Выпуск №12
Вид материала | Бюллетень |
- Список научных статей и тезисов конференций преподавателей университета «Дубна» филиал, 348.59kb.
- Справочник работ и профессий рабочих Выпуск 50 Раздел "Добыча и переработка рыбы, 1756.24kb.
- Бюллетень «Гражданская журналистика» Выпуск #4 (14. 10. 2005), 458.59kb.
- Управление образования мэрии Новосибирска Дворец творчества детей и учащейся молодежи, 1441.91kb.
- Программы Выпуск 7 г. Витебск, 837.73kb.
- 14 ноября начинает работу, 748.99kb.
- «молодая семья» Выпуск Молодая семья. Выпуск 2/ Под общ. Ред. А. Д. Плотникова, 30.65kb.
- Вконкурсе стенгазет «К штыку приравняем перо» ( литературный выпуск) и «Великая битва, 19.51kb.
- Модель "затраты – выпуск", 99.91kb.
- Паказальнік літаратуры, якая прапануецца для пераразмеркавання выпуск 1, 2011, 3578.25kb.
В OpenOffice обнаружена серьезная уязвимость
Специалисты по ИТ-безопасности из компании TrustDefence обнаружили опасную уязвимость в открытом офисном пакете OpenOffice, связанную с переполнением буфера при обработке изображений формата TIFF.
Опасность данной уязвимости усугубляется еще и тем, что все редакции вплоть до версии 2.0.4 под все платформы (Linux, Windows и Mac) подвержены переполнению буфера в результате внедрения специально созданного TIFF- файла.
Последняя версия пакета, выпущенная на прошлой неделе, уже не подвержена уязвимости.
В TrustDefence говорят, что вызвав переполнение буфера на компьютере-жертве злоумышленник может выполнить произвольный код, в том числе и вредоносный.
www.cybersecurity.ru
26.09.07 00:00
^
Последние дыры
В ядре Linux обнаружена ошибка, которая позволяет поднять полномочия локального пользователя в системе. Проблема возникает при работе с процессорами архитектуры x86_64. Она решена в версиях ядер 2.4.35.3 и 2.6.22.7.
В базах данных IBM Rational ClearQuest и Microsoft SQL Server обнаружена ошибка, которая позволяет повредить хранящимся в них данным. Ошибку обнаружили специалисты IBM, однако никаких подробностей о ней не раскрывается.
В нескольких продуктах VMware обнаружены ошибки, которые позволяют пользователю поднять свои полномочия в системе или провести DoS-атаку. Ошибок шесть и три из них связаны с работой DHCP в виртуальных средах. Производитель выпустил обновления, которые решают найденные проблемы.
www.osp.ru
26.09.07 00:00
^
В сервисах и продуктах Google обнаружены три уязвимости
В сервисах и продуктах Google в понедельник, 24 сентября 2007 г., были обнаружены три уязвимости, позволявшие злоумышленнику выполнить произвольный код на языке JavaScript от имени сайта и похитить реквизиты учетной записи, сохраненные в куки (cookie), а в одном случае - похитить фотографии из онлайн-хранилища.
Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa.
Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.
Вторая уязвимость того же типа обнаружена в поисковых машинах Google. Эксплоиты, опубликованные в блоге Mustlive, позволяли похитить аутентификационные куки при помощи специально сформированного URL, ведущего на сайт ICANN и Университета Йорка. Первая была устранена ICANN, а вторая пока действует. Поиск в Google показал, что примерно 200 тыс. сайтов могут быть использованы для атаки.
Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.
Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.
www.securitylab.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ |
19.09.07 00:00
^
SurfControl защищает почту
Компания SurfControl обновила программный фильтр, обеспечивающий безопасность использования электронной почты, и выпустила версию 6.0 ПО SurfControl E-mail Filter. В его состав входит созданная в этой компании служба рейтинга репутаций абонентов, применение которой позволяет автоматически прервать соединение при обнаружении IP-адреса отправителя, который был ранее уличен в рассылке спама. Разработчики считают, что такая возможность обеспечивает существую экономию, как полосы пропускания каналов связи, так и объема памяти устройств хранения почтовых сообщений. В состав E-mail Filter 6.0 входит дополнительный словарь, позволяющий устанавливать соответствие принятых слов и фраз определенным законодательным актам, а также определять идентификаторы системы социального страхования и номера кредитных карт. Обновленная функциональность управления политиками предоставляет возможность введения новых правил не более, чем за 5 с. Еще одно новое свойство версии 6.0 - антивирусная система, использование которой не требует дополнительных затрат. Стоимость нового ПО для организаций с двумя сотнями пользователей составляет 3 тыс. долл.
www.osp.ru
21.09.07 10:52
^
«Элвис-Плюс» анонсирует новую версию VPN-продукта «Застава»
Компания «Элвис-Плюс» готовится выпустить в продажу новую версию «Застава» 5.2, которая сменит хорошо себя зарекомендовавшую на рынке версию 3.3.
Новая версия превосходит предшественника по техническим характеристикам. «Застава» 5.2 обеспечивает защиту каналов передачи данных с пропускной способностью до 1Гбит/с (от 700 до 850 Мбит/сек в зависимости от применяемого криптоалгоритма).
VPN-агенты новой версии «Застава» позволяют применять для защиты канала производимые партнерами «Элвис-Плюс» криптосредства «Крипто-КОМ» 3.1, CryptoPRO CSP 2.0 и CryptoPRO CSP 3.0, реализующие отечественные стандарты ГОСТ Р 34.10-2001,,
ГОСТ Р 34.10-94, ГОСТ 28147-89 и ГОСТ Р 34.11.94.
«Застава-Офис» 5.2 поддерживает централизованно управляемое прикладное проксирование для целого ряда наиболее популярных сетевых сервисов и протоколов. В «Застава–Клиентах» 5.2 оптимизированы характеристики монитора состояния VPN-соединений.
В то же время, расширены возможности решений на базе продуктов «Застава» 5.2 по централизованному управлению сетевой информационной безопасностью.
Новый центр управления «Застава-Управление» 5.2 поддерживает целый ряд новых VPN-сценариев, включая управление удаленными «Застава-Клиентами» при их работе из-за шлюзов с трансляцией сетевых адресов (NAT-серверов), создание полносвязных VPN между «Застава-Клиентами» в удаленных Wi-Fi сетях, назначение мобильным «Застава-Клиентам» различных FW и VPN политик в зависимости от их местоположения и т.д.
Принципиально улучшен графический интерфейс пользователя (ГИП) «Застава-Управление» 5.2, в котором поддержаны визуализация конфигурируемых политик сетевой безопасности, включая трассировку VPN-соединений, а также добавлен новый вид графического представления политики сетевой безопасности в виде набора визуальных объектов, отображающих правила политики в масштабе всей защищаемой системы.
В «Застава-Управление» 5.2 поддержаны несколько видов ролей администраторов безопасности, изменен лицензионный механизм, что позволило без приобретения лицензии конфигурировать, редактировать, транслировать и демонстрировать политики безопасности в ГИП. Кроме того, в новой версии «Застава-Управление»:
добавлен генератор статистических отчетов,
поддержаны централизованный сбор и просмотр лог-файлов управляемых «Застава-Агентов»,
интегрировано управление функциями NAT в рамках общей политики FW/VPN для «Застава-Офисов»,
встроена активация политик по конфигурируемому расписанию,
поддержан мониторинг состояния управляемых агентов в реальном масштабе времени,
добавлена функция импорта политики VPN/FW-агентов третьих производителей,
встроена подсистема приема и отображения SNMP-алертов и статистики состояния агентов.
Отметим также, что «Застава–Управление» 5.2 устанавливается как единый инсталляционный пакет, не требуя отдельной дополнительной установки «Застава-Офис» на том же компьютере.
В настоящее время пакет продуктов «Застава» 5.2 проходит сертификационные испытания в системе ФСТЭК по 3-му классу защищенности межсетевых экранов (МЭ) и 3-му уровню контроля отсутствия недекларированных возможностей (НДВ) по РД Гостехкомиссии.
На выставке Infosecurity Russia 2007 компания представит демонстрационный стенд с несколькими решениями по обеспечению сетевой безопасности на базе продуктов «Застава» 5.2. Начало продаж новой версии семейства «Застава» запланировано на конец года.
www.cnews.ru
21.09.07 12:28