Мудрость добро, а добро – мудрость.

Лекция началась. Один студент опоздал. ...

Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect
Tue, 19 Mar 2019 23:21:37 +0300

Cloudflare представил инструменты для выявления перехвата HTTPS
Tue, 19 Mar 2019 10:20:22 +0300

Завершено преобразование SUSE в независимую компанию
Sat, 16 Mar 2019 10:45:14 +0300

GitHub меняет политику конфиденциальности и условия соблюдения санкций
Fri, 15 Mar 2019 08:47:25 +0300

Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
Thu, 14 Mar 2019 21:49:39 +0300

Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода
Thu, 14 Mar 2019 10:05:38 +0300

Debian 10 "Buster" перешёл на стадию полной заморозки перед релизом
Wed, 13 Mar 2019 08:20:14 +0300

Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
Tue, 12 Mar 2019 20:11:34 +0300

Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC
Tue, 12 Mar 2019 11:36:21 +0300

Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Tue, 12 Mar 2019 10:31:02 +0300

Microsoft портировал DTrace для Windows
Tue, 12 Mar 2019 10:03:09 +0300

Компания F5 Networks поглотила NGINX за 670 млн долларов
Tue, 12 Mar 2019 06:46:18 +0300

Google представил инициативу по стимулированию написания документации для СПО
Mon, 11 Mar 2019 22:22:06 +0300

Отчёт SPI о пожертвованиях Debian, X.Org, systemd, FFmpeg, OpenWrt и другим проектам
Mon, 11 Mar 2019 19:39:18 +0300

Майкл Штапельберг ушёл из числа мэйнтейнеров проекта Debian
Mon, 11 Mar 2019 12:13:31 +0300

Новости OPENNET
Новости

В web-панели управления хостингом VestaCP, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена в выпуске 0.9.8-20. Всем пользователям VestaCP рекомендуется срочно установить обновление.

Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети появились массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh и троянской библиотеки /lib/libudev.so. Для временной защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.

Судя по внесённым изменениям проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов или возникновением условий, позволяющих манипулировать кодом возврата в shell-скрипте, выполняющем проверку параметров аутентификации. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных мест, в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.

64.2803 72.9389 0.5762 9.5942

НОВОСТИ: Выпуск Wine 4.4 Sat, 16 Mar 2019 08:55:26 +0300

Доступен экспериментальный выпуск открытой реализации Win32 API - Wine 4.4. С момента выпуска версии 4.3 было закрыто 50 отчётов об ошибках и внесено 468 изменений.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome