Компания Pepper Computer выпустила планшетный компьютер Pepper Pad 2 под управлением Linux. Компьютер построен на процессоре Intel XScale PXA270 (624 МГц), имеет 256 Мбайт оперативной памяти, жесткий диск 20 Гбайт и беспроводной интерфейс 802.11b+g. Разрешение экрана 800x600, а в качестве графического ускорителя используется микросхема Intel 2700G, которая ускоряет обработку двумерной и трехмерной графики и обработку Mpeg. Для воспроизведения звука используется стереосистема на основе 20-битного кодека. Есть также встроенный микрофон и разъемы для внешнего микрофона, наушников и внешнего усилителя. В качестве операционной системы используется MontaVista CEE 3.1 (Linux 2.4), поверх которой установлена Java 2 и фирменное программное обеспечение Pepper Keeper 2.0 for Pepper Pads.

На OSP не опубликован

Компания Analog Device выпустила платформу STAMP для создания устройств на основе операционной системы Linux. В состав платформы входит плата с процессором ADSP-BF533 и 128 Мбайт оперативной памяти, а также комплект средств для ее программирования. Также прилагается компилятор GCC для соответствующего процессора и исходный код портируемого ядра uClinux 2.6.x. Стоимость комплекта - 199 долл. Кроме того, компания MontaVista передала разработчикам ядра Linux свои коды, которые реализуют для этой ОС режим реального времени. Четыре представленных MontaVista исправления для ядра в основном нацелены на уменьшение времени обработки прерываний и вытеснения задач. Эти исправления пригодятся разработчикам таких устройств как мобильные телефоны, КПК, mp3-плееры, игровые приставки и других, которые собираются использовать в своих продуктах Linux.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/13_02.htm

IBM опубликовала исправления для своей СУБД BD2 8.1 Fixpak 7, в котором компания устранила ошибки, найденные компанией NGSSoftware. Всего таких ошибок было 20, и все они допускали удаленное исполнение кода в среде DB2. Полную информацию о найденных ошибках NGSSoftware планирует опубликовать 5 января следующего года, дав администраторам баз данных время на исправление ошибок. Впрочем, уже сейчас можно проверить СУБД на ее уязвимость с помощью специального сканера NGSSQuirreL for DB2, который предлагает NGSSoftware.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/13_01.htm

Ссылки по теме:
ftp.software.ibm.com: APAR fixes included in Fixpak 7a

Компания Apple выпустила пакет обновлений для своей операционной системы Mac OS X v10.3.5 и v10.2.8 с их серверными вариантами. В обновлении исправлены по две ошибки в AFP Server и системе печати CUPS, а также по одной ошибке в NetInfoManager, postfix, QuickTime и ServerAdmin. В основном эти дефекты можно было использовать для вывода из строя сервисов и проведения несанкционированных действий в системе. Опасной является ошибка в QuickTime, которая позволяет организовать переполнение буфера при разборе графических файлов в формате BMP.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/07_01.htm

Ссылка по теме:
info.apple.com: About Security Update 2004-09-30

Мои статьи

«Ужеёж» перевода
Статья про пресс-конференцию "Промт", на которой они объявиляли новую версию пятую своего переводчика.

Не мои, но про безопасность

Секреты компании
Статья Матиаса Турмана о очень забавном способе утечки конфиденциальной информации.

Перед лицом общей опасности
Отчет Юлии Колдичевой о сочинской конференции «Обеспечение информационной безопасности. Региональные аспекты».

Не попасть в «сеть»
Статья Пола Робертса о предоставлении услуг защиты от обмана, которые начала предлагать компания Symantec.

Организация IETF, принимающая Internet-стандарты, выпустила в качестве пакета RFC описание протокола Jabber, который обеспечивает передачу потока XML-сообщений. В пакет спецификаций входят следующие документы: RFC 3920 - Extensible Messaging and Presence Protocol Core (XMPP), который описывает базовые технологии Jabber, включая безопасность и поддержку различных языков; RFC 3921 - XMPP Instant Messaging and Presence, определяющий передачу сообщений поверх протокола XMPP; RFC 3922 - Mapping XMPP Common Presence and Instant Messaging (CPIM), описывающий передачу сообщений в виде принятого в IETF абстрактного синтаксиса; RFC 3923 - End-to-End Signing and Object Encryption for XMPP, формализующий механизмы интероперабельности и защиты для клиентских приложений. Технология Jabber начала создаваться в 1999 году в рамках открытого сообщества Jabber Software Foundation, а на принятие ее в качестве стандарта IETF потребовалось два года. Уже ведутся работы по созданию на основе Jabber протоколов электронной почты, в которых будет затруднена передача невостребованных сообщений.

