Wpisy z tagiem "błąd"

W czwartek łatajcie PostgreSQL

W popularnej bazie danych PostgreSQL odkryto poważny błąd, który zostanie załatany dopiero w czwartek 4 kwietnia. Błąd jest na tyle poważny, że do tego czasu zamknięto dostęp do repozytorium kodu źródłowego bazy, by niepowołane osoby nie mogły zapoznać się z opisem błędu i go wykorzystać, zanim pojawi się łata.… Czytaj dalej

Prywatne zdjęcia na Flickr.com nie były takie prywatne

Prywatne zdjęcia na Flickr.com nie były takie prywatne

Coraz większa grupa użytkowników sieci jest świadoma czyhających zagrożeń i dba o ustawienia prywatności na swoich profilach. Ich wysiłki mogą jednak iść na marne, gdy błąd serwisu, któremu dane powierzyli, wystawia je na widok publiczny.… Czytaj dalej

Błędy w UPnP – miliony ruterów, drukarek i kamer zagrożone

Błędy w UPnP – miliony ruterów, drukarek i kamer zagrożone

Z protokołu UPnP, umożliwiającego bezpośrednią komunikację między komputerami i urządzeniami sieciowymi, korzystają dziesiątki milionów urządzeń domowych. Spora ich część jest podatna na krytyczne błędy, umożliwiające przejęcie nad nimi kontroli.… Czytaj dalej

Tysiące systemów monitoringu dostępnych zdalnie w sieci

Tysiące systemów monitoringu dostępnych zdalnie w sieci

Wraz ze wzrostem liczby urządzeń podłączonych do sieci wzrasta też zainteresowanie nimi badaczy, zajmujących się bezpieczeństwem. Konsekwencją tego procesu są kolejne odkrycia kompromitujących luk – tym razem w systemach monitoringu wizyjnego.… Czytaj dalej

Adobe Shockwave niezałatane od ponad dwóch lat

Adobe Shockwave niezałatane od ponad dwóch lat

Podejście niektórych firm do usuwania zgłoszonych błędów jest bulwersujące. Kilka miesięcy, które na załatanie krytycznych błędów w Javie potrzebuje Oracle to i tak nic w porównaniu z Adobe, które od dwóch lat ignoruje błędy w platformie Shockwave.… Czytaj dalej

Statystyki Counter Strike’a na serwerze GDDKiA

Czasem się zdarzy, że jakiemuś administratorowi sieci omsknie się palec i znienacka serwer pokazuje nie tę stronę, co trzeba. Konsekwencje mogą być wszelakie – w zależności od tego, co i gdzie się znienacka pokazało. W tym przypadku mogło być gorzej, ale jednak statystyki banów na serwerze Counter Strike’a nie wyglądają zbyt poważnie pod adresem http://www.warszawa.gddkia.gov.pl.… Czytaj dalej

Kto odkrył 0day’a na Adobe, a kto ukradł dla sławy i zysku

Kto odkrył 0day’a na Adobe, a kto ukradł dla sławy i zysku

Wczoraj opisaliśmy błąd typu 0day w Adobe X/XI, omijający sandbox, rzekomo odkryty na podziemnych rosyjskich forach internetowych przez firmę Group-IB. Okazuje się, że firma ta „pożyczyła” nagranie wideo z pokazem błędu od prawdziwego odkrywcy.… Czytaj dalej

Jak zalogować się do CISCO ACS z TACACS+ bez znajomości hasła?

Pamiętacie, jak okazało się, że do bazy MySQL można, w pewnych szczególnych warunkach, zalogować się bez hasła, pod warunkiem, że próbuje się wystarczająco dużo razy? CISCO nie chciało być gorsze i postanowiło również ułatwić życie użytkownikom. Jeśli wierzyć biuletynowi bezpieczeństwa, który ukazał się przed chwilą, podstawowy produkt z linii bezpieczeństwa CISCO, Access Control System, zwany popularnie ACSem, korzystający z protokołu TACACS+ i zewnętrznej bazy LDAP, pozwoli każdemu włamywaczowi, który zgadnie nazwę użytkownika, na zalogowanie się na jego konto.… Czytaj dalej

Błąd w konfiguracji Apache umożliwia podglądanie sesji http

Błąd w konfiguracji Apache umożliwia podglądanie sesji http

Czasem nie wystarcza kod napisany zgodnie z zasadami bezpieczeństwa, firewall aplikacyjny oraz testy penetracyjne. Mimo wszystkich zabezpieczeń serwer Apache potrafi udostępniać dane, których nie powinny widzieć osoby postronne. … Czytaj dalej

Infekcja przez plik z filmem? Uważajcie na .ASF, .QT i .WMV

Infekcja przez plik z filmem? Uważajcie na .ASF, .QT i .WMV

Czy można zarazić się wirusem, oglądając film ściągnięty z sieci? Wygląda to jak scenariusz filmu z Hollywood, ale niedawno odkryte błędy w jednej z popularnych bibliotek pokazują, że jest to całkiem możliwe. Złośliwy kod można ukryć w pliku wideo.… Czytaj dalej

Czy błąd typu 0day może czekać 30 miesięcy na upublicznienie?

Czy błąd typu 0day może czekać 30 miesięcy na upublicznienie?

Błędy typu 0day stanowią od zawsze zmorę oficerów bezpieczeństwa. Trudne do wykrycia, skuteczne wobec nie podejrzewających niczego użytkowników, są silna bronią w rękach przestępców. Jak długo są one w użyciu, zanim zostaną upublicznione?… Czytaj dalej

Dziura w najnowszej aktualizacji Javy – kolejna kompromitacja Oracla

Dziura w najnowszej aktualizacji Javy – kolejna kompromitacja Oracla

Najpierw okazało się, że Oracle wiedział o błędach w Javie od kwietnia. Potem wydał poprawkę, ale dopiero po 4 dniach od ujawnienia krążących po sieci exploitów. Teraz okazuje się, że w wydanej poprawce znalazły się nowe błędy.… Czytaj dalej

Błąd w Minecrafcie umożliwiał logowanie na konto dowolnego użytkownika

Błąd w Minecrafcie umożliwiał logowanie na konto dowolnego użytkownika

W ciągu ostatnich dni niektórzy administratorzy serwerów Minecrafta zaobserwowali dziwne sesje – na ich maszyny logował się twórca gry Notch, lub ktoś, kto przejął jego sesję. … Czytaj dalej

Błąd w MySQL umożliwia logowanie bez hasła – 0day na roota

Błąd w MySQL umożliwia logowanie bez hasła – 0day na roota

Rzadko trafiają się błędy aż tak kuriozalne, jak ten. Okazuje się, że ze względu na możliwy błąd w porównaniu wartości dwóch zmiennych w procesie logowania, baza może uznać losowe hasło za prawidłowe i przydzielić dostęp do dowolnego konta – w tym roota.… Czytaj dalej

Google podnosi stawki za błędy

Google podnosi stawki za błędy

Wszyscy badacze, którzy zgłosili w ostatnim czasie błędy w produktach Googla, motywowani nagrodą finansową, mogą sobie pluć w brodę, że nie poczekali jeszcze kilku chwil. Google, ustami klawiaturą m. in. Michała Zalewskiego, ogłosiło kilkakrotną podwyżkę dotychczas przyznawanych nagród dla raportujących błędy.… Czytaj dalej

Aruba