CPDoS – новая техника атаки

Сотрудники двух немецких университетов придумали новую технику атаки на сети доставки контента и кэширующие прокси – Cache-Poisoned Denial-of-Service (CPDoS). Эта техника вызывает отказ доступа к странице через отправление кэша. Как это работает? Cети доставки содержимого (CDN) кэшируют и выполненные запросы, и возвращённые ошибки. Если есть проблемы с запросом, обычно сервер выдаёт ошибку 400 (Bad Request). По стандарту кэшируются только ошибки…

Компьютер как средство связи

Этот материал – перевод статьи с портала В первой половине 1970-х экология компьютерных сетей отошла от своего изначального предка ARPANET и разрослась в несколько разных измерений. Пользователи ARPANET обнаружили новое приложение, электронную почту, которая стала основной активностью в сети. Предприниматели выпускали свои варианты ARPANET для обслуживания коммерческих пользователей. Исследователи по всему миру, от Гавайев до Европы разрабатывали новые типы сетей…

В PHP исправили критическую уязвимость

Вышли релизы PHP 7.3.11, 7.1.33 и 7.2.24, где исправили уязвимость CVE-2019-11043 в расширении PHP-FPM. Она давала выполнить свой код в системе. Публично доступен эксплойт для атаки на сервер с PHP-FPM в связке с nginx В чём проблема? Проблема вызвана ошибкой при манипуляции с указателями в файле sapi/fpm/fpm/fpm_main.c. При присвоении указателя предполагается, что значение переменной окружения PATH_INFO обязательно содержит префикс, совпадающий…

Вышел новый nginx 1.17.5

Что нового в NGINX Unit 1.11

22 октября разработчик Макс Дунин сообщил о релизе nginx 1.17.5. В этой ветке развивают новые возможности сервера, а в стабильной 1.16 только устраняют ошибки и уязвимости. Что нового? Добавлена поддержка вызова ioctl(FIONREAD), если он доступен, чтобы избежать чтения из быстрого соединения в течение долгого времени; Решена проблема с игнорирование неполных закодированных символов в конце URI-запроса; Решена проблема с нормализацией последовательностей…

Новая реализация драйвера exFAT для ядра Linux

Есть такая компания – Paragon Software, и она поставляет драйвера NTFS и exFAT для Linux. 18 октября гендиректор компании Константин Комаров опубликовал в рассылке разработчиков ядра Linux начальную реализацию драйвера exFAT. Код открыт под лицензией GPLv2 и пока доступен только для чтения. Компания ещё работает над драйвером с поддержкой режима записи. Ребята из Paragon Software оформили драйвер по требованиям кода…

Ubuntu 20.04: дата выхода и функции

Следующее крупное обновление выйдет 23 апреля 2020 года. Что известно на данный момент? Ubuntu 20.04 будет называться Focal Fossa; 20.04 будет LTS. Предыдущая LTS-версия Ubuntu 18.04 вышла в 2018 году; LTS-версии поддерживаются 5 лет, но Ubuntu 20.04 будут поддерживать 10 лет, как ESM-версии; Обычно LTS-версии консервативны, поэтому мы вряд ли получим много нового; Скорее всего, в Ubuntu 20.04 войдут GNOME…

Переходь на сайт 
IT Education Center 

Ти знайдешь багато цікавого  

Наш сайт

Уязвимость в менеджере пакетов GNU Guix

Уязвимость в менеджере пакетов GNU Guix

17 октября в менеджере пакетов GNU Guix нашли уязвимость CVE-2019-18192, которая даёт выполнять код в контексте другого пользователя. Профили пользователей ~/.guix-profile по умолчанию определяются как ссылки на каталог /var/guix/profiles/per-user/$USER. И тут важно, что права доступа к каталогу /var/guix/profiles/per-user/ дают создавать подкаталоги любым пользователям. /var/guix/profiles/per-user/$USER есть в переменной PATH, и атакующий может разместить там исполняемые файлы. Жертва входит в систему, а…

Как немецкая полиция хостинг в бункере штурмовала

Мы ни в коем случае не призываем к незаконной деятельности. Цель статьи – рассказать к чему она приводит и на какие ухищрения идут киберпреступники. CyberBunker.com – открытый в 1998 году анонимный хостинг из Германии. Компания разместила серверы внутри бывшего бункера НАТО, построенного в 1955 году как бункер на случай ядерной войны. Серверы были заняты, хотя цены кусались: VPS без поддержки…

6 лет никто не видел уязвимость в ядре Linux

Есть в ядре Linux драйвер rtlwifi. Он нужен для беспроводных адаптеров на чипах Realtek. 14 октября Нико Вайзман нашёл там уязвимость, о чём вчера твитнул. Эксплойт появился в версии ядра 3.12 от 2013 года. Как работает уязвимость? Она связана с переполнением буфера в коде с реализацией режима P2P. При разборе кадров NoA не проверяется размер одного значения, поэтому хвост данных…

Обновление VirtualBox 6.0.14

вторая бета-версия VirtualBox 6.1

Компания Oracle опубликовала корректирующий релиз VirtualBox 6.0.14 с 13-ю исправлениями. Что изменилось в 6.0.14? Совместимость с ядром Linux 5.3; Улучшена совместимость с гостевыми системами с звуковой подсистемой ALSA в режиме эмуляции AC’97; В виртуальных графических адаптерах VBoxSVGA и VMSVGA решели проблемы с мерцанием, перерисовкой и крахом 3D-приложений; В скриптах для создания rpm-пакетов для хостов на базе Linux улучшен код для…

Дякуємо, що поділились