Оригинал на OSP: www.osp.ru/news/comm/2004/10/06_01.htm
В Computerworld: Стандарт принят

Ссылки по теме:
jabber.org: IETF Publishes XMPP RFCs
linux.org.ru: Протокол Jabber опубликован как RFC
linuxcenter.ru: Jabber принят в качестве RFC

Пресса по теме:
uinc.ru: Протокол Jabber опубликован как RFC
nbsp.ru: IETF публикует RFC для XMPP

Компания "Агава" в рамках проекта Renter начала предлагать услуги по размещению серверов в центре обработки данных в городе Чикаго. На выбор предлагаются три варианта серверов. Минимальная конфигурация - Pentium 4 2,4 ГГц, 512 Мбайт оперативной памяти и 2 RAID-диска по 40 Гбайт. На сервере может быть установлена ОС Linux или FreeBSD. Установка и ежемесячная аренда такого сервера обойдется в 73 долл. Центр построен на оборудовании Cisco и 3Com и имеет физическую охрану, все необходимые условия по кондиционированию и обеспечению бесперебойного питания, а также защиту от DoS-атак. В указанную стоимость не включается плата за трафик (20 долл. за 100 Гбайт) и администрирование (от 80 долл. в месяц). Существует возможность установки собственного оборудования, предназначенного для монтирования в 19-ти дюймовую монтажную стойку - аренда места 1U обойдется в 55 долл. в месяц.

Оригинал на OSP: www.osp.ru/news/busines/2004/10/04_01.htm

Ссылки по теме:
agava.ru: Датацентр
provider.net.ru: «Агава» предоставляет новую услугу

Компания Red Hat выкупила у America Online пакет приложений Netscape Enterprise Suite и собирается выпустить его по открытой лицензии. В пакет входят сервера LDAP-каталогов Netscape Directory Server и сервер управления сертификатами Netscape Certificate Server. Назначение данных систем - управление доступом сотрудников предприятий к ресурсам сети. Red Hat планирует сделать эти сервера частью набора продуктов с открытым кодом Open Source Architecture. Следует отметить, что это уже второй случай перевода ПО Netscape под лицензию Open Source - предыдущий был связан с созданием проекта открытого браузера Mozilla. Несмотря на то что в составе дистрибутива Red Hat уже имеется сервер LDAP-каталогов, OpenLDAP, от него компания отказываться не собирается.

Оригинал на OSP: www.osp.ru/news/soft/2004/10/04_01.htm

Ссылки по теме:
redhat.com: Red Hat to Acquire Netscape Enterprise Solutions
linuxcenter.ru: Netscape Enterprise Suite будет выпущен как open-source
linux.org.ru: Red Hat покупает у AOL серверное ПО Netscape

Пресса по теме:
nixp.ru: Red Hat покупает у AOL серверное ПО Netscape
zdnet.ru: Red Hat купила серверное ПО Netscape у AOL
softkey.info: Red Hat укрепляет позиции
cnews.ru: Red Hat покупает технологии Netscape Security
asisnews.ru: Компания Red Hat приобретает технологии Netscape Security

Группа программистов решила написать визуальный редактор для свободно распространяемого средства разработки Eclipse ("Затмения"). Этот компонент позволяет конструировать графические интерфейсы для приложений - аналогичные средства уже есть в конкурирующих продуктах. Он позволяет разрабатывать GUI на основе SWT и Swing, а также будет работать под Windows и Linux с поддержкой GTK. Причем возможна поддержка и других языков, отличных от Java, таких как Си и Си++. Компонент допускает синхронизацию между кодом и его визуальным представлением. Новый компонент пользователи Eclipse могут получить через систему обновлений.

На OSP не опубликована

Компания "Яндекс" реализовала в своей поисковой машине механизм анализа текстов внутри файлов Macromedia Flash. Сейчас этот стандарт становится все более популярным, причем содержащаяся в этом формате информация не дублируется в текстовом виде. В результате большой сектор информационного наполнения выпадает из рассмотрения поисковых машин. Сейчас уже проанализировано несколько десятков тысяч страниц, содержащих Macromedia Flash - в результатах выдачи такие странички помечаются значком "flash".

