Новости Украинского Центра информационной безопасности :: 31 мая 2002 г.
Горячие новости
Отказ в обслуживании сервера Microsoft Exchange
29 мая компания Microsoft выпустила бюллетень по безопасности MS02-025, посвященный серьезной уязвимости Microsoft Exchange, которая может привести к отказу в обслуживании сервера.
Для поддержки механизма обмена почтой в гетерогенных системах, сообщения Exchange используют атрибуты почтовых сообщений протокола SMTP, описанные в RFC 821 и 822. Обнаружено, что Exchange 2000 некорректно обрабатывает определенным образом сформированные атрибуты входящего сообщения. При получении подобных сообщений служба Store начинает потреблять 100% процессорного времени для обработки сообщения, что дает возможность злоумышленникам организовать атаку на отказ в обслуживании.
Множественные уязвимости в программе парольной защиты каталогов веб-сервера
В скрипте csPassword.cgi, доступном на сайте CGIscript.net, обнаружены множественные уязвимости. Данный скрипт предназначен для создания и поддержки файлов .htaccess в стиле Apache для парольной защиты директорий веб-серверов.
Поскольку файлы .htpasswd генерируются в том же каталоге, что и .htaccess файлы, пользователь, знающий пароль к защищенному каталогу, может скачать файл .htpasswd, содержащий имена и пароли (в зашифрованном виде) всех пользователей.
Кроме того, если программа выдает какую-либо ошибку, то она также показывает много "полезной" отладочной информации, что, как минимум, может привести к раскрытию путей к файлам.
Далее, все, кто обладает правами входа в программу csPassword, могут вставлять дополнительные директивы в файл .htaccess. И, наконец, когда программа сохраняет или удаляет свой файл данных, создается файл "password.cgi.tmp", содержащий все имена и пароли пользователей в открытом виде. В зависимости от конфигурации, этот файл может быть доступен на чтение неавторизованным пользователям в тот момент, пока программа не переименует его на место оригинала.
Европарламент принял закон о контроле за Интернетом
Европейский парламент принял закон, позволяющий правоохранительным органам заниматься мониторингом телефонных переговоров и электронной почты частных лиц.
Предотвратить принятие документа пытался союз из 40 правозащитных групп. Основным их доводом было то, что закон, якобы, дает слишком широкие полномочия стражам порядка. Правозащитники опасаются, что, обладая расширенными полномочиями в этой сфере, полиция сможет осуществлять тотальный контроль над пользователями.
Помимо прочих, закон содержит положение, согласно которому компании имеют право рассылать рекламу по электронным ящикам частных пользователей лишь в том случае, если сами пользователи выразили на это своё согласие.
Для окончательного вступления закона в силу европейские страны должны привести национальные законодательства в соответствие с ратифицированным документом.
На форуме "Россия в электронном мире" пройдет конференция по защите информации
Конференция по информационной безопасности станет одним из мероприятий 3-го Международного форума "Россия в электронном мире", который пройдет 18-20 июня в Москве в здании Президиума Российской академии наук. Конференция состоится 19 июня.
Как сообщил медиа-комитет форума, предполагается собрать на конференцию представителей министерств и ведомств, парламентских комитетов, местных администраций, коммерческих компаний, научных и учебных заведений. Компании, которые примут участие в конференции, познакомят аудиторию со своими разработками в области информационной безопасности.
Интернет в Турции приравнен к средствам массовой информации
Парламент Турции принял закон, согласно которому на интернет накладываются ограничения, действующие для других средств массовой информации в этой стране. Принятие этого закона сопровождалось протестами интернет-провайдеров и пользователей, которые убеждены, что на кону стоит само будущее Всемирной паутины в Турции.
Теперь за публикацию информации, сочтенной недостоверной, турецкий суд может наложить на провайдеров и пользователей интернета штраф до 195 тысяч долларов США.
Согласно новому положению, сайты могут подлежать официальной регистрации, а копии публикуемых на них материалов посылаться властям. Новые "правила поведения" для интернета - часть закона, регулирующего средства массовой информации страны.
