Сайт о Linux совместимых системах

Сообщается о взломе инфраструктуры проекта phpBB, сайт которого остается заблокированным с воскресенья. Используя брешь в безопасности модуля PHPList злоумышленникам удалось перехватить базу в 400 тысяч аккаунтов пользователей форума. Атаковавшим удалось восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликовали в сети, вместе адресами электронной почты и персональными данными пользователей.

Команда разработчиков сообщает, что в самом коде форума phpBB неисправленные уязвимости отсутствуют и проблема касается только приложения PHPList, используемого в проекте для работы с почтовой рассылкой.

Компания Red Hat представила новый релиз платформы MRG 1.1 (Messaging, Real Time and Grid) для создания решений для задач с гарантированным временем выполнения, организации обмена сообщениями между бизнес приложениями и создании среды распределенных вычислений.

Инфраструктура MRG состоит из базовых компонент:
"MRG Messaging" - для организации быстрого и надежного обмена сообщениями между бизнес приложениями или web-сервисами. Решение построено на основе открытого протокола AMQP;
"MRG Realtime" - выполнение критических к задержкам выполнения задач за счет использования специального Linux ядра с Realtime расширениями, пригодного для установки в дистрибутивах серии Red Hat Enterprise Linux 5;
"MRG Grid" - создание грид-среды для распределенного решения разноплановых задач. Разработка базируется на открытом проекте Condor. Поддерживается создание сети на основе локальных и удаленных машин, виртуальных и cloud-окружений, на основе задействовании времени простоя процессора на обычных рабочих станциях;
Средства для централизованного и унифицированного управления конфигурацией набора машин;
High Performance Computing (HPC) - организация высокопроизводительных вычислений, с полной поддержкой разработки параллельных алгоритмов на Java, JMS, .NET, C++, Ruby и Python.

Исследовательское подразделение компании IBM опубликовало отчет с анализом рисков и ургоз, связанных с проблемами безопасности. В отчете сделано заключение, что 53% всех обнаруженных в 2008 году уязвимости до сих пор остаются неисправленными. Год назад этот показатель составлял 44%.

Если рассмотреть 10 ведущих производителей ПО, то у них неисправленными осталось 19% известных уязвимостей, например, для Mac OS X число неисправленных проблем - 14.3%, для Linux ядра - 10.9%, Solaris - 7.3%, Windows - 5.5%.

Наибольшее число обнаруженных уязвимостей найдено в продуктах Microsoft, за ним, с небольшим отставанием следует Apple. В прошлом году около 55% было связано с web-приложениями, такие проекты, как Joomla, Drupal и Typo3 оказались в списке лидеров по числу проблем безопасности. Из числа 55% ошибок в web-приложениях, 74% до сих пор остаются неисправленными (разработчики часто игнорируют XSS и CSRF проблемы).

Из наиболее часто используемых злоумышленниками уязвимостей (как правило они задействованы для распространения троянского ПО) называются ошибки в Microsoft MDAC RDS ActiveX, RealPlayer IERPCtl ActiveX, MS WebViewFolderIcon ActiveX, Apple QuickTime и в Adobe Flash плагине. <

Вышел релиз прокси-сервера squid-3.0.STABLE13 в котором исправлена критическая уязвимость, позволяющая злоумышленнику заблокировать работу прокси через отправку запроса, содержащего некорректные данные в поле версии протокола HTTP (задание номера больше 65536, например, HTTP/1.65537). Уязвимость присутствует и в ветке 2.7, обновление STABLE6 пока не вышло, но должно быть выпущено сегодня.

Кроме проблемы в Squid, можно отметить несколько менее опасных уязвимостей:
В популярных VNC клиентах UltraVNC и TightVNC найдено несколько уязвимостей, связанных с возможностью вызова целочисленного переполнения. Используя данные проблемы атакующий может инициировать выполнение своего кода на стороне клиента в момент попытки подключения к VNC серверу злоумышленника. Уязвимости устранены в релизах UltraVNC 1.0.5.4 и TightVNC 1.3.10.
В недавно выпущенных обновлениях Linux ядра 2.6.27.14 и 2.6.28.3 исправлены две уязвимости, которые можно использовать для совершения DoS атаки локальным пользователем. Первая уязвимость связана с возможностью вызова краха системы при попытке монтирования специальным образом поврежденного ext3 раздела. Вторая проблема вызвана ошибкой в функции inotify_read(), которая приводит к краху ядра при передаче некорректного указателя в системный вызов read(), при использовании его параллельно через inotify.