Оригинал на OSP: www.osp.ru/news/comm/2004/10/01_01.htm

Материалы по теме:
company.yandex.ru: Яндекс индексирует Flash
searchengines.ru: Яндекс индексирует Flash

Пресса по теме:
webplanet.ru: «Яндекс» научился индексировать Flash
news.samaratoday.ru: "Яндекс" научился индексировать Flash
nbsp.ru: Яндекс научился индексировать Flash
webinform.ru: «Яндекс» начал индексировать flash-страницы
compulenta.ru: "Яндекс" научился индексировать Flash 'Яндекс' научился индексировать Flash-документы
internet.ru: "Яндекс" понимает flash
nestor.minsk.by: Яндекс индексирует Flash

Разработчики почтового клиента Evolution, который является частью графической среды GNOME, объявили о завершении работы над его второй версией. В ней улучшена внутренняя архитектура и графический интерфейс, организована поддержка протокола NNTP и формата S/MIME, интегрирован спам-фильтр SpamAssassin и реализован Web-календарь. Новый почтовый клиент основан на графической среде GNOME 2.8, и, как утверждают разработчики, в нем удалось устранить множество различных ошибок. Однако Александр Ларсон, занимающийся развитием среды GNOME в Red Hat, опубликовал письмо к сообществу разработчиков с просьбой помочь в "стабилизации" GNOME 2.8. Оказывается, что, добавляя новые полезные функции к этой среде, создатели "забывают заглядывать в систему обработки ошибок, в которой накопилось уже около 1300 необработанных записей". Поэтому Ларсон призывает разработчиков следить за качеством своего кода, а сторонних программистов - помочь в исправлении найденных проблем.

Оригинал на OSP: www.osp.ru/news/soft/2004/09/30_01.htm

Ссылки по теме:
mail.gnome.org: Evolution 2.0.0
lists.gnome.org: Near term development plans - help us fix bugs!

Для недавно обнародованной ошибки переполнения буфера, которая возникает в библиотеках Windows при разборе jpeg-формата, были выпущены несколько эксплойтов, которые дают удаленному злоумышленнику возможность исполнения любых команд на уязвимой системе. Хотя пока вирусов, использующих этот дефект, нет, высока вероятность его появления в ближайшее время. А поскольку исполнимый код на этот раз имплантирован в изображении, то опасная картинка может появиться в самых неожиданных местах. Рекомендуется как можно быстрее установить обновления, которые Microsoft опубликовала 14 сентября.

Оригинал на OSP: www.osp.ru/news/soft/2004/09/28_01.htm

Ссылки по теме:
trendmicro.com: EXPL_JPGDOWN.A
securitylab.ru: Windows XP JPEG Buffer Overflow PoC
securitylab.ru: Windows JPEG GDI+ Overflow Shellcoded Exploit (MS04-028)
securitylab.ru: JpegOfDeath.c v0.5 (MS04-028)
securitylab.ru: JpegOfDeath.M.c v0.6.a All in one Bind/Reverse/Admin/FileDownload
securitylab.ru: GDI+ buffer overrun Exploit, Modified by Crypto <crypto@xaker.ru> (PoC + откомпилированная весия)

Мои статьи

Огонь по «своим»
Статья по мероприятию InfoWatch - дочки "Лаборатории Касперского", которая будет заниматься услугами по созданию защиты от внутреннего злоумышленника.

«Аэрофлот» компьютерный
Статья по пресс-конференции "Фэрофлота", Equant, HP и R-Style по созданию центра обработки данных на базе технологического центра Equant.

Не мои, но про безопасность

Radware совершенствует коммутаторы центров данных
Статья Фила Хочмута про оборудование компании Radware, которое позволяет защититься от SYN-атак.

Организация X.org, которая занимается развитием популярного протокола передачи графической информации X Window System, объявила о выходе очередной версии ее программного обеспечения — X11R6.8. В обновленном ПО появилось несколько дополнений к протоколу X Window: Damage, Composite, XEvIE и Xfixes. Расширения Damage позволяет X-клиенту сообщать серверу об изменении его картинки. Это, в частности, используется в режиме Composite, который управляет видимостью изображений на экране. Сочетание Damage и Composite позволяет делать по-настоящему прозрачные окна, в которых динамически будут меняться все слои изображения. Расширение XEvIE (X Event Interception Extension) позволяет коррелировать между собой события клавиатуры и указателя мыши, а XFixes представляет собой набор дополнений базового протокола X Window. Правда, режимы Composite и XEvIE по умолчанию не включены, поскольку являются экспериментальными.

Оригинал на OSP: www.osp.ru/cw/2004/34/000_21.htm

Ссылки по теме:
x.org: X.Org Foundation Announces X11R6.8 Release of the X
linuxcenter.ru: X.Org X11R6.8
linux.org.ru: Релиз X11R6.8

Пресса по теме:
compulenta.ru: Доступен очередной релиз графического сервера для Unix
uinc.ru: Выход X11R6.8

Организация Free Standards Group, занимающаяся разработкой и продвижением стандартов для ПО с открытыми кодами, обнародовала вторую версию стандарта Linux Standard Base (LSB) 2.0. Цель разработки этого стандарта унифицировать работу приложений в различных дистрибутивах Linux. Изюминкой нового стандарта является двоичный интерфейс приложений (application binary interface - ABI) для Си++, который по задумке должен обеспечить унификацию разрабатываемых для Linux программ и упростить их взаимодействие друг с другом. В новой версии стандарта появилась поддержка самых разнообразных архитектур: IBM PowerPC 64, S390 и S390X, а также 64-разрядных платформ Intel и AMD. Желание использовать новую версию стандарта в своей продукции выразили Red Hat, Novell, Mandrakesoft и другие, а кроме того ее поддержали разработчики вычислительной техники: AMD, Dell, HP, IBM и Intel.

На OSP: www.osp.ru/cw/2004/35/000_27.htm

Ссылки по теме:
freestandards.org: Free Standards Group Announces General Availability Of Linux Standard Base 2.0
linuxcenter.ru: Linux Standard Base 2.0
linux.org.ru: Linux Standard Base 2.0

Пресса по теме:
compulenta.ru: Опубликована спецификация Linux Standard Base 2.0
cnews.ru: Разработчики Linux выработали единый стандарт
km.ru: FREE STANDARDS GROUP ПРЕДСТАВИЛА БАЗОВЫЙ СТАНДАРТ LINUX 2.0
rostov.ru: Разработчики Linux выработали единый стандарт
klerk.ru: Разработчики Linux решили использовать единый стандарт

В модуле mod_cplusplus для Apache обнаружена ошибка, позволяющая удаленному пользователю выполнить произвольный код. Ошибка обнаружена в файле cpp_request.cpp и уже исправлена в последнем обновлении. Впрочем можно организовать и локальную атаку на Apache - для этого достаточно специально подготовленных конфигурационных файлов .htaccess или httpd.conf. Ошибка, которая вызывает переполнение буфера, обнаружена в процедуре обработки некоторых переменных, которая описана в файле server/util.c. Еще одна ошибка обнаружена в другом модуле Apache mod_dav. Она позволяет вызвать удаленный отказ в обслуживании. При использовании протокола IPv6 внешний нападающий может вызвать ошибку сегментации, если укажет поле отрицательной длины. В BSD эту ошибку можно использовать для исполнения кода. Разработчики выпустили исправления для найденных ошибок.

На OSP не опубликован

Ссылки по теме:
cve.mitre.org: CAN-2004-0786
cve.mitre.org: CAN-2004-0747
cve.mitre.org: CAN-2004-0751
cve.mitre.org: CAN-2004-0748
cve.mitre.org: CAN-2004-0809
apache.org: Apache HTTP Server 2.0.51 Released
securitylab.ru: Удаленный отказ в обслуживании в Apache
securitylab.ru: Локальное выполнение произвольного кода в Apache

Мои статьи

Гостиничный 3Play
Статья про совместный стенд, который был на выставке Equip­Hotel у компаний Cisco Systems, HRS и CTI, и что они на этом стенде показывали.

Пока гром не грянул
Авторская статья про системы обновлений и их связь с информационной безопасностью.

Работа над ошибками
Моё интервью со Стивом Адлером, который в европейском Microsoft отвечает за безопасность продукции. Интервью взято еще весной на Cisco Expo, поэтому слегка устарело, но тем не менее основные стратегические направления Microsoft с тех пор не сильно изменились.

Бензиновое приложение
Статья по пресс-конференции МТК, Visa, «МНК-Автокард» и «СДМ-Банка» на которой они представляли новый совместный карточный продукт для автовладельцев.

Не мои, но про безопасность

Лицом к лицу с биометрией
Статья Тан И Цзе о биометрической идентификации по лицу. Описываются определенные улучшения в используемых методах.

Автомат заплаток
Статья Пола Робертса о продукте Symantec ON iPatch, который Symantec купила вместе с ON Technologies, но еще не решила куда его пристроить, а пока выпустила его в качестве отдельного продукта.

Управление заплатками
Статья Оливера Риста в которой он рассматривает решения для управления обновлениями. Статья стыкуется с моей Пока гром не грянул .

Поль Джонсон совместно с Ричардом Муром из компании WestPoint обнаружили ошибку в различных браузерах под Windows и Linux, которая позволяет владельцу Web-сайта перехватывать защищенные сеансы. Для этого используются специально подготовленные cookies, которые браузер жертвы отсылает на сервер нападающего перед соединением с доверенным сервером. В результате, у нападающего появляется возможность перехватить защищенный сеанс, став посредником между браузером и защищенным сервером. Этой ошибкой можно воспользоваться в том случае, когда домен имеет более двух букв во второй части имени, кроме доменов в зонах com, net, mil, org, gov, edu, или int. Уязвимыми браузерами являются Internet Explorer, Konqueror, Mozilla Firefox и Opera. Исправлений для этой ошибки сейчас нет, поэтому при установке SSL-соединения рекомендуется просматривать точные данные сертификата сервера и периодически обнулять cookies.

Оригинал на OSP: www.osp.ru/news/comm/2004/09/22_02.htm

Ссылки по теме:
westpoint.ltd.uk: Multiple Browser Cookie Injection Vulnerabilities
securitylab.ru: Внедрение в сессию целевого пользователя в Microsoft Internet Explorer

За найденные в продуктах Mozilla ошибки фондом Mozilla Foundation были вручены первые награды, предусмотренные программой Security Bug Bounty Program. Первыми награжденными стали Марсель Бош, Голь Делалло, Георгий Гунински и Мэт Палмгрин. Все найденные призерами ошибки являются критическими, то есть при определенных условиях позволяют удаленно исполнить код или повлиять на работу системы памяти. При этом Мэт Палмгрин вернул свою награду фонду, вложив таким образом свои деньги в дальнейшее развитие программы. Разработчики уже выпустили исправления для семи призовых ошибок и еще трех менее значимых, и теперь пользователи могут обновлять свой пакет Mozilla до версии 1.7.3, браузер Firefox до первой предварительной версии и почтовый клиент Thunderbird до версии 0.8. Впрочем, в выпущенных версиях продуктов появились и новые функции: в Firefox - живые закладки и сервис поиска подключаемых модулей, а в Thunderbird - импорт пользовательских баз Outlook/Outlook Express, Mozilla 1.7 и Eudora.

Оригинал на OSP: www.osp.ru/news/soft/2004/09/17_01.htm

Ссылки по теме:
mozilla.org: MOZILLA FOUNDATION ANNOUNCES FIRST PAYMENTS OF SECURITY BUG
securitylab.ru: Множественные уязвимости в Mozilla, Mozilla Firefox, и Thunderbird

Компания "МТУ-Интел" 1 сентября ввела новый тарифный план "Стрим-Нео", который был призван перетянуть частных клиентов у домашних сетей. Домашние сети ответили на вызов "МТУ-Интел", предложив аналогичные тарифные планы. В частности, абонентская плата в "Стрим-Нео" составляет 24 долл., но при ограничении на скорость соединения в 160 Кбит/с. Уже 8 сентября сеть Degunino.Net предложила своим клиентам тариф U-160light, в рамках которого скорость соединения составляет 160 Кбит/с (только в обе стороны, в отличие от "Стрим-Нео") уже за 19 долл. А 9 сентября аналогичное предложение обнародовала компания RiNet ISP, предлагающая услуги на базе собственной волоконно-оптической сети в Центральном округе Москвы. Ее предложение составляет 20 долл. в месяц абонентской платы за соединение со скоростью к абоненту 192 Кбит/с. Отрадно отметить, что аналогичные тарифные планы появились и за пределами Москвы - калининградский провайдер "ТИС Диалог" ввел тарифный план "Альфа", в котором предполагается абонентская плата 600 руб. за канал емкостью 64 Кбит/с. Все описанные выше предложения предназначены для частных клиентов, поскольку имеют определенные ограничения.

Оригинал на OSP: www.osp.ru/news/comm/2004/09/13_02.htm

Ссылки по теме:
isp.rinet.ru: НОВЫЕ ТАРИФЫ С НЕОГРАНИЧЕННЫМ ТРАФИКОМ
egunino.com: Прейскурант цен
tis-dialog.ru: Бесконечность
provider.net.ru: 1 сентября трафик стал неограниченным не только в Москве
provider.net.ru: RiNet ISP (Москва) ввел новые тарифы без ограничения трафика

Пресса по теме:
uinc.ru: RiNet ISP отвечает на тариф "Стрим-Нео"