Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #282, 04.12.2009


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#282, 04.12.2009

Гугль запустил публичный DNS resolver
dl // 03.12.09 22:45
Обещаются скорость, безопасность и твердое следование стандартам. Желающим приобщиться и перестать зависеть от своего провайдера и его политики достаточно прописать в своих сетевых настройках адреса DNS-серверов 8.8.8.8 и 8.8.4.4.

Помнится, не далее как в январе этого года Гугль мимоходом эффективно заблокировал весь веб пользователям FireFox. С DNS такое было бы еще проще - one ring, one ring.
Источник: Google Public DNS


Удаленное замораживание Window 7 и Server 2008 R2
dl // 12.11.09 16:55
Laurent Gaffie, обнародовавший в сентябре информацию об уязвимости в SMBv2, все-таки дожал и финальные версии семерки и сервера. Уязвимость по прежнему связана с SMB, причем может быть активизирована даже из IE. Система просто блокируется без каких-либо видимых симптомов типа BSoD.

Microsoft приступила к исследованию проблемы.
Источник: The Register, Laurent Gaffié blog


Новый язык программирования от Google
dl // 11.11.09 11:59
Google вошла в клуб компаний, создавших свой язык программирования. Новый язык Go родился как один из 20-процентных проектов (легендарные 20% рабочего времени, что гуглевские инженеры могут использовать на свои проекты) и был создан примерно за два года.

Честно говоря, чтение спецификации не слишком впечатляет. В синтаксисе, естественно, много приветов С с Явой, немного Паскаля, немного Питона. Заявлены быстрый компилятор, простота языка, поддержка многозадачности, сборка мусора, компиляция в нормальный бинарный код и т.п. С одной стороны, нет адресной арифметики, с другой, нет наследования (есть интерфейсы), шаблонов, исключений (в гугле вообще не любят исключения, насколько я помню).

Могу уверенно сказать, что, не родись Go в недрах Google, вряд ли бы его вообще кто-нибудь заметил. Очередная вариация на тему "мы тоже хотим сделать облагороженный C" - практически, высшая ступень любимого всеми программистами занятия по выпиливанию собственных библиотек и инструментов.
Источник: The Go Programming Language


Серьезная уязвимость в SSL/TLS: и еще один привет 90-м
dl // 07.11.09 00:37
Еще одна серьезная уязвимость в одном из ключевых интернет-протоколов добралась до нас из прошлого века. Исследователи из PhoneFactor обнаружили уязвимость в протоколе TLS, позволяющую вклиниться в устанавливаемое защищенное соединение. Проблема восходит к середине 90-х, когда была опубликована спецификация TLS, и носит принципиальный характер, не зависящий от реализации.

Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.
Источник: The Register


Ubuntu 9.10 - растущее разочарование
dl // 06.11.09 11:45
Многие пользователи, поторопившиеся установить свежевышедшую версию популярного дистрибутива, испытали массу удовольствия - особенно при попытке апгрейда установленной системы. Основные косяки связаны с видеодрайверами (моргающие либо черные экраны), нераспознаванием жестких дисков, зашифрованными разделами.

Проблемы, впрочем, не носят универсальный характер - на ряде конфигураций система встает гладко, либо с минимальными ошибками. Согласно опросу на ubuntu forums, доли пользователей, установивших/обновивших систему нормально, с минимальными проблемами и проблемами, которые они не смогли решить, примерно равны. Однако с учетом того, что первыми на новую систему обычно бросаются энтузиасты, имеющие в среднем более высокую квалификацию, картина вырисовывается безрадостная.
Источник: The Register




Самые популярные темы форума за последнюю неделю:


[operating systems] мелкие впечатления от семерки [1407]
[site updates] Ubuntu 9.10 - растущее разочарование [347]
[miscellaneous] К сожалению, это стандартная ситуация для многих SMB компаний России [100]
[dnet] мы снова на 2ом месте :) [91]
[dnet] Если был бы другой достойный проект распределенных... [80]

Самые обсуждаемые темы форума за последнюю неделю:


[miscellaneous] 2dl: С Днем рождения!
[guestbook] 2dl, вопрос на засыпку: при регистрации пользователя "на мыло выдается" девятизначный пароль из цифр. Чем отличается пароль 12345678 от 123456789, если движок срезает строку пароля до восьми символов ? ;)
[operating systems] Переключение раскладки по menukey
[networking] Практика и теория балансировки трафика
[dnet] [RC5] 2Sla



Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru


В избранное