Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #132, 06.05.2003


Информационный Канал Subscribe.Ru

BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#132, 06.05.2003

Шесть уязвимостей в ICQ 2003a
dl // 06.05.03 17:37
Причем три из них связаны с переполнением буфера в POP3-клиенте (как показывает практика, всякий раз, когда создатели ICQ вторгаются на чужую территорию, это приводит к массовому хождению по старым граблям. Так было в свое время с встроенным http-сервером, сейчас, в общем, ситуация аналогична). Еще одна связана с возможной подделкой адреса, с которого полуавтоматически закачиваются вспомогательные службы типа ICQ Phone, еще одна - с возможным DoS при закачке рекламных вставок, которые показывает клиент, и, наконец, последняя - ошибка в разборе заголовка GIF-файла.

Уязвимости достаточно неприятны. подвержены им клиенты вплоть до ICQ Pro 2003a, реакции Mirabilis пока не было...
Источник: Core Labs advisory


Переполнение буфера в Oracle
dl // 29.04.03 20:56
Первый шаг при этом - передача длинного параметра в запросе CREATE DATABASE LINK, возможность выполнения которого по умолчанию имеют даже самые низкопривилегированные пользователи. Далее, обратившись к этому линку обычным select'ом, удается вызвать искомое переполнение буфера, как обычно, приводящее к возможности исполнения на сервере произвольного кода. Атаке подвержены версии Oracle9i Database Release 1 и 2, все версии 8 и 8i. Патч доступен, проверка также включена в NGSSQuirreL for Oracle.
Источник: Oracle patch, NGSSQuirreL for Oracle


Комплект руководств по безопасности от Microsoft
dl // 29.04.03 02:09
С небольшим интервалом Microsoft выпустила руководство по настройке системы безопасности свежевышедшего Windows Server 2003 (Windows Server 2003 Security Guide с сопутствующими документами Security Settings in Windows Server 2003 and Windows XP и Microsoft Solutions for Security Glossary) и, как это можно было бы перевести в совершенно советском стиле, "по дальнейшему совершенствованию и укреплению безопасности Windows 2000" (Windows 2000 Security Hardening Guide). В руководствах подробно разжеваны процессы настройки систем в разных окружениях, приведены шаблоны для автоматизации этого процесса, рассмотрены возможные угрозы и меры борьбы с ними.
Источник: Windows Server 2003 Security Guide, Windows 2000 Se


POTOP'2003 - поздравления принимаются
dl // 25.04.03 17:04
BugTraq.Ru занял третье место в номинации "Хард'н'софт сайт года" ежегодного сетевого конкурса РОТОР'2003. В скобках заметим, что первые два места разделили 3DNews и iXBT, которым, честно говоря, совсем не зазорно проиграть.
Источник: POTOP'2003


Stupid Security Competition. Результаты.
dl // 10.04.03 05:05
В конкурсе на самое тупое применение мер безопасности, о котором я писал в феврале, все-таки не обошлось и без России. Почетное второе место в номинации Most Egregious Security Measures (дословный перевод - "Наиболее вопиющая мера безопасности", в общем, самые беспредельные :)) досталось московскому мэру за московскую прописку.
Источник: результаты, список номинаций и номинантов




Самые популярные темы на форуме за последнюю неделю:


[hacking] Привелегии администратора? Неужели - вс╦? [1657]
[site updates] Microsoft оставит сисадминов без работы? [613]
[phreaking] очень нужны адреса и телефоны абонентов МГТС (только новые) [566]
[networking] А можно сделать цепочку из свитчей и соединить концы в круголя ? [516]
[site updates] Программы-невидимки [495]

Самые обсуждаемые темы на форуме за последнюю неделю:


[guestbook] 2 DL
[humor] Как изменяется вес винчестера по мере заполняемости?
[faqmakers] [sysadmin][Как восстановить испорченную загрузочную запись в Windows 2000 ?][2]
[programming] [SQL] Работа с датами, запрос
[site updates] Альтернативный взгляд на закон Мура



Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru



http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное