3bbcdaa5

Дневной архив: 18.11.2018

В языках программирования обнаружены солидные уязвимости

Java На проходящей на днях в Германии Chaos Communication Congress свободные эксперты по справочной безопасности продемонстрировали ряд солидных уязвимостей в распространенных языках веб-программирования. Большинство уязвимостей сопряжены с неправильной обработкой веб-форм и перспективой компрометации хэш-таблиц, что может спровоцировать DOS-атаки на веб-серверы с следующим хищением данных.

Среди ранимых кругов специалисты называют Html, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty и Glassfish, и открытый JavaScript-движок изготовления Google V8. В Майкрософт назвали факт уязвимости в ASP.NET и рассказали о том, что работают над корректированием, иные вендоры также сообщили, что исследуют утверждения, прозвучавшие на Chaos ComCon и готовят аналогичные патчи.

ИТ-исследователи Александр Клинк и Джулиан Вельде поясняют, что большинство атак основываются на концепциях, в первый раз появившихся еще в 2003 году и ставших с того времени объектом большой работы. Тогда на пресс-конференции Usenix были представлены эксплоиты для языка Perl, но с того времени эти же концепции, сопряженные с развитием хэш-инструкций и таблиц, эксплуатируются с разной ступенью периодичности.

Так, языки Html 5, Java и ASP.NET, и двигатель V8 целиком беспомощны перед атаками такого рода. Языки Html 4, Python, Ruby считаются отчасти ранимыми, причем тут степень уязвимости находится в зависимости от того, применяется ли 32- либо 64-битная архитектура. Вельде говорит, что большинство серверных интерпретаторов языков программирования имеют непосредственной доступ к вычисляемым источникам компьютера, например к ЦПУ. В случае образования злостного запроса хакеры могут на 100% скачать микропроцессор компьютера и сделать недосягаемым компьютер на 5 минут либо часов. Очень многие атаки приводят к тому, что всего 1 HTTP-запрос целиком грузит компьютер.

«Хэш-таблицы — это стандартные конструкции данных, используемые во всех языках программирования. Веб-приложения либо целые веб-платформы довольно часто обрабатывают Post-данные, передаваемые мошенниками, в автоматическом режиме. Если компьютер не предлагает случайные хэш-функции, то доступ к ним можно производить разными методами, а компьютер не распознает умышленные требования, которые способны значительно скачать среду выполнения и нападающий может формировать солидные циклические атаки», — говорит Вельде.

Согласно его заявлению, некоторые из атак, о которых сообщают на Chaos ComCon раньше были презентованы создателями софта и Apache, и бригада создателей Ruby поправила большинство объявленных неприятностей. В то же самое время, продукты Html, Oracle, Python, Google и Майкрософт до сих пор чувствительны.

Так, компания Майкрософт передала предостережение о присутствии располагающейся в работе у взломщиков уязвимости в среде ASP.NET. По известию компании, слабость есть в подсистеме, соответствующей за обработку фигур Post в ASP.NET. В итоге уязвимости хакеры могут пробудить коллизию хэш-значений и провести DOS-атаку на целевой компьютер, где запущена эта среда.

В Майкрософт рассказывают, что нападающий может сконструировать особый HTTP-запрос, имеющий внушительные значения данных, передаваемых в фигуру Post для предстоящей обработки со стороны ASP.NET. Это значение в конечном итоге съест все свободные источники главного микропроцессора компьютера. Также организация выделяет, что данной уязвимости не подвергаются компьютеры, обслуживающие постоянные страницы.

«Веб-сайты, которые очевидно запрещают исполнение текста application/x-www-form-urlencoded либо multipart/form-data HTTP, не подвергаются данным атакам», — сообщили в Майкрософт.

В компании рассказывают, что им обнародованы данные о присутствии существующих атак на компьютеры, однако как значительно данный способ распространен среди взломщиков пока сообщить трудно. На время компания предлагает в роли решения ограничить ширину HTTP-запросов, обрабатываемых компьютером.

Куреши: я хочу стать первой ракеткой мира в сочетании

теннис Пакистанец Айсам-уль-Хак Куреши, который в следующем году будет играть в сочетании с Жан-Жюльеном Морде с Голландских Антил

Пакистанец Айсам-уль-Хак Куреши, который в следующем году будет играть в сочетании с Жан-Жюльеном Морде с Голландских Антильских островов, сообщил, что ставит впереди себя цель стать первой ракеткой мира в теплом ряде.

«Моя свадьба не оказала влияние на мои задачи. Я еще хочу стать первой ракеткой мира в теплом хит-параде. Также моей иллюзией считается представление на Олимпиаде за сборную Пакистана, но пока я не понимаю, выйдет ли это осуществить. Что же касается разлуки с Бопанной, то хоть мне и обидно, однако я его отлично осознаю. Пожалуй, на его месте поступил бы также», — приводит слова Куреши североамериканская СМИ.

Ло Монако: у «Милана» есть время до 31 января

Катания Гендиректор «Катании» Пьетро Ло Монако сообщил о том, как продвигаются переговоры с «Миланом» сравнительно наступающего Макси Лопеса, который должен сменить Антонио Кассано…

Гендиректор «Катании» Пьетро Ло Монако сообщил о том, как продвигаются переговоры с «Миланом» сравнительно наступающего Макси Лопеса, который должен сменить Антонио Кассано в случае, если в Италию не переедет Карлос Тевес.

«Будет обидно разлучаться с Макси Лопесом, непросто отыскать настолько на физическом уровне производительного и сильного на техническом уровне футболиста. Как я заявлял, кроме вида с «Миланом», у нас есть 2 предложения от иностранных команд. Однако пока у нас работает контрактённость с «Миланом», по которой мы не ведём переговоры. У «Милана» есть время до 31 января, чтобы условиться с Лопесом, после данного мы начнём переговоры с зарубежными клубами. Будем ожидать», — заявил Ло Монако.