Ранее Sun заявила, что некоторые части MySQL будут доступны только в коммерческой версии, а то и вовсе полностью закрыты. Против такой политики выступило все сообщество MySQL. Что удивительно, корпорация прислушалась и не захотела идти наперекор сообществу. Было объявлено, что функциональность MySQL всегда будет доступна в полном объеме (включая резервное копирование), независимо от того, платный это или бесплатный вариант.
Новая атака, осуществляемая при помощи SQL-инъекций, направлена на 500 тыс. веб-серверов Microsoft IIS, среди которых веб-ресурсы Организации Объединенных Наций, правительства Великобритании и Департамента Национальной Безопасности США. Хотя Microsoft не виновна в атаке, она уникальна для IIS серверов.
Автоматизированная атака используется для того, чтобы IIS-серверы Microsoft позволяли генерировать команды. Однако, уязвимость является результатом плохой обработки данных на конкретных сайтах, а не ошибки Microsoft.
Иными словами, нет патча, что устранить возникшие проблемы. Проблема возникла по вине разработчиков сайтов, которые не достаточно хорошо обеспечивают безопасность обработки входных данных.
Сама же атака основана на инъекции вредоносных JavaScript-кодов в текстовых полях базы данных. После внедрения Javascript загружает внешний сценарий, который может скомпрометировать пользовательский ПК.
Большинство крупных организаций, пострадавших от массированной атаки, решили проблему сами и утверждают, что проблема возникла из-за их кода, который был исправлен. Если пользователь желает избежать данной проблемы, есть простой - использовать Firefox с NoScript, пишется на blog.wired.com.
До сих пор не было никаких данных о том, кто стоит за атаками.
IBM решила оказать поддержку PostgreSQL, приняв участие в венчурном финансировании EnterpriseDB, которая в свою очередь является крупнейшим поставщиком решений на базе PostgreSQL. В ходе данного раунда финансирования будет получено приблизительно $10 млн. В результате прошедших торгов EnterpriseDB уже получила $37,5 млн. Кроме IBM поддержку компании оказывают еще три венчурных фонда (Charles River Ventures, Fidelity Ventures, Valhalla Partners).Для привлечения большей суммы EnterpriseDB объявила о переименовании двух своих ключевых решений EnterpriseDB Postgres теперь будет называться Postgres Plus, а EnterpriseDB Advanced Server - Postgres Plus Advanced Server. Оба решения построены на базе PostgreSQL 8.3.
07 марта, 2008
Программа: Kütüb-i Sitte (модуль к PHP-Nuke 1.1), возможно более ранние версии
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре “kid” в установочном сценарии modules.php (когда параметр “name” установлен в значение “KutubiSitte” и параметр “h_op” равен “hadisgoster”). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
URL производителя: www.ipek-yolu.com/modules.php?name=Downloads&d_op=viewdownload&cid=2
Решение: Способов устранения уязвимости не существует в настоящее время.
Secunia ID:
