Tag: podatności

Seria krytycznych bugów w Androidzie: RCE w OpenSSL, podatności w obsłudze mediów i driverach do WiFi

15 lipca 2016, 16:37 | W biegu | 0 komentarzy

Wydaje się że liczba błędów łatanych w Androidzie zamiast spadać – wzrasta. Tym razem, w lipcowym biuletynie bezpieczeństwa, dość niepokojące jest oznaczenie błędu w OpenSSL jako Critical RCE (mimo mniej groźnych informacji na samych stronach OpenSSL): Mimo tego, tym razem Google wymienia jako najbardziej niebezpieczne, błędy związane z obsługą multimediów: The…

Czytaj dalej »

OpenSSL łatając jedną podatność…wprowadził kolejną – severity: High

04 maja 2016, 21:34 | W biegu | komentarze 2

Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim. Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała…

Czytaj dalej »

Przygotujcie się na masowe łatanie Cisco – w tym ominięcia uwierzytelnienia

02 lutego 2016, 10:34 | W biegu | 0 komentarzy

Firma Cisco udostępniła łaty dla grubo ponad 70 swoich urządzeń, z czego chyba najciekawszą podatnością jest SQL injection w urządzeniu: Cisco RV220W Wireless Network Security Firewall (swoją drogą, jakiś czas temu ekipa sekuraka znalazła nieuwierzytelniony SQLi w innym urządzeniu Cisco – Security Appliance). W tym przypadku atakujący może ominąć uwierzytelnienie i…

Czytaj dalej »

Cholernie dziurawa aplikacja w node.js

24 grudnia 2015, 12:20 | W biegu | komentarze 3

O bezpieczeństwie node.js pisaliśmy jakiś czas temu. Zainteresowanych tematem polecam projekt: DVNA (Damn Vulnerable Node Application) – czyli specjalnie podatną aplikacją przygotowaną w node.js (oczywiście na potrzeby ćwiczenia poszukiwania podatności – na realnym celu…). –ms

Czytaj dalej »

Nowy OpenSSL – łata MiTM i 6 innych bugów bezpieczeństwa

05 czerwca 2014, 16:39 | W biegu | 1 komentarz

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej. Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops. Wprawdzie po…

Czytaj dalej »

Drukarki HP LaserJet Pro – nieuwierzytelniona możliwość pobrania hasła administracyjnego i innych informacji

02 sierpnia 2013, 10:39 | Aktualności | komentarzy 13
Drukarki HP LaserJet Pro – nieuwierzytelniona możliwość pobrania hasła administracyjnego i innych informacji

Część modeli drukarek sieciowych HP umożliwia zdalne pobranie haseł administracyjnych oraz innych informacji konfiguracyjnych drukarki (łącznie z takimi informacjami jak: WPS PIN – w przypadku drukarek mających interface WiFi). Aby pobrać ww. dane należy użyć specjalnych, „ukrytych” URL-i, które nie wymagają uwierzytelnienia.

Czytaj dalej »