-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Здравствуйте!
Спасибо всем, кто подписался на список рассылки Украинского Центра
информационной безопасности.
=================== Горячие новости =================================
Дыра в модулях аутентификации Apache
Центр компьютерной безопасности Штутгартского университета (RUS-CERT)
обнаружил слабое место в некоторых модулях аутентификации для серверов
Apache.
Указанные модули используются в качестве дополнительного средства,
позволяющего системным администраторам упростить механизм
идентификации пользователей на сервере. Модули добавляют к
идентификационному механизму Apache возможность сверять пароли
пользователей по реляционной базе данных на основе SQL-запросов
(вместо того, чтобы хранить имена и пароли для каждого пользователя в
отдельных файлах).
При этом некоторые из таких модулей оставляют возможность атаковать
систему с помощью вредоносного SQL-запроса и таким образом получить из
базы персональные данные пользователей, или даже получить
неавторизованный доступ к серверу.
Уязвимы модули: AuthPG 1.2b2, mod_auth_mysql 1.9, mod_auth_oracle
0.5.1, mod_auth_pgsql 0.9.5, mod_auth_pgsql_sys 0.9.4.
Во вторник RUS-CERT выпустил патч для PostgreSQL
(http://cert.uni-stuttgart.de/doc/postgresql/escape/postgresql-escape-2
001-09-04.diff),
который отлавливает вредоносные запросы. В отчете об уязвимых модулях
аутентификации также предлагаются другие версии этих модулей, в
которых "дыра" уже зашита.
По материалам: http://cert.uni-stuttgart.de.
Украинских программистов пока не освобождают от налогов
4 сентября 2001 года на заседании Комитета Верховной Рады Украины по
науке и образованию был поддержан законопроект, полностью
освобождающий от налога на прибыль производство программного
обеспечения, идущего на экспорт.
Автором законопроекта является народный депутат Украины, председатель
депутатского объединения "Нове суспильство"
(http://www.new-society.org.ua) Александр Чубатенко.
Такое информационное сообщение в исполнении пресс-службы движения
"Новое Общество" получило распространение вчера во второй половине дня
под заголовком "Украинских программистов освобождают от налогов".
Но дело в том, что поддержка законопроекта в профильном комитете еще
не означает, что законопроект принят и начал действовать, поэтому
заявления об освобождении программистов от налогов несколько
преждевременно - законопроекту предстоит еще долгий путь до принятия и
вступления в силу.
По материалам: http://ain.com.ua.
Система защиты для "1С:Предприятия"
Фирма ВИТ (http://www.vit.ru/vit/security) сообщает о начале
распространения программы защиты информации "OKEY 7.7".
OKEY 7.7 встраивается в любую конфигурацию системы "1С: Предприятие
7.5/7.7" (в том числе и нетиповую). Программа протестирована в фирме
"1С" и получила сертификат "Совместимо! Система программ 1С:
Предприятие".
Электронные ключи eToken или iButton заменяют пароли, обеспечивают
скрытое ограничение доступа к особенно ценной информации, ставят
подпись под создаваемыми документами. Кроме этого, система "O"KEY 7.7"
может использоваться для контроля рабочего времени сотрудников, для
входа в рабочие помещения с ограниченным доступом, регистрации событий
и т. д.
С помощью O"KEY 7.7 выстраиваются комплексные системы информационной
безопасности различной сложности, главные достоинства которых -
простота использования, гибкость, надежность и доступность.
По материалам: http://www.vit.ru.
Обнаружена первая вредоносная программа, использующая файлы Desktop
Themes
"Лаборатория Касперского" сообщает об обнаружении Интернет-червя
"Lara" - первой вредоносной программы, распространяющейся в файлах
оформления рабочего стола (Desktop Themes). На данный момент
"Лаборатория Касперского" получила два сообщения о фактах заражения
этим червем.
"Lara" распространяется исключительно по каналам IRC (Internet Relay
Chat), передавая на удаленные компьютеры файл-носитель червя
"LaraCroft.theme". Имя файла маскируется под схему оформления рабочего
стола Windows по сюжету популярного фильма. В действительности, после
запуска инфицированного файла "Lara" сканирует доступные диски,
определяет местонахождение программы для общения по IRC (mIRC-клиента)
и модифицирует ее системные файлы. В результате червь посылает свои
копии всем пользователям, подключившимся к тем же каналам, что и
зараженный компьютер.
Никаких других побочных действий у данной вредоносной программы нет.
По материалам: http://www.viruslist.com.
Запатентован апгрейд антивирусов через Интернет
Компания McAfee получила еще один патент на свои онлайновые технологии
- - - на этот раз запатентован апгрейд антивирусов через Интернет.
Как сообщает The Register, новый патент McAfee за номером 6296456,
полученный в Патентном бюро США, покрывает "Метод и систему
автоматического обновления антивирусных приложений с использованием
компьютерных сетей".
При этом патент описывает технологии, уже давно и успешно используемые
не только McAfee. Пока McAfee не собирается ни на кого подавать в суд,
хотя и успела уже заявить, что будет внимательно следить за нарушением
своих прав. Поэтому единственная радость для "Лаборатории
Касперского", также активно осуществляющей распространение и апгрейд
своего ПО через Интернет - то, что российская компания не подпадает
под действие американского патентного законодательства.
По материалам: http://www.netoscope.ru.
____________________________________________
Украинский Центр информационной безопасности
e-mail: contacts@bezpeka.com
web-site: http://www.bezpeka.comhttp://www.bezpeka.nethttp://www.bezpeka.org
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.3 for non-commercial use <http://www.pgp.com>;
iQA/AwUBO5ZOSok3eTHhixd1EQJ0qACffT1WISbJQEl4dezoxFzh08s8tqsAn3Ko
7rZ8DhIZAcZGuQr+JDlVjWqD
=5v2E
-----END PGP SIGNATURE-----
