Выпуск №12

Вид материалаБюллетень

Содержание


В OpenOffice обнаружена серьезная уязвимость
Последние дыры
В сервисах и продуктах Google обнаружены три уязвимости
SurfControl защищает почту
«Элвис-Плюс» анонсирует новую версию VPN-продукта «Застава»
Подобный материал:
1   ...   6   7   8   9   10   11   12   13   ...   19
^

В OpenOffice обнаружена серьезная уязвимость


Специалисты по ИТ-безопасности из компании TrustDefence обнаружили опасную уязвимость в открытом офисном пакете OpenOffice, связанную с переполнением буфера при обработке изображений формата TIFF.

Опасность данной уязвимости усугубляется еще и тем, что все редакции вплоть до версии 2.0.4 под все платформы (Linux, Windows и Mac) подвержены переполнению буфера в результате внедрения специально созданного TIFF- файла.

Последняя версия пакета, выпущенная на прошлой неделе, уже не подвержена уязвимости.

В TrustDefence говорят, что вызвав переполнение буфера на компьютере-жертве злоумышленник может выполнить произвольный код, в том числе и вредоносный.

www.cybersecurity.ru


26.09.07 00:00
^

Последние дыры


В ядре Linux обнаружена ошибка, которая позволяет поднять полномочия локального пользователя в системе. Проблема возникает при работе с процессорами архитектуры x86_64. Она решена в версиях ядер 2.4.35.3 и 2.6.22.7.

В базах данных IBM Rational ClearQuest и Microsoft SQL Server обнаружена ошибка, которая позволяет повредить хранящимся в них данным. Ошибку обнаружили специалисты IBM, однако никаких подробностей о ней не раскрывается.

В нескольких продуктах VMware обнаружены ошибки, которые позволяют пользователю поднять свои полномочия в системе или провести DoS-атаку. Ошибок шесть и три из них связаны с работой DHCP в виртуальных средах. Производитель выпустил обновления, которые решают найденные проблемы.

www.osp.ru


26.09.07 00:00
^

В сервисах и продуктах Google обнаружены три уязвимости


В сервисах и продуктах Google в понедельник, 24 сентября 2007 г., были обнаружены три уязвимости, позволявшие злоумышленнику выполнить произвольный код на языке JavaScript от имени сайта и похитить реквизиты учетной записи, сохраненные в куки (cookie), а в одном случае - похитить фотографии из онлайн-хранилища.

Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa.

Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.

Вторая уязвимость того же типа обнаружена в поисковых машинах Google. Эксплоиты, опубликованные в блоге Mustlive, позволяли похитить аутентификационные куки при помощи специально сформированного URL, ведущего на сайт ICANN и Университета Йорка. Первая была устранена ICANN, а вторая пока действует. Поиск в Google показал, что примерно 200 тыс. сайтов могут быть использованы для атаки.

Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.

Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.

www.securitylab.ru


СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

19.09.07 00:00
^

SurfControl защищает почту


Компания SurfControl обновила программный фильтр, обеспечивающий безопасность использования электронной почты, и выпустила версию 6.0 ПО SurfControl E-mail Filter. В его состав входит созданная в этой компании служба рейтинга репутаций абонентов, применение которой позволяет автоматически прервать соединение при обнаружении IP-адреса отправителя, который был ранее уличен в рассылке спама. Разработчики считают, что такая возможность обеспечивает существую экономию, как полосы пропускания каналов связи, так и объема памяти устройств хранения почтовых сообщений. В состав E-mail Filter 6.0 входит дополнительный словарь, позволяющий устанавливать соответствие принятых слов и фраз определенным законодательным актам, а также определять идентификаторы системы социального страхования и номера кредитных карт. Обновленная функциональность управления политиками предоставляет возможность введения новых правил не более, чем за 5 с. Еще одно новое свойство версии 6.0 - антивирусная система, использование которой не требует дополнительных затрат. Стоимость нового ПО для организаций с двумя сотнями пользователей составляет 3 тыс. долл.

www.osp.ru


21.09.07 10:52
^

«Элвис-Плюс» анонсирует новую версию VPN-продукта «Застава»


Компания «Элвис-Плюс» готовится выпустить в продажу новую версию «Застава» 5.2, которая сменит хорошо себя зарекомендовавшую на рынке версию 3.3.

