در صورتی که مهاجم  قادر به ارسال و دریافت پیام به یک سرور معتبر DNS باشد می تواند از طریق طراحی دقیق و ساختار یافته یک نام کلیدی معتبر TSIG درخواستهای احراز هویتی  AXFR را دور بزند و به راحتی اطلاعات سرور DNS را Transfer کند .

References

  •   CVE – 2017-3142

Solution

  • upgrade-isc-bind-latest

استفاده از ماژول جانبی آسیب پذیر" ap_get_basic_auth_pw" در Apache HTTPD در برخی موراد باعث می شود احراز هویت bypassed شود. برای رفع این آسیب پذیری از ماژول ap_get_basic_auth_componentsکه در نسخه های Appache 2.2.33  و 2.4.26 Appache قرار داده شده است استفاده شود. این ماژول پس از اتصال کاربر، آن را احراز هویت می کند و یا بلافاصله پس از پاسخ خطا درخواست را متوقف می کند تا از تصحیح اشتباه درخواست فعلی به دلیل امنیت بالا و جلوگیری از حملات احتمالی جلوگیری شود.

 

References :

  • CEV-2017-3167

Solution :

  • apache-httpd-upgrade-2_2_33

  • https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch.

 

محققان حوزه امنیت و آسیب‌پذیری به تازگی یک آسیب‌پذیری را در اَبَر ناظرِ Xen مشاهده کرده‌اند که ممکن است در اثر آن با اجرای کدهای غیرمجاز از محیط ماشین مجازی گریز کرده و دست‌رسی‌ سطح بالا و غیرمجاز به ماشین میزبان پیدا کنند.

آیا می‌دانید که می‌توان با استفاده از یک سامانه احراز هویت کاملاً متفاوت اما سریع، به صحبت‌های واتس‌آپ، لاین و وی‌چت روی رایانه رومیزی کاربر دسترسی یافت؟

الکس چپ من و پاول استون از Context که یک شرکت مشاوره امنیتی سایبری در انگلستان است، روش حمله جدیدی با استفاده از پروتکل WPAD و پرونده‌های PAC پیدا کردند که باعث سرقت اطلاعات مربوط به وب‌گاه‌های HTTPS می‌شود که کاربر از آن‌ها بازدید کرده است.

صفحه1 از2

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد