на главнуюВсе эхи RU.INTERNET.SECURITY
войти ?

Russian Security Newsline 26.09.2012

От Dmitry Leonov (2:5020/400) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: Dmitry Leonov <dl@bugtraq.ru>

Приветствую!

Russian Security Newsline 26.09.2012

Сброс Samsung Galaxy при просмотре веб-страниц
dl // 25.09.12 20:02
Фантастический подарок получили пользователи Samsung Galaxy SII (насчет
третьей и Note пока противоречивые сведения). Попытка открыть адрес вида
tel:*2767*3855%23 (в том числе простое открытие страницы с iframe, в url
которого есть эти символы) приводит к честному отрабатыванию USSD-кода
*2767*3855# с немедленным сбросом всех настроек и потерей пользовательских
данных.

Понятно, что эта схема заставляет уязвимый аппарат выполнить любую
USSD-команду, полный сброс - лишь наиболее яркая демонстрация. Hе
исключено, что подобная проблема присутствует и в некоторых смартфонах
HTC.

Поневоле заставляет вспомнить золотые времена, когда некоторые модемы
честно выполняли AT-команды, встретившиеся в передаваемых текстовых
файлов.
Источник: http://www.pocket-lint.com/news/47698/samsung-galaxy-s-3-reset
-----------------------------
Старая уязвимость позволяет подобрать пароли Oracle
dl // 21.09.12 04:56
Протокол аутентификации, используемый в Oracle Database 11g Release 1 и 2,
отправляет пользователю сессионный ключ до завершения полной
аутентификации. В результате атакующий может передать имя, получить
сессионный ключ, отключиться и спокойно приступить к подбору пароля (в
качестве демонстрации восьмисимвольный пароль был подобран на обычном
процессоре за пять часов).

Уязвимость стала известна Oracle в мае 2010, всего-то через год с
небольшим она была исправлена, но Oracle предпочла включить исправление в
новую версию протокола аутентификации под номером 12, переход на которую
требует обновления как серверов, так и клиентов. Версия же 11.1 осталась
неисправленной, причем Oracle не предпринимает особых усилий по
активизации перехода пользователей на новый протокол.
Источник:
http://www.theregister.co.uk/2012/09/21/oracle_11g_db_password_flaw/
-----------------------------


Также в выпуске:

Софос-суицидник
(http://bugtraq.ru/rsn/archive/2012/09/04.html) // 20.09.12 22:43
Исправление критичной уязвимости в IE
(http://bugtraq.ru/rsn/archive/2012/09/03.html) // 20.09.12 12:11
Сентябрьские обновления от MS
(http://bugtraq.ru/rsn/archive/2012/09/02.html) // 12.09.12 01:02


Другие обновления на сайте:

BugTraq - обозрение #328
[ http://bugtraq.ru/review/archive/2012/21-09-12.html ]
// 21.09.12 10:00
- Старая уязвимость позволяет подобрать пароли Oracle;- Софос-суицидник;- Исправление критичной уязвимости в IE;- Microsoft перестанет работать с короткими RSA-ключами с октября;- Oracle обновила Java 7;


Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]


В Финляндии с интернет-зависимостью не берут в армию [9.19]
[ http://bugtraq.ru/rsn/archive/2004/08/06.html ]
04.08.04 03:17
Тестер. Часть 3 [9.15]
[ http://bugtraq.ru/library/fiction/tester3.html ]
04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15]
[ http://www.bugtraq.ru/library/security/integrity.html ]
21.08.03 19:47
Space dot com [8.97]
[ http://bugtraq.ru/library/fiction/spacedotcom.html ]
16.04.06 05:26
Сетевой роман [8.9]
[ http://bugtraq.ru/library/fiction/netroman.html ]
07.11.06 00:12


Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru

--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.INTERNET.SECURITY?msgid=<1187456409@bugtraq.ru>+90a67ad7