RuggedCom mégegyszer
Áprilisban már volt szó a RuggedCom-ról, akik jó ötletnek tartották ipari vezérlőrendszerekbe szánt szoftverükbe egy triviális hátsó ajtót építeni. Most kiderült, hogy az általuk gyártott Rugged OS (ROS) egy bedrótozott RSA privát kulcsot is tartalmaz, mellyet az SSL/TLS forgalom titkosítására használnak, így a menedzsment interfészek hálózati forgalma bárki által triviálisan megfejthetővé válik. Ehhez is csak gratulálni tudok!
PPTP
A Microsoft hivatalos közleményt adott ki a nem rég tárgyalt MS-CHAPv2 problémával kapcsolatban. A cég a továbbiakban nem javasolja az MS-CHAPv2 használatát, alternatívaként PEAP-MS-CHAPv2 autentikációt, illetve L2TP, IKEv2 vagy SSTP burkoló protokollok alkalmazását javasolják.
Apple Remote Desktop biztonsági frissítés
Súlyos hibát javítottak az Apple Remote Desktop távoli elérést biztosító szoftverben. Harmadik féltől származó VNC szerverekhez történő kapcsolódáskor a hálózati forgalom bizonyos esetekben nem kerül titkosításra akkor sem, ha a felhasználó bekapcsolta a "Minden hálózati forgalom titkosítása" (Encrypt all network data) opciót. A javítás SSH csatornát épít a protokoll köré amennyiben lehetséges, ha nem, akkor elutasítja a kapcsolódást.
Apache 2.4.3
Megjelent az Apache webszerver lefrissebb stabil kiadása. A 2.4.3-as verzió kb. 50 bugfix mellett két biztonsági hibát orvosol a mod_proxy_aip, a mod_proxy_http és a mod_negotiation modulokban. A proxy modulok bizonyos esetekben összekeverik a klienseknek adandó válaszokat, ami szenzitív információk helytelen kézbesítéséhez vezethet. A mod_negotiation-ben egy feltöltött fájlok neveivel triggerelhető XSS sérülékenységet javítottak.
Az autókat is védené a vírusoktól a McAfee
Ezzel a címmel jelent meg cikk az Indexen. Úgy tűnik, a McAfee kötelességének érzi, hogy mindenre víruskergetőt rakjon, de nem biztos, hogy ez a legjobb stratégia: