Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community |
|
06.11.2014, 03:09 | #1 |
Продвинутый
|
Представляем небольшой обзор критических уязвимостей, появившихся за последнее время.
1) Компрометация системы в OpenSSH. Уязвимость существует из-за того, что приложение позволяет предоставлять пользователям SFTP-доступ с ограниченными правами при использовании команды «ForceCommand internal-sftp». Удаленный пользователь может выполнить произвольный код на целевой системе. Подробности по проблеме и методы ее устранения: http://seclists.org/fulldisclosure/2014/Oct/35 2) Отказ в обслуживании в Joomla. Уязвимость позволяет удаленному пользователю обойти ограничения безопасности. Уязвимость существует из-за неизвестной ошибки. Подробности не разглашаются. Больше информации: http://developer.joomla.org/security...f-service.html 3) Раскрытие важных данных в SSL. Уязвимость существует из-за ошибки в реализации протокола. Удаленный пользователь может путем осуществления MitM-атаки получить доступ к зашифрованным соединениям. Для устранения уязвимости необходимо полностью отключить использование SSL в пользу TLS! Дополнительная информация по ссылке: https://technet.microsoft.com/en-us/...y/3009008.aspx 4) Отказ в обслуживании в OpenSSL. Уязвимость существует из-за того, что SSL/TLS/DTLS сервер неправильно осуществляет проверку session ticket. Удаленный пользователь может вызвать утечку памяти и спровоцировать отказ в обслуживании. Подробности: https://www.openssl.org/news/secadv_20141015.txt 5) Неавторизованное изменение данных в Drupal. Уязвимость позволяет удаленному пользователю осуществить SQL-инъекцию. Для устранения установите последнюю версию с сайта производителя. Информация с официального сайта: https://www.drupal.org/SA-CORE-2014-005 Наш head-администратор продолжает публиковать материалы по современным технологиям, статья "Виртуальные ресурсы в Puppet" была размещена на Habrahabr. Если у вас есть какие либо вопросы по данной теме - наш специалист бесплатно ответит на них в комментариях к этой статье. |