КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи ╧ 04'2002 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
═Консультант компании Next Generation Security Software David Litchfield сообщил об обнаружении им недостатков в СУБД Oracle 9i, которое в принципе может предоставить доступ к корпоративным серверам с БД.
Он обнаружил дыру при сканировании СУБД. Она содержится в модулях БД Oracle и сервере Java, работающих с ПО Apache. Компания Oracle выпустила в феврале патчи в дополнение к декабрьским. В июле прошлого года была найдена уязвимость в СУБД Oracle 8i.
═Организация SecuriTeam сообщила═(http://www.securiteam.com/windowsntfocus/5XP0C0A62K.html) об обнаружении уязвимости типа ╚отказ в обслуживании╩ у Bea Weblogic Server 6.1 Service Pack 1 for Windows NT/2000. Она проявляется при обработке специфических запросов, содержащих DOS-устройства.
Когда сервер Bea Weblogic получает запрос .jsp request, он вызывает внешний компилятор для обработки запроса. Если требуется устройство DOS (например, aux или prn) с расширением .jsp, сервер может быть введен в заблуждение и рассмотреть его как правильный запрос на ресурсы .jsp. Внешний компилятор пробудится, и вследствие природы DOS-устройств его рабочая нить никогда не кончится. Сервер обрабатывает порядка 10-11 нитей, и по достижении этого значения он не сможет обработать более ни одного запроса. Поскольку оба протокола ≈ HTTP и HTTPS ≈ обрабатываются одним и тем же модулем, оба будут поражены, если атакован будет хотя бы один из них. Service Pack 2, который лечит эту беду, находится по адресу http://commerce.beasys.com.
Нити √ это процессы, которые исполняются независимо в программе или системе.
http://www.pandasoftware.com/com/pandacorp/pandaworldwide.asp
═SecuriTeam сообщила, что версия MiraMail 1.4 сохраняет письма, пришедшие по электронной почте, и информацию, которая может включать имена пользователей и пароли для счетов POP, в незашифрованном файле .ini.
Это означает, что любой пользователь, имеющий доступ к папке, в которой инсталлировано ПО MiraMail, может просмотреть файл и модифицировать его записи.
Разработчик MiraMail, компания Nevrona Designs, пообещала исправить эту ошибку в следующей версии 1.5.
Шифровка данных в файле .ini будет осуществлена с помощью алгоритма MD%.
MiraMail ≈ это корпоративный почтовый сервер для Windows.
http://www.securiteam.com/windowsntfocus/5LP0C1P60G.html
═Обнаружена ошибка в функции ICQ Voice Video & Games в версиях до 2001b. ICQ рекомендует пользователям по адресу http://web.icq.com/help/quickhelp/1,,117,00.html обновить их приложения до последней версии. Проблема в этих версиях ICQ состоит в обработке определенных пакетов данных, которые могут переполнять буферы и позволить хакеру исполнить вредный код на машине, не уведомляя пользователя. ICQ 2001b было выпущено 31 октября 2001 г. Согласно информации от ICQ, если вы хотите узнать, какая версия инсталлирована на вашем компьютере, кликните на любом User Name в ICQ Contacts List и посмотрите опцию Launch Voice/Video и Launch Games. Если эти опции наличествуют, то версия клиента ICQ уязвима, и надо загрузить обновление с адреса http://www.icq.com/download/.
═Организация NGSSoftware Insight Security Research сообщила (http://www.nextgenss.com/advisories/oraplsextproc.txt) об обнаружении уязвимости в базах данных Oracle, которая позволяет хакеру выполнить любую функцию в любой библиотеке. Наличие проблемы подтверждено самой корпорацией Oracle (http://otn.oracle.com/deploy/security/pdf/plsextproc_alert.pdf.)
═Из различных источников, включая организацию CERT/CC (Computer Emergency Response Team), поступают предупреждения об обнаружении уязвимостей в большинстве реализаций протокола передачи данных Simple Network Management Protocol (SNMP), при помощи которого системные администраторы осуществляют конфигурацию и управление сетевыми устройствами, операционными системами и прочими элементами сетевой инфраструктуры. Эти уязвимости обнаружены в реализациях версии 1 (SNMPv1), позволяют хакеру устроить отказ в обслуживании и даже получить доступ к зараженным устройствам ≈ практически к любому сетевому устройству, в том числе серверу, ПК, принтеру или факсу. В числе возможных операций над сетевыми устройствами доступны отключение их от сети.
Как сообщают представители CERT, специалисты организации уже в течение шести месяцев занимаются решением данной проблемы совместно с представителями крупнейших корпораций, специализирующихся на развитии сетевых технологий, в числе которых Microsoft, 3Com, Cisco Systems, Compaq Computer, Sun Microsystems и Hewlett-Packard. Некоторые из перечисленных компаний уже предложили программы-заплатки для собственного оборудования, однако коллективного решения для самого протокола в настоящее время еще не существует.
При этом, как отмечают эксперты CERT, запрет на использование SNMP в глобальных и локальных сетях вряд ли является эффективной мерой, поскольку одновременно из строя окажутся выведены множество сетевых сервисов, основанных на этом протоколе, например, системы Интернет-биллинга.
═Корпорация═Microsoft сообщила═о═выпуске═(http://www.microsoft.com/technet/security/bulletin/ms02-005.asp) объединенного патча для MS Internet Explorer (IE) 5.01, 5.5 и 6. Этот патч исправляет все известные ошибки и 6 новых уязвимостей, которые позволяют пользователям просматривать файлы и прочую информацию, а также исполнять код на зараженной системе.
Данный кумулятивный патч расположен по адресу: http://www.microsoft.com/windows/ie/downloads/critical/q316059/.
Это следующие уязвимости:
1.═Уязвимость, ассоциирующаяся с директивой HTML, используемой для встраивания документа в Web-страницу. Создав Web-страницу, вызывающую директиву, используя специально выбранные атрибуты, хакер может исполнять код в пользовательской системе.
2.═Уязвимость, ассоциирующаяся с функцией GetObject, которая позволяет читать файлы на зараженном компьютере.
3.═Новая версия известной ранее уязвимости Frame Domain Verification, которая позволяет оператору злоумышленнику Web-сайта открыть два окна браузера, одно в домене Web-сайта,
а другое в локальной файловой системе пользователя, и передавать информацию из последнего в первое.
4.═Уязвимость, которая позволяет хакеру изменить имя файла, отраженное в диалоговом окне File Download, тем самым вводя в заблуждение пользователя, что планируемый им к загрузке файл безопасен.
5.═Уязвимость, которая позволяет Web-странице открыть файл на Web-сайте, используя любое приложение, инсталлированное на зараженной компьютерной системе. Согласно конструкции, IE открывает на Web-сайте файлы только посредством зарегистрированных для этого типа файлов приложений и только в том случае, если оно находится в списке безопасных приложений. Однако хакер может избежать этого ограничения и назначить приложение, которое можно использовать для конкретного файла.
6.═Уязвимость, которая может позволить Web-странице исполнять скрипты даже в том случае, если эта функция была отменена в конфигурации браузера.
═Организация SecurityFocus сообщила (http://www.securityfocus.com/bid/3929/), что URL-запросы для имен устройств MS-DOS могут заблокировать работу Web-серверов под Cyberstop 0.1.
Уязвимость в Cyberstop может вызвать отказ в обслуживании при получении запросов URL вроде: http://www.servidor_vulnerable/aux/ или http://www.servidor_vulnerable/prn. После блокирования придется осуществить аппаратную перезагрузку Web-сервера Cyberstop, чтобы вернуться к нормальной работе служб.
Cyberstop ≈ это Web-сервер для Windows 9x/NT/2000.
═Корпорация Sony обнаружила проблемы с защитой в ПО различных моделей компьютеров серии Vaio. Уязвимость обнаружена у проинсталлированного ПО Vaio Manual версий 3.0 и 3.1.
Согласно данным корпорации Sony (http://vcl.vaio.sony.co.jp/Security/english/tecinfo.html), хакер может использовать дыру посредством Web-страницы или электронного письма в HTML-формате для запуска программ на компьютере жертвы или получения полного контроля над ним.
Перечень моделей, у которых обнаружена дыра, находится по адресу: http://vcl.vaio.sony.co.jp/Security/english/list.html.
Загрузить патч можно по адресу: http://vcl.vaio.sony.co.jp/Security/english/index.html.
═Организация SecuriTeam сообщает═(http://www.securiteam.com/securitynews/5GP0T0U60M.html)
об обнаружении уязвимостей в браузерах Mozilla и Netscape, которые позволяют получить доступ к cookies на компьютерах пользователей.
Посредством дыры в версиях Mozilla, предшествующих 0.9.7, и версиях Netscape, предшествующих 6.2.1, хакеры могут украсть пользовательские cookies в выданном домене, если хакер сможет заставить браузер пользователя загрузить выданный URL. Это не требует наличия активных скриптов в браузере, и может быть проделано столь простым путем, как ссылка на картинку, указывающая на специально испорченный URL. Эта ссылка может быть включена в Web-страницу или e-mail.
Cookies, часто используемые как средство идентификации и аутентификации пользователей
на Web-сайте, содержат информацию, включающую имена пользователей и пароли. Украв cookies, хакер получает доступ к конфиденциальной информации, содержащейся в них.
═Уязвимость в DCForum, продукте для создания и администрирования дискуссионных форумов в Интернет, может позволить хакеру в удаленном режиме создать новые пароли и изменить администраторский аккаунт.
Проблему породила функция программы по генерации новых паролей посредством алгоритма, который не является полностью случайным, поскольку зависит от известных данных (таких как имя пользователя или адрес e-mail).
Решение этой проблемы, заключающееся в модификации алгоритма генерации новых паролей, высчитывающихся полностью случайным путем, доступно по адресу: http://www.dcscripts.com/bugtrac/DCForumID7/3.html.
═Компания Cisco опубликовала (http://www.cisco.com/warp/public/707/catos-telrcv-vuln-pub.shtml) предупреждение о брешах в защите ее коммутаторов Cisco Catalyst, использование которых хакерами может привести к отказу в обслуживании. Это касается моделей серии 4000, 5000 и 6000, а также моделей 2948G и 2900. Уязвимость вызывает переполнение буфера, что может привести к отказу демона Telnet и перезагрузке коммутатора. Если коммутатор перезагружается, хакер может повторять операцию постоянно, создавая для всех прочих пользователей отказ в обслуживании.
Cisco предлагает обновить попадающие под удар коммутаторы до последней доступной версии. Прочие меры предосторожности включают использование ssh вместо Telnet или применении листов контроля доступа (ACLs).
═Организация SecurityFocus сообщает (http://www.securityfocus.com/archive/1/253830) о двух уязвимостях, приводящих к отказу в обслуживании, в Lotus Domino Webserver под Windows 2000, версии до 5.0.9a.
Это безобразие получится, если хакер пошлет запрос к устройствам DOS (CON, PRN, NUL...) из CGI-BIN. Если хакер пошлет запрос около 400 раз, память сервера будет использована полностью и не даст системе работать правильно.
Вторая ошибка происходит, если запросы к DOS-устройствам (CON, PRN, NUL...) посланы из CGI-BIN без расширения. Запрос признается действенным, но при его обработке файл не реализуется. После посылки 400 схожих запросов все процессы будут использованы, и сервер не примет больше ни одного.
Компания Lotus выдала версию 5.0.9a Lotus Domino, в которой уязвимость устранена. Загрузить ее можно по адресу http://notes.net/qmrdown.nsf.
1. Интернет-червь Yarner маскируется под официальное сообщение популярного немецкого Web-сайта Trojaner-Info, посвященного проблемам антивирусной безопасности, и распространяется по электронной почте в виде вложенных файлов Yawsetup.exe. Зараженные письма содержат текст и заголовок на немецком языке.
Прежде всего, Yarner создает в каталоге Windows дополнительный файл со случайным именем (до 100 символов) и регистрирует его в секции автозапуска системного реестра Windows. Таким образом, червь активизируется после каждой перезагрузки ОС. Для рассылки по электронной почте Yarner получает доступ к адресной книге MS Outlook, а также сканирует содержимое файлов форматов PHP, HTM, SHTM, CGI, PL в каталоге Windows и считывает оттуда адреса электронной почты. Эти данные записываются в файлы Kernel32.daa и Kernel32.das. После этого червь соединяется с удаленным SMTP-сервером и через него рассылает свои копии.
Yarner также имеет исключительно опасную деструктивную функцию. С вероятностью 10═% после рассылки писем червь уничтожает все данные на зараженном компьютере.
2. Интернет-червь CoolNow проникает на компьютеры при посещении Web-сайтов и распространяется при помощи популярного Интернет-пейджера MSN Messenger. При посещении этих сайтов автоматически запускается вредоносный Java-скрипт. Используя брешь в системе безопасности Internet Explorer (Frame Domain), она незаметно для пользователя получает доступ к адресной книге MSN Messenger и от имени владельца компьютера рассылает при помощи этого Интернет-пейджера предложение посетить вредоносный Web-сайт. На данный момент обнаружено уже 7 модификаций CoolNow, которые используют различные Web-сайты. Сейчас предпринимаются все необходимые действия для закрытия этих источников, после чего Интернет-червь потеряет способность распространяться. Однако не исключено, что в будущем появятся новые версии вредоносной программы, ссылающиеся на еще работающие Web-сайты.
Заплатка для Internet Explorer: http://www.microsoft.com/windows/ie/downloads/critical/q316059/default.asp.
* Описание бреши Frame Domain: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/.
bulletin/MS02-005.asp.
КОМПЬЮТЕР-ИНФОРМ Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей