Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Russian Security Newsline

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 7.889 RSS
  Июнь 2002  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


За последние 60 дней 4 выпусков (1-2 раза в месяц)


Сайт рассылки: http://www.bugtraq.ru/rsn/
Открыта: 13-12-2000

Автор
Дмитрий Леонов

Статистика

7.889 подписчиков
-1 за неделю
  Все выпуски  

BuqTraq: Russian Security Newsline 20.06.2002


Информационный Канал Subscribe.Ru
BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем
Актуальные события глазами контрразведчика

Russian Security Newsline 20.06.2002

Дырка в Apache
20.06.02 02:48
Apache 1.2 (начиная с версии 1.2.2), 1.3 (до версии 1.3.24 включительно) и Apache 2 (до версии 2.0.36) содержит ошибку в обработке некорректных запросов, закодированных с помощью chunked encoding (режим http 1.1, позволяющий отправлять данные не одним потоком, а несколькими блоками, и именно при сборке этих блоков случилась ошибка). Она приводит к аварийному завершению потока или процесса (в зависимости от платформы), обрабатывающего запрос.

Как минимум это может привести к DoS-атаке (например, поток подобных запросов через некоторое время заставит сервер полностью переключиться на увлекательную работу по запуску новых дочерних процессов). Кроме того, в версии 1.3 данная ошибка приводит к переполнению стека, которое, скорее всего, можно будет использовать на 64-битных платформах и в Windows-версии для выполнения на сервере произвольного кода.

Уже выпущены исправленные версии (1.3.26 и 2.0.39). Обновление крайне желательно. По цепочке пошли сообщения об обновлениях продуктов, использующих Apache.
Источник: Apache Software Foundation

Когда кричать о багах?
19.06.02 15:54
Актуальный в последнее время вопрос: как сообщать об обнаруженных уязвимостях - сразу всем или только разработчику? Каким должен быть период моратория на открытую публикацию этой информации? Об этих и других вопросах пишет в своей статье "Are security warnings jumping the gun?" Robert Lemos.
Источник: ZDNet
Шпионить надо по закону.
19.06.02 15:41
Правительство Великобритании запустило специальный проект (www.surveillancecommissioners.org), который дает советы организациям, как контролировать телефонные звонки, e-mail и web-серфинг, не нарушая при этом закон. Все для блага человека...
Источник: Silicon.com
Хакать - это непатриотично!
19.06.02 15:36
Выступая на конференции NetSec, проводимой Computer Security Institute, John Frazzini изрек гениальную мысль (почти дословно): "Если вы гражданин США, то хакать компьютерные сети не только преступно, но и непатриотично". После таких заявлений сразу возникают логичные вопросы, патриотично ли это для не-граждан США, и о каких сетях речь ;)
Источник: CRN
Очередной выпуск Crypto-Gram
17.06.02 07:26
Как обычно, 15 числа вышел очередной выпуск Crypto-Gram Брюса Шнайера.
В этом выпуске:
  • Fixing Intelligence Failures
  • Crypto-Gram Reprints
  • News
  • Counterpane News
  • More on Secrecy and Security
  • Comments from Readers

Источник: counterpane
IE 5-6 CSS parsing error
15.06.02 15:35
Two days ago I received report from Oleg A. Cheremisin regarding CSS parsing problem in Internet Explorer.

Internet Explorer (versions 5,5.5/Windows'98 and 6.0/XP have been tested) as well as software which uses IE engine for html pages displaying (like Outlook Express) crashes while trying to parse CSS table (internal or external) with element p{cssText: font-weight: bold;}

Perhaps it was supposed that property cssText can be used only in scripts. It seems that there is no buffer overflow, but this vulnerability still can be used for DoS attacks.
Источник: Demonstration

Ошибка обработки таблиц стилей в IE 5-6
14.06.02 23:35
Олег Черемисин обнаружил код, который, будучи вставленным в таблицу стилей (внешнюю либо включенную в html-файл), приводит к немедленному завершению работы IE с ошибкой доступа к памяти (в IE/XP - 0x00000018). Ошибке подвержены версии 5.0, 5.5 и 6.0, а также программы, использующие движок IE для отображения html-кода (например, Outlook Express).

Заветный код удалось сократить до строчки p{cssText: font-weight: bold;}. Возможно, разработчиками MS предполагалось, что свойство таблицы стилей cssText может быть использовано только в скриптах. Отметим, что пару месяцев назад была обнаружена другая уязвимость, связанная с cssText, позволяющая получить доступ к локальным файлам пользователя.

Судя по всему, данная ошибка не приводит к переполнению буфера, так что вряд ли она может быть использована где-либо помимо DoS атак, что, впрочем, достаточно неприятно.
Источник: Олег Черемисин



Самые популярные темы на форуме за последнюю неделю:


[beginners] Как спастись от злой жены-хакерши???? [1400]
[sysadmin] Срочно хельпь!!! Гуру по операционкам! ниид мозговой штурм. [948]
[miscellaneous] "Найди 10 отличий" =) [360]
[miscellaneous] Решил я тут проверить свой уровень знания английского... [284]
[rc5] Участникам из ИРКУТСКА и ИРКУТСКОЙ ОБЛАСТИ... >>>по просьбе [38 RUS] [257]

Самые обсуждаемые темы на форуме за последнюю неделю:


[hacking] помогите юзверу ушастому
[rc5] keyservers
[sysadmin] Загрузка W2k
[rc5] Россия - на 2-м месте!!!!!!!!!!!!!
[programming] Ну, ваще!


Ведущие рассылки:
Владислав Мяснянкин, http://cybervlad.port5.com/
Дмитрий Леонов, http://ezhe.ru/fri/10/
http://www.bugtraq.ru/

http://subscribe.ru/
E-mail: ask@subscribe.ru 		Отписаться
Убрать рекламу
В избранное