Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #357, 25.09.2014


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

#357, 25.09.2014

Двадцатилетняя уязвимость в bash
dl // 25.09.14 02:45
RedHat выпустила патч для популярнейшей командной оболочки bash, устраняющий существующую десятки лет уязвимость, позволяющую выполнить любую команду путем внедрения bash-кода в специально сформированные переменные окружения (фактически туда просто кладется код функции, которая выполняется сразу при запуске интерпретатора).

Эту уязвимость по возможным последствиям уже сравнивают с Heartbleed - с учетом того, сколько времени она существует и какое количество софта затрагивает. Затронуты версии GNU Bash с 1.14 (июль 1994) по 4.3.

Потенциально уязвима любая система, позволяющая в том или ином виде запустить снаружи нечто, работающее с командной оболочкой. Например, любой существующий bash-скрипт, запускающийся из-под апача, или простой вызов system/popen в C, некоторые варианты развертывания Git и Subversion, предоставляющие пользователям возможность выполнения команд, любые веб-оболочки (в тех же роутерах, например), использующие шелл для выполнения команд и т.п. Рвануть может практически где угодно.
Источник: NVD, RedHat Security Blog


TrueCrypt, возможно, обретет новую жизнь
dl // 20.09.14 02:06
Знамя, внезапно брошенное анонимными авторами TrueCrypt, вскоре было подхвачено создателями готовящегося к выходу форка, сначала получившего название TCnext и позднее переименованного в CipherShed. Согласно первоначальной лицензии TrueCrypt, создание форков возможно при удалении из кода всех упоминаний TrueCrypt и смене названия готовой программы.

Основными достоинствами своего проекта авторы считают его честный открытый код (до сих пор, насколько я помню, собранный из открытых исходников TrueCrypt отличался от готового продукта) и свою неанонимность. Пока на сайте раздается лишь последняя необрезанная версия TrueCrypt 7.1a, обещается скорый выход альфа-версии, которая фактически будет представлять собой TrueCrypt с вычищенными упоминаниями TrueCrypt и чуть подчищенным кодом.

Инициатор проекта со сложновоспроизводимым именем Jos Doekbrijder рассказал о безуспешной попытке привлечь к участию авторов исходного TrueCrypt, которые в итоге попросили их больше не беспокоить. Один из них еще раньше заявлял, что не видит смысла в подобных форках - они и сами уже давно собирались полностью переписать программу, а уж если запускать новый продукт, то дешевле написать его с нуля, чем разбираться в существующем многолетнем коде.
Источник: eSecurity Planet


10-летняя уязвимость в FreeBSD
dl // 17.09.14 19:33
Не прошло и десяти лет с тех пор, как в Windows и NetBSD закрыли обнаруженную 10 лет и один месяц назад уязвимость в стеке tcp/ip, позволяющую сбросить tcp-соединение - и у разработчиков FreeBSD добрались руки до ее исправления.
Источник: FreeBSD Security Advisory


Взлом почты создателя bitcoin
dl // 09.09.14 17:56
Неизвестные взломщики получили доступ к почтовому ящику satoshin@gmx.com, который использовался человеком (или группой людей), называющим себя Сатоши Накамото и считающимся создателем bitcoin. Одним из первых следствий этого стала правка сайта проекта на SourceForge (архивы с кодами тронуты пока не были).
Источник: Slashdot




Самые популярные темы форума за последнюю неделю:


[site updates] TrueCrypt, возможно, обретет новую жизнь [88]
[site updates] [lj] фотокомпактное [29]
[site updates] [lj] клавиатурное [27]
[site updates] [lj] барыжное [24]
[site updates] [lj] звоночное [24]

Самые обсуждаемые темы форума за последнюю неделю:


[site updates] [lj] фотокомпактное
[site updates] [lj] клавиатурное
[site updates] TrueCrypt, возможно, обретет новую жизнь
[site updates] [lj] звоночное
[site updates] [lj] барыжное



Ведущий рассылки:
Дмитрий Леонов, http://gplus.to/dmitry.leonov/


В избранное