Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Russian Security Newsline

  Все выпуски  

BugTraq: Russian Security Newsline 06.10.2014


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

Russian Security Newsline 06.10.2014

Баг в Багзилле раскрывает массу уязвимостей
dl // 06.10.14 19:56
Уявимость в популярном багтрекере Bugzilla (используется многими производителями, заводящими там отдельные проекты) сделала возможным просмотр детальных отчетов о найденных уязвимостях. Как выяснилось, при регистрации нового пользователя вполне можно указать любой почтовый адрес, и если он счастливо совпадает с адресом администратора проекта, у вас окажется полный доступ к закрытой для посторонних информации. Например, admin@mozilla.org дает полный доступ к отчетам по уязвимостям в Firefox и других продуктах Mozilla.

Поиск zero-day уязвимостей еще никогда не был столь простым. Исправление ожидается уже сегодня.
Источник: Krebs on Security
обсудить


BadUSB ушел в массы
dl // 03.10.14 16:46
Атака, основанная на использовании контроллеров usb-устройств, теперь может быть использована кем угодно. По следам августовской демонстрации аналогичный анализ прошивок usb-контроллеров Phison провели Адам Кодилл (Adam Caudill) и Брэндон Уилсон (Brandon Wilson), но на этот раз они еще и выложили свой код на GitHub.

Целью обнародования традиционно названо желание привлечь внимание производителей. Проблема в том, что пока не вполне ясно, как вообще с этим бороться. Практически это означает возврат во времена незапрещенного автозапуска с флешек (и даже хуже, поскольку отлавливать это еще никто не научился, а для кучи уже выпущенных устройств вряд ли и научится).

Чуть успокаивает лишь то, что пока речь идет строго об одном контроллере для USB 3.0 одного производителя (хоть и весьма популярного).
Источник: Wired
обсудить


Проблемы с GitHub
dl // 02.10.14 21:16
Пользователи ряда провайдеров жалуются на проблемы с доступом к популярному сервису хостинга git-репозиториев GitHub. Судя по всему, его адрес был внесен в печально знаменитый реестр сайтов, содержащих информацию, запрещенную для распространения в РФ - в одном из репозиториев обнаружился текстовый файл с описанием различных добрых способов самоубийства (включая использование для этого ядерной бомбы).

С учетом популярности GitHub, этот текстовый файл может оказаться крайне эффективным способом блокировки огромного числа Open Source проектов отечественных программистов. Некую надежду пока внушает доступность GitHub из сетей Ростелекома, который обычно находится в первых рядах блокирующих доступ к ресурсам из реестра.

Update: оперативно исключили, выдыхаем.
Источник: Хабрахабр
обсудить




Также в выпуске:
Двадцатилетняя уязвимость в bash // 25.09.14 02:45
Shellshock успешно использовали в атаке на Yahoo // 06.10.14 23:38

Другие обновления на сайте:

BugTraq - обозрение #357 // 25.09.14 03:06
- Двадцатилетняя уязвимость в bash;
- TrueCrypt, возможно, обретет новую жизнь;
- 10-летняя уязвимость в FreeBSD;
- Взлом почты создателя bitcoin;



Третья пятерка из рейтинга статей:

Хаос. Часть 6 [9.25] 03.08.04 01:11
Лабиринт. Часть 2 [9.19] 28.03.07 00:24
В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47

Самые популярные темы форума за последнюю неделю:


[beginners]
Тормоза и апгрейд. raid5 vs raid10 [67]
[site updates]
BadUSB ушел в массы [47]
[site updates]
Проблемы с GitHub [42]
[site updates]
#357 [34]
[networking]
заблокпрован доспуп к порталу [27]

Самые обсуждаемые темы форума за последнюю неделю:


[beginners]
Тормоза и апгрейд. raid5 vs raid10
[beginners]
несимметричное шифрование
[site updates]
#357
[networking]
заблокпрован доспуп к порталу
[site updates]
Проблемы с GitHub



Ведущий рассылки:
Дмитрий Леонов, http://gplus.to/dmitry.leonov/


В избранное