Новая версия превосходит предшественника по техническим характеристикам. «Застава» 5.2 обеспечивает защиту каналов передачи данных с пропускной способностью до 1Гбит/с (от 700 до 850 Мбит/сек в зависимости от применяемого криптоалгоритма).

VPN-агенты новой версии «Застава» позволяют применять для защиты канала производимые партнерами «Элвис-Плюс» криптосредства «Крипто-КОМ» 3.1, CryptoPRO CSP 2.0 и CryptoPRO CSP 3.0, реализующие отечественные стандарты ГОСТ Р 34.10-2001,,
ГОСТ Р 34.10-94, ГОСТ 28147-89 и ГОСТ Р 34.11.94.

«Застава-Офис» 5.2 поддерживает централизованно управляемое прикладное проксирование для целого ряда наиболее популярных сетевых сервисов и протоколов. В «Застава–Клиентах» 5.2 оптимизированы характеристики монитора состояния VPN-соединений.

В то же время, расширены возможности решений на базе продуктов «Застава» 5.2 по централизованному управлению сетевой информационной безопасностью.

Новый центр управления «Застава-Управление» 5.2 поддерживает целый ряд новых VPN-сценариев, включая управление удаленными «Застава-Клиентами» при их работе из-за шлюзов с трансляцией сетевых адресов (NAT-серверов), создание полносвязных VPN между «Застава-Клиентами» в удаленных Wi-Fi сетях, назначение мобильным «Застава-Клиентам» различных FW и VPN политик в зависимости от их местоположения и т.д.

Принципиально улучшен графический интерфейс пользователя (ГИП) «Застава-Управление» 5.2, в котором поддержаны визуализация конфигурируемых политик сетевой безопасности, включая трассировку VPN-соединений, а также добавлен новый вид графического представления политики сетевой безопасности в виде набора визуальных объектов, отображающих правила политики в масштабе всей защищаемой системы.

В «Застава-Управление» 5.2 поддержаны несколько видов ролей администраторов безопасности, изменен лицензионный механизм, что позволило без приобретения лицензии конфигурировать, редактировать, транслировать и демонстрировать политики безопасности в ГИП. Кроме того, в новой версии «Застава-Управление»:

добавлен генератор статистических отчетов,

поддержаны централизованный сбор и просмотр лог-файлов управляемых «Застава-Агентов»,

интегрировано управление функциями NAT в рамках общей политики FW/VPN для «Застава-Офисов»,

встроена активация политик по конфигурируемому расписанию,

поддержан мониторинг состояния управляемых агентов в реальном масштабе времени,

добавлена функция импорта политики VPN/FW-агентов третьих производителей,

встроена подсистема приема и отображения SNMP-алертов и статистики состояния агентов.

Отметим также, что «Застава–Управление» 5.2 устанавливается как единый инсталляционный пакет, не требуя отдельной дополнительной установки «Застава-Офис» на том же компьютере.

В настоящее время пакет продуктов «Застава» 5.2 проходит сертификационные испытания в системе ФСТЭК по 3-му классу защищенности межсетевых экранов (МЭ) и 3-му уровню контроля отсутствия недекларированных возможностей (НДВ) по РД Гостехкомиссии.

На выставке Infosecurity Russia 2007 компания представит демонстрационный стенд с несколькими решениями по обеспечению сетевой безопасности на базе продуктов «Застава» 5.2. Начало продаж новой версии семейства «Застава» запланировано на конец года.

www.cnews.ru


21.09.07 12:28