Безопасность сетей

Межсайтовый скриптинг в ATutor

Программа: ATutor 1.5.3 RC2 и более ранние версии.

Опасность: Низкая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[host]/admin/create_course.php?show_courses=[code]&current_cat=[code]
http://[host]/users/create_course.php?show_courses=[code]
http://[host]/documentation/admin/?p=2.0.configuration.php">[code]
http://[host]/password_reminder.php?forgot=Email+Reminder">[code]
http://[host]/users/browse.php?cat=[code]
http://[host]/admin/fix_content.php?submit=Submit">[code]

URL производителя:

Решение: Установите последнюю версию (1.5.3) с сайта производителя.

document.write(String.fromCharCode(60,97,32,104,114,101,102,61,34,104,116,116,112,58,47,47,119,119,119,46,115,101,99,117,114,105,116,121,108,97,98,46,114,117,47,98,105,116,114,105,120,47,114,101,100,105,114,101,99,116,46,112,104,112,63,101,118,101,110,116,49,61,101,120,116,114,97,95,97,114,116,105,99,108,101,95,99,108,105,99,107,38,101,118,101,110,116,50,61,118,117,108,110,101,114,97,98,105,108,105,116,121,38,101,118,101,110,116,51,61,50,55,48,50,48,52,38,103,111,116,111,61,37,50,70,118,117,108,110,101,114,97,98,105,108,105,116,121,37,50,70,115,111,117,114,99,101,37,50,70,50,55,48,49,57,57,46,112,104,112,34,32,116,97,114,103,101,116,61,95,98,108,97,110,107,62)+ ATutor Bug Reports);

http://www.securitylab.ru/

www.softholder.com

Слежка в законе 05-10-2007 Безопасность сетей
В Великобритании собираются ввести поправки,которые обяжут пользователей передавать ключи шифрования своих данных по требованию властей.В случае отказа в разных случаях можно будет схватить от 2 до 5 лет тюрьмы.Министерство внутренних дел говорит, что эти действия соответствуют с Европейской конвенцией о правах человека и требования властей "необходимые и соразмерные"."Эти меры предназначены для обеспечения государственной безопасно...

WatchGuard улучшил защиту Zero-Day в UTM-устройствах Firebox 28-09-2007 Безопасность сетей
Москва, 26 сентября 2007 года – Rainbow Technologies (www.rainbow.msk.ru) – единственный дистрибьютор WatchGuard Technologies (www.watchguard.com) на территории России и стран СНГ сообщает, что в UTM-устройствах Firebox улучшена защита Zero-Day, обеспечивающая безопасность компьютерных сетей от новых неизвестных атак в период, когда еще нет сигнатур. Реализованная в Firebox линеек Core и Peak технология Zero-Day защищает от угроз в момент их появ...

Unisys винят в хакерских атаках на компьютеры Министерства национальной безопасности 27-09-2007 Безопасность сетей
На днях стало известно, что Федеральное бюро расследований начало следствие по заявлению о том, что зарубежные хакеры повторно атаковали компьютеры Министерства национальной безопасности США. Запрос на проведение расследования в ФБР направили конгрессмены Джеймс Ланжевен и Бенни Томпсон, демократ от штата Миссисипи и глава Комитета внутренней безопасности Палаты представителей, сообщает агентство Reuters. Томпсон также потребовал проверить, какие...