Чем больше мы говорим о своих достоинствах, тем меньше в них верят

Вини_Пух с Пятачком очень часто заходили в гости к Кролику... ...

Firefox, Chrome, Edge и Safari прекратят поддержку TLS 1.0 и TLS 1.1
Tue, 16 Oct 2018 09:09:56 +0300

Проект KDE получил пожертвование размером 300 тысяч долларов
Mon, 15 Oct 2018 19:32:24 +0300

Открытый проект Bro переименован в Zeek из-за негативной коннотации
Mon, 15 Oct 2018 14:31:08 +0300

Выпуск операционной системы MidnightBSD 1.0
Sat, 13 Oct 2018 19:53:00 +0300

Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
Fri, 12 Oct 2018 09:25:48 +0300

Организация Linux Foundation выпустила LTSI-ветку на базе ядра Linux 4.14
Fri, 12 Oct 2018 08:52:28 +0300

Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий
Wed, 10 Oct 2018 19:00:13 +0300

В Fedora 30 решено поставлять по умолчанию сборку Firefox на базе Wayland
Wed, 10 Oct 2018 08:39:46 +0300

В GNOME 3.32 будет прекращена поддержка глобального меню
Tue, 09 Oct 2018 20:21:29 +0300

Влияние несущественных изменений кода на производительность при использовании GCC
Tue, 09 Oct 2018 08:53:30 +0300

Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis
Mon, 08 Oct 2018 23:13:17 +0300

Google закрывает социальную сеть Google+
Mon, 08 Oct 2018 22:10:38 +0300

В Firefox будет добавлена поддержка формата изображений WebP
Sun, 07 Oct 2018 10:37:39 +0300

Microsoft открывает часть кода игры Minecraft: Java Edition
Sun, 07 Oct 2018 10:02:26 +0300

Калифорнийский законопроект делает скрытое использование ботов нелегальным
Sat, 06 Oct 2018 14:33:46 +0300

Новости OPENNET
Новости

Администраторы репозитория NPM предупредили пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser, который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закамуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках.

Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через несколько промежуточных зависимостей - в mailparser использовался пакет http-fetch-cookies, который использовал модуль express-cookies, который, в свою очередь, загружал вредоносный getcookies. На момент выявления бэкдора, вредоносный модуль лишь был указан как зависимость, но непосредственно не вызывался из mailparser, т.е. бэкдор не был активирован и, вероятно, предназначался для проведения атак в будущем.

Проблема была решена мэйнтейнерами NPM в течение 2 часов после поступлении жалоб о возможном бэкдоре в пакете getcookies. После подтверждения проблемы пользователь "dustin87", который опубликовал бэкдор, был заблокирован, а предложенные им модули getcookies, express-cookies и http-fetch-cookies удалены. Пакет mailparser откатили до версии 2.2.0, в которой отсутствует зависимость http-fetch-cookies (с данной зависимостью вышло три версии 2.2.3, 2.2.2 и 2.2.1). Каким образом злоумышленники получили доступ к учётной записи автора mailparser не ясно, но после инцидента возможность входа по данному аккаунту была заблокирована.

65.7508 76.0540 0.5884 9.492

НОВОСТИ: Разработчики Mozilla отложили прекращение доверия к сертификатам ... Fri, 12 Oct 2018 09:25:48 +0300

Разработчики Mozilla отменили намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах. В частности около 1% из миллиона крупнейших сайтов до сих пор используют TLS-сертификаты, выданные в Symantec, несмотря на то, что компания DigiCert, выкупившая удостоверяющий центр у Symantec, предлагает бесплатную замену сертификатов.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome