорьем для системных администраторов: им, чтобы получить необходимые корпоративные ресурсы на обновление своих систем, необходимо продемонстрировать, что их сети уязвимы. «Сегодня проблема в том, что многие организации не обновляют свои системы до появления действенного эксплойта, — говорит Мур. — Поэтому такие эксплойты не только полезны, но и необходимы для решения многих легитимных задач».

На самом деле компании уже создали аналогичные инструменты и программы, использующие подобные технологии. Две секьюрити-фирмы, Immunity и Core Security Technologies, предложили программу для организации сетевых атак, которая помогает консультантам, зарабатывающим себе на жизнь поиском уязвимых систем. А Hewlett-Packard в феврале анонсировала автоматизированный атакующий инструмент, который можно применять для создания доброкачественных эксплойтов, проверяющих цифровую иммунную систему сети.

Чтобы предотвратить его злонамеренное использование, Metasploit помещает в ПО подписи, помогающие производителям защитных секьюрити-продуктов обнаруживать атаки, вызванные этим инструментом. Мур отмечает также, что уже сейчас такой продукт можно приобрести у нескольких секьюрити-фирм. Однако он признает, что широкое распространение подобного ПО может кому-то усложнить жизнь.

«Если системный администратор занимается только тем, что патчит машины, ему, конечно, ни к чему никакие новые эксплойты, — говорит Мур. — Но это не означает, что проблемы не существует. Мы можем делать все что угодно, чтобы сдерживать выпуск эксплойтов — вплоть до запрета их в США — но они все равно будут появляться».

Ссылка

feronix 22.04.2004 19:17

Уязвимость в Symantec Norton Internet Security и Symantec Norton Personal Firewall позволяет удаленному атакующему получить полный контроль над уязвимой системой

Программа: Symantec Norton Internet Security 2004 и Symantec Norton Personal Firewall 2004

Опасность: Критическая

Наличие эксплоита: нет

Описание: Несколько уязвимостей обнаружено в Symantec Norton Internet Security и Symantec Norton Personal Firewall. Удаленный пользователь может вызвать условия отказа в обслуживании или выполнить произвольный код на целевой системе.

Как сообщает eEye Digital Security, уязвимость присутствует в конфигурации по умолчанию. Дополнительные подробности не раскрываются.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Взято отсюда

feronix 22.04.2004 19:26

Уязвимость в большинстве реализаций Tcp стека позволяет удаленному атакующему вызвать
 
Уязвимость в большинстве реализаций TCP стека позволяет удаленному атакующему вызвать отказ в обслуживании

Опасность: Критическая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в большинстве реализаций TCP стека. Удаленный пользователь может вызвать отказ в обслуживании, используя TCP reset нападение.

UK National Infrastructure Security Co-Ordination Centre (NISCC) сообщает, что несколько реализаций Transmission Control Protocol (TCP) уязвимы к нападению с использованием TCP RST флажка. Удаленный пользователь может преждевременно закончить TCP сеанс, тем самым, вызывая отказ в обслуживании.

Воздействие на приложение, которое использует TCP, зависит от механизмов, встроенных в приложение, которые обрабатывают преждевременное завершение TCP сеанса.

Согласно NISCC, одним из уязвимым приложением является Border Gateway Protocol (BGP), так как он использует постоянный TCP сеанс между парой BGP объектов. Преждевременное завершение TCP сеанса может заставить устройство реконструировать таблицу маршрутизации, что может привести к “колебанию маршрута” ("route flapping"). В случае BGP, уязвимость можно смягчить, используя TCP MD5 сигнатуры и меры антиспуфинга.

Могут быть уязвимы другие приложения, типа Domain Name System (DNS) и (Secure Sockets Layer) приложений, но с меньшей степенью опасности.

Удаленный пользователь может послать TCP пакет с установленным RST (reset) флажком (или SYN флажком) с поддельным IP адресом источника и адресата и TCP портами, чтобы оборвать TCP сессию. Обычно, вероятность подбора правильного “sequence number” равна 1 из 2^32. Однако в действительности, удаленный пользователь может предположить соответствующий “sequence number” с наиболее большей вероятностью, потому что большинство TCP выполнений примут любой “sequence number” в пределах некоторого диапазона, заданного величиной окна. Как сообщается, правильный “sequence number” может быть подобран менее чем за 4 попытки.

На сегодняшний день уязвимы следующие производители:
  1. Cray Inc. UNICOS, UNICOS/mk и UNICOS/mp системы.
  2. Check Point в последних версиях for VPN-1/FireWall-1 (R55 HFA-03)
  3. Internet Initiative Japan, Inc (IIJ)
  4. InterNiche NicheStack и NicheLite
  5. Juniper Networks
  6. Большинство продуктов от CISCO, включая IOS и не IOS устройства.

Решение: Установите соответствующее исправление от производителя уязвимых программ.

Взято отсюда

feronix 22.04.2004 19:30

Подробности
 
Подробности эксплуатации уязвимости в TCP протоколе будут обнародованы завтра

Обнаруженная вчера уязвимость в TCP протоколе заставила интернет-сообщество принимать срочные меры для поддержания работоспособности всех основных протоколов Всемирной паутины.

Уязвимость, теоретически, может использоваться с целью вывода из строя определенных узлов Всемирной сети путем организации на них DoS-атаки. Кроме того, возможно повреждение данных, отключение маршрутизаторов и т.д. Причем ошибка в ТСР может быть задействована одновременно с дырой в распространенном протоколе маршрутизации BGP (Border Gateway Protocol). В этом случае отрезанными от WWW могут оказаться целые сегменты Сети.

Как уже сообщалось , атакам подвержены продукты различных разработчиков и производителей, в том числе, таких компаний, как Certicom, Check Point, Cisco Systems, Cray и Juniper Networks. Патчи в настоящее время выпущены лишь для части уязвимого оборудования. Более подробную информацию о дыре можно найти на официальном сайте NISCC.

Обсуждение проблемы дыры в TCP состоится в четверг на конференции по интернет-безопасности в Ванкувере.

Пол Ватсон утверждает, что хакеры будут знать, как воспользоваться уязвимостью, ровно через 5 минут после окончания конференции. Сразу после этого интернет подвергнется невиданной ранее атаке.

Взято отсюда

Пол Уотсон: слухи о скорой гибели Сети несколько преувеличены
Пол Уотсон, еще в прошлом году обнаруживший брешь в протоколе TCP, позволяющую злоумышленникам выводить из строя целые сегменты интернета, считает появившиеся вчера публикации в прессе, в которых предсказывается скорая гибель Сети, «истерическими».

Дело в том, пишет CNET, цитирующая слова Уотсона, что ошибка в протоколе TCP была обнаружена достаточно давно, чтобы разработчики успели разобраться в ее сути и подготовить соответствующие заплатки. В ходе последних двух недель ведущие провайдеры всего мира в обстановке строжайшей секретности провели работы по установке новых версий программного обеспечения на маршрутизаторы, отвечающие за управление сетевым трафиком, и сейчас находятся вне опасности. Информация об ошибке была разглашена только после того, как ошибка была ликвидирована, а «штормовое предупреждение» было выпущено Национальным центром координации инфраструктурной безопасности лишь для того, чтобы привлечь внимание особо безалаберных администраторов.

Разумеется, если бы индустрия и дальше продолжала игнорировать проблему, то безответственные хакеры действительно могли бы устроить настоящий хаос в глобальном масштабе, однако на сегодняшний день, по мнению Уотсона, «реальная угроза для сети минимальна». Под угрозой все еще находятся сети мелких провайдеров и маршрутизаторы, не успевших обновить программное обеспечение, но даже если они и подвергнутся атаке, им потребуется всего несколько дней, чтобы оправиться от удара. Как известно, компания Cisco Systems, лидирующая на этом рынке, уже выпустила свежий вариант программного обеспечения, закрывающего найденную брешь в протоколе, а другие крупные компании, вроде Juniper Networks, Hitachi и NEC, в настоящее время «разбираются в сути вопроса».

В принципе, никаких разъяснений и не потребовалось бы, если бы отдельные товарищи внимательно читали первоисточники, обращая внимание на согласование времен.

Взято отсюда

feronix 22.04.2004 19:39

Удаленный отказ в обслуживании в Cisco SNMP в некоторых версиях CISCO IOS
 
Удаленный отказ в обслуживании в Cisco SNMP в некоторых версиях CISCO IOS

Программа: Cisco Internetwork Operating System (IOS) 12.0S, 12.1E, 12.2, 12.2S, 12.3, 12.3B, и 12.3T.

Опасность: Средняя

Наличие эксплоита: нет

Описание: Уязвимость обнаружена в нескольких релизах Cisco Internetwork Operating System (IOS) в обработке SNMP запросов. Удаленный пользователь может перезагрузить устройство.

Удаленный пользователь может послать специально обработанные SNMP запросы, чтобы перезагрузить целевое устройство. Уязвимы только некоторые версии IOS на CISCO маршрутизаторах и коммутаторах. Уязвимы 161 и 162 порт, а также случайный порт между 49152 и 59152.

Чтобы эксплуатировать уязвимость через SNMPv1 и SNMPv2c, пользователь должен быть авторизован (используя SNMP community strings). Для эксплуатации через SNMPv3 авторизация не требуется. По умолчанию, устройство поддерживает операции с SNMP 1,2с и 3 версией.

Решение: Cisco опубликовал обновленную версию для 12.0S, 12.1E, 12.2, 12.2S, 12.3, 12.3B, и 12.3T. Подробнее: http://www.cisco.com/warp/public/707...420-snmp.shtml

Взято отсюда

feronix 22.04.2004 19:45

Удаленный отказ в обслуживании в Serv-U FTP server в обработке LIST '-l:' параметра
 
Удаленный отказ в обслуживании в Serv-U FTP server в обработке LIST '-l:' параметра

Программа: Serv-U FTP Server 5.0.0.4 и более ранние версии

Опасность: Средняя

Описание: Переполнение буфера обнаружено в Serv-U FTP server в обработке LIST '-l:' параметра. Удаленный авторизованный пользователь может аварийно завершить работу FTP сервера.

Удаленный авторизованный пользователь, включая анонимного пользователя, может представить специально обработанное значение для 'LIST -l:' команды, длиною около 134 байта, чтобы вызвать ошибку доступа к памяти и аварийно завершить работу FTP сервера.

Решение: Установите обновленную версию программы (5.0.0.6): http://www.serv-u.com/customer/record.asp?prod=su

Взято отсюда

feronix 29.04.2004 04:31

Доступ к целевой системе пользователя в McAfee VirusScan
 
Доступ к целевой системе пользователя в McAfee VirusScan

Программа: McAfee VirusScan

Опасность: Высокая

Наличие эксплоита: ДА

Описание: Уязвимость обнаружена в McAfee VirusScan. Удаленный пользователь может получить доступ к целевой системе пользователя.

Программа устанавливает несколько небезопасных ActiveX компонентов. Удаленный пользователь может сконструировать HTML, который, когда будет загружен целевым пользователем, вызовет уязвимое ActiveX управление и получит доступ к системе целевого пользователя.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

ВЗЯТО отсюда

feronix 29.04.2004 04:34

Удаленное переполнение буфера в Apache Web сервере на старых процессорах
 
Удаленное переполнение буфера в Apache Web сервере на старых процессорах

Программа: Apache Web Server 1.3.29 и более ранние версии на процессорах со старой архитектурой

Опасность: Высокая

Наличие эксплоита: ДА

Описание: Переполнение буфера обнаружено в Apache Web сервере, когда он запущен на не 32 битных процессорах. Удаленный пользователь может выполнить произвольный код.

Уязвимость обнаружена в ebcdic2ascii() функции в 'src/ap/ap_ebcdi.c', где 64 байтовое значение копируется в переменную, которая имеет неправильный размер на некоторых процессорах, со старой архитектурой. Согласно сообщению, уязвимая функция вызывается несколькими модулями, включая mod_auth, mod_auth3, и mod_auth4.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

ВЗЯТО отсюда

feronix 29.04.2004 04:38

Переполнение буфера в Microsoft Internet Explorer и Microsoft Windows Explorer в обра
 
Переполнение буфера в Microsoft Internet Explorer и Microsoft Windows Explorer в обработке имен сетевых ресурсов

Программа: Microsoft Internet Explorer, Microsoft Windows Explorer

Опасность: КРИТИЧЕСКАЯ

Наличие эксплоита: ДА

Описание: Уязвимость обнаружена в Microsoft Windows Explorer и в Microsoft Internet Explorer. Удаленный пользователь, контролирующий общедоступный сетевой ресурс (network share), может аварийно завершить работу или выполнить произвольный код на системе целевого пользователя, подключившегося к сетевому ресурсу.

Удаленный пользователь, контролирующий SMB шару, может установить специально обработанное значение имени шары, чтобы, когда целевой пользователь попытается подключиться к SMB шаре, аварийно завершить работу Microsoft Windows Explorer или Microsoft Internet Explorer или выполнить произвольный код. <> Согласно сообщению, Microsoft устранил эту уязвимость в Windows XP SP1 и Windows 2000 SP4 в начале 2002 года, как описано в Microsoft KB article 322857:

http://support.microsoft.com/default...b;en-us;322857

Однако уязвимость до сих пор не устранена.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

ВЗЯТО отсюда

feronix 06.05.2004 02:35

Apple преуменьшает опасность уязвимостей в собственном ПО
 
Компанию Apple критикуют за недооценку уязвимостей, обнаруживаемых в программном обеспечении, производимом этой компании. Как сообщает Cnet News, заплатка, решающая проблемы с пятью уязвимостями, выпущенная компанией в понедельник, содержит некорректную информацию о существующих проблемах.

Например, наиболее опасная дыра в системе безопасности, которую латает выпущенный патч, позволяет удаленному взломщику получить полный контроль над системой. Уязвимость связана с ошибкой переполнения буфера и довольно опасна, но в документации Apple соответствующий патч записан как "заплатка, улучшающая обработку длинных паролей".

Представитель исследовательской компании @Stake, специализирующейся на цифровой безопасности, Крис Вайсопал, заявил, что компания Apple не раскрывает точную информацию об уязвимости. А из-за этого пользователи могут решить, что заплатка необязательна для установки и отказаться от обновления системы, подвергая себя опасности. "Им кажется, что все будут обновлять операционную систему постоянно, но на самом деле этого не происходит", - отметил представитель @Stake.

Это уже не первый случай подобной критики в сторону Apple. Недавно компания eEye Digital Security отметила, что Apple не раскрывает реальную информацию об обнаруженных уязвимостях. Уязвимость, обнаруженная eEye, может привести к запуску программного кода при попытке проигрывания измененного видеофайла в плеере QuickTime для Mac OS X. В Apple заявили, что уязвимость только приводит к сбою в работе плеера и закрытию программы.

Взято отсюда

feronix 10.05.2004 01:46

Несколько удаленных переполнений буфера в Exim

Программа: Exim 3.35, 4.32

Опасность: КРИТИЧЕСКАЯ

Наличие эксплоита: ДА

Описание: Два переполнения буфера обнаружено в Exim. Удаленный пользователь может выполнить произвольный код на целевой системе.

Два стековых переполнения буфера обнаружены в exim. Одно переполнение происходит в 'accept.c' в случаях, когда установлен параметр 'headers_check_syntax' в 'exim.conf'. Второе переполнение происходит в 'verify.c' в случаях, когда установлен параметр 'require verify = header_syntax'. Обе уязвимости могут использоваться для удаленного выполнения произвольного кода.

Также сообщается, что версия 3.35 содержит переполнение буфера в 'verify.c' в случаях, когда установлен параметр the 'sender_verify = true'. [CVE: CAN-2004-0399].

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время. Неофициальное исправление можно посмотреть здесь: http://www.guninski.com/exim1.html

Взято отсюда

feronix 10.05.2004 01:49

Удаленное переполнение буфера в Microsoft Internet Explorer

Программа: Microsoft Internet Explorer

Опасность: высокая

Наличие эксплоита: нет

Описание: Уязвимость обнаружена в Microsoft Internet Explorer. Удаленный пользователь может сконструировать HTMl, который вызовет переполнение буфера.

Удаленный пользователь может сконструировать HTML код, содержащий специально сформированные сonLoad и window.location редиректы, которые вызывают 'file://' URL с произвольным именем диска в шестнадцатеричном формате, чтобы заставить IE перезаписать ECX, EDX, и EDI регистры данными, представленными пользователем.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Вязто отсюда

feronix 13.05.2004 20:50

Несколько уязвимостей в различных продуктах Symantec в 'SYMDNS.SYS' драйвере

Программа: Symantec Norton Internet Security 2002, Symantec Norton Internet Security 2003, Symantec Norton Internet Security 2004, Symantec Norton Internet Security Professional 2002, Symantec Norton Internet Security Professional 2003, Symantec Norton Internet Security Professional 2004, Symantec Norton Personal Firewall 2002, Symantec Norton Personal Firewall 2003, Symantec Norton Personal Firewall 2004, Symantec Client Firewall 5.01, 5.1.1, Symantec Client Security 1.0, 1.1, 2.0(SCF 7.1), Symantec Norton AntiSpam 2004

Опасность: Критическая

Описание: Несколько уязвимостей обнаружено в различных продуктах Symantec в 'SYMDNS.SYS' драйвере . Удаленный пользователь может вызвать условия отказа в обслуживании или выполнить произвольный код на целевой системе с привилегиями ядра.

Удаленный пользователь может послать одиночный, специально обработанный NetBIOS Name Service пакет к 137 UDP порту на целевой системе, чтобы выполнить произвольный код с привилегиями ядра. Уязвимость работает в конфигурациях, позволяющих принимать NETBIOS пакеты на 137 порту.

Удаленный пользователь может также послать одиночных DNS пакет к целевой системе на 53 UDP порту с 53 портом источника, чтобы заставить целевую систему войти в бесконечный цикл. Для восстановления нормальной работы потребуется перезагрузка.

Также сообщается что удаленный пользователь может послать специально сформированный NetBIOS Name Service пакет, чтобы вызвать переполнение динамической памяти в SYMDNS.SYS и выполнить произвольный код с Ring 0 привилегиями ядра.

Также сообщается, что удаленный пользователь может послать DNS Resource Record с длинным именем CNAME, чтобы вызвать переполнение стекового буфера и выполнить произвольный код с Ring 0 привилегиями ядра на целевой системе. Эта уязвимость может эксплуатироваться при любых конфигурациях, вне зависимости от установленных правил фильтрации.

Решение: Установите обновление, доступное через LiveUpdate.

Взято отсюда

feronix 13.05.2004 22:01

Уязвимость в обработке telnet URL в Web браузере Opera

Программа: Opera до версии 7.50

Опасность: высокая

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в Opera в обработке telnet URL. Удаленный пользователь может сконструировать URL, который, когда будет загружен, создаст или перезапишет файлы на целевой системе пользователя.

Программа не проверят символ черты ('-') в имени хоста, в результате чего удаленный пользователь может сконструировать URL, который передаст параметры команд к telnet приложению на целевой системе пользователя. В результате возможно создание или перезапись определенных файлов на системе пользователя, в зависимости от используемой операционной системы и конфигурации telnet сервера.

Решение: Установите последнюю версию браузера: http://www.opera.com/download/

Взято отсюда

feronix 18.05.2004 01:44

Подмена URL в Microsoft Internet Explorer (IE)

Программа: Microsoft Internet Explorer (IE) 6.0

Опасность: Низкая

Наличие эксплоита: ДА

Описание: Уязвимость обнаружена в Microsoft Internet Explorer (IE). Удаленный пользователь может создать специально обработанный image map, которая подменит произвольный URL.

Удаленный пользователь может создать специально обработанный image map. Когда целевой пользователь наводит курсором на image map, IE браузер целевого пользователя загрузит произвольный URL, который будет отличен от отображаемого URL.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Взято отсюда

GafGaf 31.05.2004 16:54

Врага надо знать в лицо.
 
Current Security Configuration Guides
Все в текстовом и pdf формате:
http://www.nsa.gov/snac/downloads_al...nuID=scg10.3.1

Application Guides
Supporting Document Guides
Sun Solaris 8 Guides
Windows NT Guides
Windows XP Guides
Windows 2000 Guides
Windows Server 2003 Security Guide
Database Server Guides
Cisco Router Guides
Microsoft Router Guides
Web Servers and Browser Guides

Interceptor 10.06.2004 02:50

Уязвимость обхода каталога в Microsoft Crystal Reports Web Viewer
 
Программа: Microsoft Visual Studio .Net, Microsoft Outlook 2003, Microsoft Office 2003 Small Business Edition Microsoft Office 2003 Professional Edition Microsoft, Business Solutions CRM 1.2

Опасность: Средняя

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в нескольких продуктах от Microsoft (Microsoft Visual Studio .Net, Microsoft Outlook 2003, Microsoft Office 2003 Small Business Edition Microsoft Office 2003 Professional Edition Microsoft, Business Solutions CRM 1.2). Злонамеренный пользователь может раскрыть содержание произвольных файлов или удалить их.

Уязвимость обнаружена при обработке HTTP запросов, которые могут эксплуатироваться через уязвимость обхода каталога. В результате успешной эксплуатации, удаленный атакующий может раскрыть или удалить произвольные файлы на уязвимой системе через Crystal Reports и Crystal Enterprise Web средства отображения.

Решение: Установите соответствующее обновление:

http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D&displaylang=en

Outlook 2003 with Business Contact Manager:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3&displaylang=en

Microsoft Business Solutions CRM 1.2:
http://support.businessobjects.com/fix/hot/critical/ms_critical_updates.asp


http://www.securitylab.ru/45736.html

KliM_ViN 12.06.2004 15:31

Продукты по информационной безопасности
 
Две новые компании - Crossbeam Systems и Imperva - каждая по отдельности анонсировали свои новые устройства для обеспечения информационной безопасности.
Crossbeam представила C10 - многофункциональное устройство для объединения информационных сетей, которое включает в себя межсетевой экран, виртуальную частную сеть (VPN), систему обнаружения атак, антивирус, веб-фильтр и систему сканирования контента мобильного кода. Устройство будет поставляться с ПО таких производителей как Alladin, Check Point, Internet Security Systems, Trend Micro и Websense.
Компания Impreva также представила свой новый продукт - SecureSphere G400 - шлюз на прикладном уровне, который был спроектирован для работы с интернет-шлюзом в корпоративной сети для блокировки атак на веб-серверы и Oracle или Microsoft SQL базы данных. SecureSphere G400 может быть полноценно задействован уже через 30 минут после изучения используемости узла клиента.
Crossbeam и Imperva составят конкуренцию основным производителям устройств для обеспечения сетевой безопасности.

По материалам: CNews

R!xon 08.07.2004 07:30

Несколько критических уязвимостей в базе данных MySQL

Программа: MySQL 4.1 - до версии 4.1.3; 5.0

Опасность: Критическая

Наличие эксплоита: Да

Описание: Переполнение буфера и обход авторизации обнаружено в MySQL. Удаленный пользователь может авторизоваться на сервере базы данных без пароля. Удаленный пользователь может, в некоторых случаях, выполнить произвольный код.

Удаленный пользователь может представить специально обработанный авторизационный пакет, чтобы обойти механизм авторизации на MySQL сервере. Уязвимость расположена в check_scramble_323() функции.

Удаленный пользователь может определить произвольное 'passwd_len' значение, чтобы заставить функцию сравнить известное значение 'scrambled' пароля со строкой нулевой длины. Функция позволяет удаленному пользователю успешно аутентифицироваться со строкой нулевой длины.

Также сообщается о стековом переполнении буфера, которое может быть вызвано чрезмерно длинным параметром 'scramble' , сгенерированным функцией my_rnd(). На некоторых платформах уязвимость может использоваться для выполнения произвольного кода.

Подробное описание: http://www.securitylab.ru/_Article_I...ofingMySQL.pdf

URL производителя: http://www.mysql.com/

Решение: Установите 4.1.3 или последнюю билд 5.0

Interceptor 09.07.2004 01:15

Microsoft работает над серией исправлений для Internet Explorer
 
В пятницу Microsoft выпустила исправление, закрывающее один из трех пробелов в защите браузера, которые в совокупности позволяли злоумышленникам проникнуть в компьютер. Однако в эти выходные была обнаружена еще одна лазейка, которую заплатка Microsoft не устраняет. «Они предпочли решить только часть проблемы, — говорит студент-компьютерщик из Нидерландов Елмер Куперус, опубликовавший излечивающий код. — Остальное, вероятно, оставили на потом», сообщает Zdnet.ru.

Это уже третий случай в течение месяца, когда Microsoft приходится играть в догонялки с хакерами, обнародовавшими информацию о пробелах в защите Internet Explorer. В начале июня Куперус нашел веб-сайт, который использовал две неизвестные ранее уязвимости и одну недавно исправленную для установки на компьютеры жертв adware-программы. А на прошлой неделе была обнаружена менее опасная уязвимость, которую Microsoft исправила в ранних версиях браузера — но в более поздних версиях она появилась вновь.

Microsoft признала последнюю проблему и пообещала выпустить новые поправки в ближайшее время. «Компания работает над серией исправлений для Internet Explorer, которые выйдут в ближайшие недели и обеспечат заказчикам дополнительную защиту», — сказал CNET News.com представитель Microsoft. Кроме того, компания будет «продолжать изучать появляющиеся сообщения».

Последняя ошибка не является новостью — эксперты уже обсуждали эту проблему в январе, отмечает Куперус. Сначала ее посчитали незначительной, но это не так, потому что этот дефект можно использовать в сочетании с двумя другими, обнаруженными в начале июня. В совокупности все три пробела в защите обеспечивают простой доступ к Windows-компьютерам через браузер Internet Explorer.

«Большинство эксплойтов, которые встречаются сегодня, используют несколько уязвимостей, каждая из которых представляет собой дыру в какой-нибудь функции защиты Internet Explorer, — говорит Куперус. — По отдельности многие из этих проблем кажутся совершенно безвредными, но вместе они создают серьезный риск».

Как оригинальные, так и вновь обнаруженные дефекты относятся к библиотеке компонентов и средств поддержки сценариев ActiveX. Сначала был выявлен пробел в ADODB.Stream, а последняя ошибка кроется в компоненте Application.Shell.

http://www.securitylab.ru/46287.html

Interceptor 11.07.2004 16:10

Переполнение буфера в wvWare библиотеке
 
Программа: wvWare 0.7.4, 0.7.5, 0.7.6, и 1.0.0

Опасность: ВЫСОКАЯ

Наличие эксплоита: нет

Описание: Переполнение буфера обнаружено в wvWare библиотеке для чтения Microsoft Word файлов. Удаленный пользователь может сконструировать специально обработанный документ, чтобы выполнить произвольный код на целевой системе.

Переполнение происходит в функции wvHandleDateTimePicture() в 'field.c' в обработке поля DateTime.

Решение: Установите последнюю версию программы: http://www.abisource.com/bonsai/cvsv...text&whitespac e_mode=show&root=/cvsroot&subdir=wv&command=DIFF_FRAMESET&root=/cvsroot& file=field.c&rev1=1.19&rev2=1.20


http://www.securitylab.ru/46324.html

Interceptor 14.07.2004 01:43

Уязвиомость в Microsoft Internet Explorer в popup.show()
 
Программа: Microsoft Internet Explorer 6.0

Опасность: ВЫСОКАЯ

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в Microsoft Internet Explorer в popup.show(). Удаленный пользователь может выполнить произвольные действия мышки на целевой системе

Удаленный пользователь может создать HMTL, который использует функцию popup.show() с 'on mousedown' событием, чтобы выполнить различные действия мышки на целевой системе пользователя. Пример: http://freehost07.websamba.com/greyhats/hijackclick3.htm

Эта уязвимая функция может использоваться вместе с уязвимостью в "shell://" обработчике, чтобы выполнить произвольный код на целевой системе пользователя.

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

http://www.securitylab.ru/46375.html

Interceptor 15.07.2004 12:47

Удаленное переполнение буфера в Microsoft Internet Information Server (IIS)
 
Программа: Microsoft Internet Information Server (IIS) 4.0

Опасность: Критическая

Наличие эксплоита: НЕТ

Описание: Уязвимость в Internet Information Server позволяет злонамеренному пользователю выполнить произвольный код на уязвимой системе.

Уязвимость связанна с переполнением буфера при обработке постоянных редиректов. Уязвимость может эксплуатироваться через чрезмерно длинный, специально обработанный URL.

Решение: Установите соответствующее обновление:

Microsoft Windows NT Workstation 4.0 (SP6a): http://www.microsoft.com/downloads/d...displaylang=en

Microsoft Windows NT Server 4.0 (SP6a): http://www.microsoft.com/downloads/d...displaylang=en

http://www.securitylab.ru/46384.html

Interceptor 30.07.2004 11:57

Удаленное переполнение буфера в Check Point VPN-1
 
Программа: Check Point VPN-1 до версий VPN-1/FireWall-1 R55 HFA-08, R54 HFA-412, или VPN-1 SecuRemote/SecureClient R56 HF1 и Check Point Provider-1 R55 до версий HFA-08, R54 до версий HFA-412

Опасность: Высокая

Наличие эксплоита: Да

Описание: Переполнение буфера обнаружено в Check Point VPN-1 в обработке IKE пакетов с ASN.1 кодированными значениями. Удаленный пользователь может выполнить произвольный код на целевой системе.
Удаленный пользователь может послать специально обработанный IKE пакет, чтобы вызвать переполнение буфера и выполнить произвольный код на шлюзе. В некоторых ситуациях, удаленный пользователь может скомпрометировать защищаемую сеть.
Уязвимы системы, которые используют Remote Access VPN или gateway-to-gateway VPN. Уязвимость может эксплуатироваться одиночным пакетом, если используется Aggressive Mode IKE.
Если IKE используется без Aggressive Mode, удаленный пользователь должен сперва установить IKE negotiation. Так как специально обработанный пакет будет зашифрован как часть IKE negotiation, нападение не может использовать сигнатуры обнаружения вторжения.

Решение: Установите соответствующее обновление:

http://www.checkpoint.com/techsupport/alerts/asn1.html

http://www.securitylab.ru/46800.html


Часовой пояс GMT +4, время: 04:06.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.