Ничего нет внутри у людей, вечно выставляющих все наружу

- Доктор! У меня стул. Регуляpно. Ровно в шесть утра. На пpотяжении пяти лет. ...

В Firefox 62 модернизирован поиск на странице открытия новой вкладки
Mon, 20 Aug 2018 09:45:45 +0300

Debian GNU/Linux исполнилось 25 лет
Thu, 16 Aug 2018 07:51:55 +0300

Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux
Thu, 16 Aug 2018 07:42:23 +0300

Опубликован RFC для TLS 1.3
Mon, 13 Aug 2018 20:41:22 +0300

Компания Tesla намерена открыть код систем обеспечения безопасности
Mon, 13 Aug 2018 07:13:08 +0300

Представлен порт Qt 1 для современных систем
Mon, 13 Aug 2018 07:06:50 +0300

Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4
Sun, 12 Aug 2018 08:45:31 +0300

Инициатива по развитию открытого ПО для киноиндустрии
Fri, 10 Aug 2018 23:12:43 +0300

Разработчики bzip2 потеряли контроль над доменом bzip.org
Fri, 10 Aug 2018 10:00:02 +0300

Google назвал нового руководителя Android Open Source Project
Wed, 08 Aug 2018 23:28:27 +0300

Компания Lenovo подключилась к инициативе доставки обновлений прошивок для Linux
Tue, 07 Aug 2018 22:38:07 +0300

Выпуск языка программирования Dart 2.0
Tue, 07 Aug 2018 20:39:46 +0300

Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
Mon, 06 Aug 2018 23:46:28 +0300

Тенденция "Bullshit Web"
Sun, 05 Aug 2018 08:30:14 +0300

Mozilla включает телеметрию для вкладок в режиме приватного просмотра
Sat, 04 Aug 2018 08:32:50 +0300

Новости OPENNET
Новости

В маршрутизаторах Netgear выявленo пять уязвимостей. В том числе обнаружена возможность входа в web-интерфейс без аутентификации, присутствующая в 17 моделях устройств Netgear. Проблема проста в эксплуатации и напоминает бэкдор - для выполнения любых операций в web-интерфейсе достаточно к URL запроса добавить аргумент "&genie=1" и данные операции будут выполнены без проверки параметров аутентификации.

Другая уязвимость позволяет получить доступ к содержимому любых файлов в файловых системах устройства, в том числе файлов с паролями и файлов на подключенных внешних USB-накопителях. Проблема вызвана отсутствием проверки обращения к ресурсам с использованием косвенных путей ("..") в скрипте genie_restoring.cgi, предназначенном для восстановления пароля. Например, для получения содержимого файла README.txt из примонтированного накопителя можно отправить запрос "http://192.168.1.1/genie_restoring.cgi?id=304966648" передав через метод POST аргументы "id=304966648&next_file=cgi-bin/../../tmp/mnt/usb0/part1/README.txt".

Другие уязвимости представляют меньшую опасность, например, одна из проблем позволяет в течение двух минут выполнить код c правами root на устройстве после нажатия кнопки настройки защищённого беспроводного соединения (Wi-Fi Protected Setup). Эксплуатация производится через попытку подключения к маршрутизатору устройств с именем вида MR" /sbin/reboot ". Похожая уязвимость позволяет выполнить произвольных код на устройстве при наличии доступа в web-интерфейс (можно использовать для CRSF-атак), путём подстановки команд в параметре device_name, (например, "&device_name=A%22+%26%26+touch+%2Ftmp%2Fjimmers+%26%26+echo+%22B").

Компания Netgear уже выпустила обновление прошивки, которое срочно необходимо установить всем пользователям уязвимых устройств. Также рекомендует проследить, чтобы web-интерфейс был доступен только из внутренней сети и был заблокирован для запросов из интернет.

Примечательно, что информация о проблемах была передана в компанию Netgear ещё в марте прошлого года, обновление прошивок с исправлениями были опубликованы осенью, а сведения о наличии уязвимостей раскрыты только сейчас.

66.8757 76.1848 0.6041 9.7188

НОВОСТИ: В Firefox-дополнении Web Security выявлена отправка информации о ... Thu, 16 Aug 2018 08:41:01 +0300

В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome