0day v jQuery pluginu aktivně zneužívána poslední tři roky

0day v jQuery pluginu aktivně zneužívána poslední tři roky. Oprava existuje, ale otázka je, kdy se rozšíří dostatečně. Problematický plugin je JQuery File Upload, umožňuje ovládnutí serveru. Nutno nepodceňovat, jde nejenom o jeden z nejoblíbenějších pluginů, ale také je zásadně rozšířený do dalších projektů v řadě dalších CMS/internetových dodatcích. Na YouTube dokonce najdete návody k zneužit. Viz Zero-day in popular jQuery plugin actively exploited for at least three years

2018-11-02 12_11_28-GitHub - blueimp_jQuery-File-Upload_ File Upload widget with multiple file selec.png

 

Reklamy

Hack Equifaxu byl přes chybu v Open Source serverovém software.

Hack Equifaxu byl přes chybu v Open Source serverovém software. Viz The hackers who broke into Equifax exploited a flaw in open-source server software a asi vás nepřekvapí, že jde o Apache Struts a ve hře jsou dvě známé zranitelnosti – březnová i jedna čerstvá ze září. Ta březnová navíc existovala už někdy od roku 2008 a v okamžiku zveřejnění bylo velmi zdůrazňováno, že Apache Struts používají i ty největší světové společnosti. Ta novější viz například Using QL to find a remote code execution vulnerability in Apache Struts (CVE-2017-9805). A podívejte se i do Apache Struts Statement on Equifax Security Breach přímo od Apache Software Foundation.

2017-09-08 09_19_23-Cybersecurity Incident & Important Consumer Information _ Equifax

 

Děravé Apache Struts 2 sice už má opravu, ale slouží k útokům na weby ve velkém

Děravé Apache Struts 2 sice už má opravu, ale slouží k útokům na weby ve velkém. Píše o tom například Critical vulnerability under “massive” attack imperils high-impact sites a žádná legrace to není, chyba totiž umožňuje spuštění vzdáleného kódu a nevyžaduje vlastně nic než odeslat dotaz přes web. Detaily viz též Apache Struts Jakarta Multipart Parser Remote Code Execution Vulnerability a CVE-2017-5638 – Apache Struts2 S2-045

Capture1_1

 

OpenOffice asi končí, po oddělení LibreOffice nemá lidi

OpenOffice asi končí, po oddělení LibreOffice nemá lidi co by pokračovali ve vývoji, zásadní problémy jsou i při opravování bezpečnostních nedostatků. Viz [DISCUSS] What Would OpenOffice Retirement Involve? (long) a je dobré připomenout, že OpenOffice (vznikl v roce 2000 akvizicí StarOffice společností Sun Microsystems) fork jménem LibreOffice se oddělil v lednu 2011 a je živý, na rozdíl od OpenOffice. Oddělení navíc vyvolalo to, že Oracle koupila Sun. Samotné OOO se nakonec dostalo k Apache Software Foundation, proto se dnes fakticky jmenuje Apache OpenOffice. Počty uživatelů dnes pravděpodobně stále vede OOO, přes 160 milionů vs 100 milionů u LibreOffice. A viz též OpenOffice, after years of neglect, could shut down a Co použít místo Microsoft Office?

libreoffice-4-2