Анонсирован выход релиза PHP 5.2.7 в котором исправлено более 170 ошибок, в том числе 9 проблем безопасности:

• Библиотека PCRE обновлена до версии 7.8, в более ранних версиях присутствует уязвимость, позволяющая организовать злоумышленником выполнение кода в момент преобразования регулярного выражения в байткод через вызов функции pcre_compile;
• Проблема безопасности, связанная с отсутствием инициализации BG(page_uid) и BG(page_gid);
• Проблема безопасности, связанная с некорректным порядком обработки php_value в конфигации Apache;
• Вызов краха процесса через передачу в функцию imageloadfont() библиотеки gd, некорректного файла шрифтов;
• Переполнение буфера в реализации функции memnstr();
• Уязвимость, позволяющая обойти ограничение safe_mode (проверить права доступа к файлу) через передачу некорректных параметров в функцию posix_access (CVE-2008-2665);
• Получение доступа к данным в директориях вне ограничений safe_mode, путем создания поддиректории "http:" и манипуляции с последовательностью символов "../" при ее открытии в функциях chdir и ftok (CVE-2008-2666);
• Крах процесса при попытке работы с файлами вида URI/file..php, (содержащих две точки);
• Переполнение буфера в функциях библиотеки для работы с IMAP;
• В анонсе не сообщается об исправлениях двух обнаруженных после выхода PHP 5.2.6 уязвимостей, вероятно эти ошибки остаются неисправленными:
  • Возможность обойти ограничения safe_mode и установить произвольное значение параметра error_log, не имея на это прав;
  • Уязвимость, позволяющая атакующему обнулить содержимое файла БД (inifile, dbm, ndbm, qdbm, BerkeleyBD и т.п.), с которыми выполняются манипуляции через функцию dba_replace. Если злоумышленник сможет передать в качестве аргумента функции dba_replace символ с нулевым кодом ("\0"), то все содержимое обрабатываемого файла будет обнулено.

Комментариев (1) | Цитировать эту статью на своём сайте | Views: 3124

В статье "OpenGoo delivers the best of CRM and project management" представлен обзор свободного офисного пакета OpenGoo, реализованного через web-интерфейс (web-офис) и снабженного элементами системы управления взаимодействием с клиентами (CRM) и средствами групповой разработки.

OpenGoo позволяет упростить поддержку инфраструктуры документооборота предприятия, организовав всю работу с документами через web-интерфейс, на клиентских машинах при этом достаточно наличие одного браузера. OpenGoo написан на языке PHP, для хранения данных используется MySQL. В проекте задействованы такие открытые компоненты, как FCKEditor (редактирование текста), ExtJS (построение интерфейса, основанного на технологии Ajax), activeCollab (управление проектами), Reece (календарь).

Пакет поддерживает редактирование документов, электронных таблиц и презентаций, ведения списка задач, чтение электронной почты, планирование работы по календарю, поддержание адресной книги и коллекции ссылок. Дополнительным плюсом подобного подхода является независимость пользователя от физической машины - получить доступ к своему рабочему окружению можно из любого компьютера с выходом в интернет.

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 2815

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 2502

Михаил Залевский (Michal Zalewski) объявил об открытии под лицензией Apache 2.0 исходных текстов Ratproxy, средства для пассивной проверки безопасности web-приложений, используемого внутри Google.

В отличии от активных сканеров безопасности, осуществляющих проверку через симулирование атаки, ratproxy реализован в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего активность представляющую угрозу безопасности пользователя. Например, определяется обращение к страницам, зараженным различными троянскими вставками (JavaScript блоками заражающими машины через уязвимости в web-браузерах), попытки выполнения межсайтового скриптинга (XSS), XSRF и другие виды атак. Ratproxy поддерживает анализ SSL трафика, декомпиляцию Flash ActionScript на лету, сборку разбитых на куски Javascript блоков, генерацию наглядных отчетов в HTML формате.

Исследование Консорциума безопасности web-приложений (Web Application Security Consortium) показало, что из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% имели проблемы, которые могли привести к утечке инфорамции.

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 3658

Согласно аналитическому отчету, подготовленному компанией Cisco Systems, с 2007 по 2012 г. каждые два года будет наблюдаться удвоение IP трафика, курсирующего в мировых IP сетях.

Основной прирост, 46% в год, обеспечивает трафик связанный с передачей видео и генерируемый Web 2.0 приложениями (социальные сети). Причем, рост обеспечивают не только сервисы подобные YouTube и IPTV, но и увеличение интереса к использованию видеоконференций представителями бизнеса (рост трафика видеоконференций - 35% в год). При этом наблюдается падение роста трафика P2P сетей, так в начале 2007 года рост составил 60%, а в конце только 51%. В настоящий момент по P2P сетям передается примерно 600 петабайт информации в месяц, что для наглядности можно сравнить с передачей 150 миллионов DVD.

Средний ежегодный рост web и email трафика с 2007 по 2012 г. прогнозируется в 34%, трафика от игровых приложений - 30%, VoIP - 24%, IPTV - 104%.

По прогнозу Cisco к 2012 году объем трафика составит 552 эксабайт в год (1 эксабайт = 1024 петабайт = 1048576 терабайт), после 2012 года размерность трафика уже будет измеряться зеттабайтами.

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 3393

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 3583

Пять ведущих ИТ-компаний, Cisco, IBM, Intel, Juniper Networks и Microsoft, объявили о создании некоммерческой организации, призванной способствовать повышению IT-безопасности. Консорциум ICASI (Industry Consortium for Advancement of Security on the Internet) станет форумом, противостоящим сложным и разнообразным опасностям, идущим из Интернета.

В последние годы помимо разнообразных «червей» и вирусов, Интернет стал площадкой для сложных, направленных атак, которые могут одновременно и в больших масштабах поражать самые разные продукты или используемые ими общие протоколы.

ICASI позволит ИТ-вендорам объединить усилия в противодействии таким опасностям, обеспечивая механизмы, приемлемые для международных производителей и не затрагивающие локальные интересы отдельных правительств. Объединение усилий ведущих компаний позволит оперативно обмениваться информацией, эффективно внедрять инновации в сегменте безопасности, быстро реагировать на возникновение новых угроз и эффективно им противостоять.

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 3717

В опубликованном недавно прогнозе компании Cisco о том, как будут развиваться визуальные сетевые технологии утверждается, что повсеместное распространение видео в коммуникационной отрасли и индустрии развлечений приведет к стремительному росту объемов глобального интернет-трафика примерно на 46% в год.

В 2007 году объем IP-трафика увеличился на 55%, а в этом он возрастет на 63%. По прогнозам Cisco, в 2012 г. все мировые коммуникационные IP-сети передадут более 522 экзабайт данных (для сравнения: объем всех слов, произнесенных за всю историю человечества, равен 5 экзабайтам). К тому же моменту видеотрафик всех типов составит около 90% всех потребительских IP-коммуникаций и развлекательных услуг, при этом, по оценкам Cisco, в течение предстоящих 4 лет объем мобильного трафика будет ежегодно удваиваться.

Написать первый комментарий | Цитировать эту статью на своём сайте | Views: 3537

Пользователь с ником ICQ System появился в течение последних часов в оффлайн-контактах практически у 99% пользователей ICQ, причем действия у него могут быть разные.

Специалисты предупреждают, что данная вредоносная программа может менять пароль пользователя или воровать его. В связи с этим эксперты рекомендуют удалить себя из его списка пользователя, а затем удалить его из своего списка и сменить пароль своего ICQ или QIP.

Комментариев (1) | Цитировать эту статью на своём сайте | Views: 3298

Протокол инициирования сеанса связи, получивший свою известность под именем SIP (Session Initiation Protocol), хотя и был задуман телефонистами с целью улучшить обслуживание абонентов, но является сейчас, скорее, составляющей сетей компьютерных, а вовсе не телефонных. Дело в том, что с учетом дополнений к своему «изначальному» виду (описанному в марте 1999 г. в документе Целевой группы по инженерным проблемам сети Интернет (IETF) RFC 2543), SIP превратился в протокол, позволяющий достаточно просто реализовать практически все существующие на сегодняшний день виды услуг электросвязи. В итоге задачи голосового общения постепенно ушли из сферы телефонии и оказались в области компьютерной индустрии.

Проект, который со временем стал стандартом SIP, был начат в феврале 1996 г. Самый первый документ IETF на эту тему включал в себя описание только одного запроса — запроса на установление соединения. «Это», строго говоря, еще и не было протоколом SIP, но уже его предтечей. Через три года, в январе 1999 г., появился документ, который, собственно, и служит исходной точкой нового «качества жизни» телефонного общения. Именно в нем был впервые описан протокол SIP, с которым сегодняшние пользователи довольно хорошо знакомы. Тогда, почти девять лет назад, протокол уже содержал шесть типов запросов, количество которых долгое время остается неизменным. Запрос INVITE приглашает пользователя принять участие в сеансе связи. Он описывает сеанс связи, указывая вид принимаемой информации и параметры, необходимые для ее приема. Запрос ACK подтверждает прием ответа на переданное ранее приглашение и содержит окончательное (согласованное) описание сеанса связи. Запрос CANCEL отменяет обработку ранее переданных запросов с заданными параметрами (например, ID пользователя), но не влияет на запросы, обработка которых уже завершена. Сторона, получившая запрос BYE, должна прекратить передачу информации. Посредством запроса REGISTER пользователь сообщает о своем текущем местоположении. OPTIONS применяется для запроса информации о функциональных возможностях терминала вызываемого пользователя.

Комментариев (1) | Цитировать эту статью на своём сайте | Views: 7641