OpenNews.opennet.ru: Проблемы безопасности
  • В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
    В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell.

  • Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей
    Компания Eclypsium выявила две уязвимости в прошивках BMC-контроллера, поставляемого в серверах Lenovo ThinkServer, позволяющие локальному пользователю подменить прошивку или выполнить произвольный код на стороне чипа BMC.

  • Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
    Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей.

  • Неофициальный Telegram-клиент MobonoGram 2019 оказался троянским ПО
    Из каталога Google Play удалено приложение MobonoGram 2019, позиционируемое как неофициальный альтернативный клиент мессенджера Telegram и насчитывающее более 100 тысяч установок. Причиной удаления стало выявление поставки в составе программы троянского кода Android.Fakeyouwon, осуществляющего совершение вредоносных действий.

  • В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
    В зависимостях к npm-пакету с установщиком PureScript выявлен вредоносный код, проявляющийся при попытке установки пакета purescript. Вредоносный код встроен через зависимости load-from-cwd-or-npm и rate-map. Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим.

  • Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости
    Опубликован корректирующий выпуск прокси-сервера Squid 4.8, в котором устранено 5 уязвимостей. Одна уязвимость (CVE-2019-12527) позволяет потенциально организовать выполнение кода с правами серверного процесса.

  • Сведения об утечке паролей 33 млн пользователей Livejournal.com в 2014 году
    Проект We Leak Info сообщил о получении БД пользователей Livejournal.com, захваченной в результате утечки, произошедшей в 2014 году и охватывающей более 33.7 млн учётных записей. База включает сведения об имени пользователя, email и пароле. При этом пароли представлены без хэширования, в открытом виде. Проверить компрометацию своего аккаунта предлагается на сайте weleakinfo.com.

  • Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
    Автор браузера Pale Moon раскрыл сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

  • Зафиксирована подстановка вредоносного кода в Ruby-пакет Strong_password
    В опубликованном 25 июня выпуске gem-пакета Strong_password 0.7 выявлено вредоносное изменение (CVE-2019-13354), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems.

  • Взлом репозиториев Canonical на GitHub (дополнено)
    На официальной странице компании Canonical на GitHub зафиксировано появление десяти пустых репозиториев с именами "CAN_GOT_HAXXD_N". В настоящее время данные репозитории уже удалены, но их следы осели в web-архиве. Никакой информации о компрометации учётной записи или вандализме со стороны сотрудников пока нет. Также пока не ясно, затронул ли инцидент целостность существующих репозиториев.