Pull to refresh
  • by relevance
  • by date
  • by rating

7 критических уязвимостей в F5 BIG-IP и F5 BIG-IQ. Как обезопасить ваши сетевые устройства?

Information SecurityIT Infrastructure

10 марта F5 анонсировали миру о новых уязвимостях в устройствах BIG-IP и BIG-IQ: удаленного исполнения команд в интерфейсе iControl REST и Traffic Management Interface, и две уязвимости переполнения буфера. Шесть из семи перечисленных уязвимостей получили балл критичности 8.0 или выше в системе оценки уязвимостей CVSS.

Уязвимости:

K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986

K18132488: Appliance Mode TMUI authenticated remote command execution vulnerability CVE-2021-22987

K70031188: TMUI authenticated remote command execution vulnerability CVE-2021-22988

K56142644: Appliance mode Advanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22989

K45056101: Advanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22990

касаются Management GUI F5 и не могут быть полностью устранены без обновления. Те, кто имеет доступ к GUI консоли управления F5 через Management или self IP интерфейсы, например, по причине их открытого доступа извне, или изнутри защищенной сети, потенциально могут реализовать данные уязвимости. Угрозу извне можно уменьшить, предоставляя доступ к Management интерфейсу только внутренним сотрудникам, а на self IP интерфейсах использовать параметр доступа "Allow None" или "Allow Custom" без разрешения доступа по порту 443.

 Следующие уязвимости:

K56715231: TMM buffer-overflow vulnerability CVE-2021-22991

K52510511: Advanced WAF/ASM buffer-overflow vulnerability CVE-2021-22992

касаются Data Plane и могут быть реализованы через пользовательские запросы к сервисам, находящимся за F5. Уязвимость AWAF/ASM может быть закрыта применением iRule, указанным в статье, в то время как уязвимость TMM buffer overflow не имеет плана устранения без обновления к версии с патчем.

Патчи доступны для всех семи «пробоин» для BIG-IP версий 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 и 11.6.5.3. Уязвимость iControl REST также влияет на BIG-IQ, и патчи доступны для версий 8.0.0, 7.1.0.3 и 7.0.0.2.

Читать далее
Total votes 9: ↑9 and ↓0+9
Views1.2K
Comments 1

Весенние обновления Yota

Yota corporate blog
Yota обновила программы, обеспечивающие работу устройств в сети mobile WiMAX.
Доступны для скачивания новый релиз YotaAccess 1.5.1 – версия для ноутбуков со встроенным WiMAX-модулем Intel и новая версия программного обеспечения для роутера ASUS Mobile WiMAX/Wi-Fi Center.
Новая версия YotaAccess 1.5.1 для ноутбуков со встроенным WiMAX-модулем Intel Echo Peak aka Intel 5150/5350 появится в формате автообновления с 18 марта. Обновленная версия повышает надежность и стабильность работы ноутбуков как с предыдущей версией модуля WiMAX/Wi-Fi, так и c новым модулем Intel Kilmer Peak aka Intel 6250, впервые появившимся в моделях Sony VAIO. Улучшенная интеграция с Wi-Fi обеспечена новой версией Intel Wi-Fi 13.1.1, которая также содержится в обновлении.
Читать дальше →
Total votes 27: ↑21 and ↓6+15
Views8.4K
Comments 43

Какой «IT-долг» у вашей компании?

IT Infrastructure
Недавно аналитическая компания Gartner опубликовала любопытный пресс-релиз, в котором оценивает размер мирового «IT-долга» (IT debt) в нынешнем году в $500 млрд, с потенциалом его увеличения до одного триллиона долларов через пять лет. О чём вообще они говорят?

Понятие «IT-долга» появилось в обороте IT-консультантов недавно, но уже вызвало массу критики. Это своеобразная метафора, которая призвана намекать на необходимость ежегодно платить проценты (по аналогии с государственным долгом), если компания не будет тратить существенных ресурсов на обновление своего ПО.
Читать дальше →
Total votes 5: ↑3 and ↓2+1
Views611
Comments 13

Вышел движок MediaWiki 1.17. Моё расширение, подменяющее jQuery, по-прежнему работоспособно в нём. Но в будущем (для MediaWiki 1.18) появится более элегантное решение. 

Crowdsourcing
22 июня 2011 года Фондом Викимедиа выпущена в свет очередная стабильная версия движка MediaWiki — версия 1.17. Соответствующую новость на английском языке вы без труда найдёте в рассылке mediawiki-announce, снабжённую гиперссылками на подробный список изменений и инструкции по апгрейду.

Одной из основных (и даже ключевых) новостей этой версии стало появление и внедрение уникального движка ResourceLoader, целью которого является автоматическая сборка «ресурсов» (конгломератов джаваскрипта и CSS, из которых собирается один общий файл CSS и один общий файл джаваскриптов) с учётом их взаимной зависимости (например, jQuery UI зависит от jQuery) и с последующей минификацией. Два ресурса, содержащие служебные скрипты MediaWiki и библиотеку jQuery 1.4.2, подключаются автоматически в любом случае.

Те из вас, кто хочет использовать более новую версию jQuery, по-прежнему могут для этого воспользоваться тем моим способом и расширением, о котором я рассказывал 12 дней назад вот в этом же блоге. Как ни странно, мне не пришлось переменить ни буквы в его коде PHP для обеспечения работоспособности в MediaWiki 1.17 — это приятная удача, несмотря на то, что (в силу сложности ResourceLoader) прежняя возможность несложно «выкусить» вызов библиотеки jQuery, встроенной в MediaWiki, исчезла совершенно. Так что теперь моё расширение «побеждает» всего лишь потому, что вставляет вызов новой jQuery чуть раньше, чем ResourceLoader начинает грузить старую. По-видимому, библиотека jQuery 1.4.2 достаточно разумна для того, чтобы не подменять новую версию себя самóй. Однако печально, что теперь (в отличие от 1.16) моё расширение не позволяет загрузить одну версию jQuery (свою) вместо другой (встроенной в движок): в 1.17 они грузятся совместно, что неэкономно.

Читать дальше →
Total votes 17: ↑4 and ↓13-9
Views561
Comments 0

Послезавтра (25 июня) вероятным будет выпуск очередной стабильной версии (0.8.0) движка Node.js

Node.JS
Версия 0.8 движка Node.js подготавливалася давно, и вот постепенно становится понятно, что выпуск её вероятен послезавтра — 25 июня 2012 года.

На Гитхабе ужé состоялся коммит с упоминанием послезавтрашней даты, в списке ветвей кода появились ветки «v0.8» и «v0.8.0-release», во блоге Node 19 июня опубликовано сообщение о том, что версия 0.7.12 станет последнею в своей ветке 0.7.

Что же это будет означать для программистов на джаваскрипте, использующих движок Node для запуска своих скриптов? Чем обернётся обновление программного обеспéчения?

Исправления тех или иных ошибок в коде никак не повлияют на наше с вами программирование (если только прежде не приходилося специально обходить их), поэтому обратить внимание придётся прежде всего на накопившиеся мелкие изменения в API. К счастью, в вики Node на Гитхабе есть страница «API changes between v0.6 and v0.8», в которой все они аккуратно перечислены. Нетрудно обнаружить, что там их ≈60 штук, считая и нерекомендуемые, и удалённые, и изменённые, и вновь появившиеся возможности.

Читать дальше →
Total votes 22: ↑11 and ↓110
Views426
Comments 4

Node v0.8.0

Node.JS
Translation
Я необыкновенно рад объявить о выходе новой стабильной версии Node.js.

По сравнению с выпусками Node версий 0.6 новый выпуск обеспечит существенное улучшение многих ключевых показателей производительности, а также более ясные встроенные API и появление новых средств для отладки.

Вкратце


С приходом версии 0.8.0:

  1. Node стал гораздо быстрее.
     
  2. Node стал стабильнее.
     
  3. Снова можно работать с дескрипторами файлов.
     
  4. Модуль cluster стал куда более умопотрясающим.
     
  5. Был добавлен модуль domain.
     
  6. Модуль repl стал лучше.
     
  7. Система сборки waf заменилась на gyp.
     
  8. Также случились некоторые другие изменения.
     
  9. Внизу блогозаписи — ссылки на установочные файлы Node.

Читать дальше →
Total votes 53: ↑40 and ↓13+27
Views1.7K
Comments 19

Node v0.10.0

Node.JS
Translation
Я рад объявить о выходе новой стабильной версии Node.

Переход на неё приносит значительные улучшения во многих областях, сосредоточенные на улучшении API, на простоте употребления, на обратной совместимости.

Весьма краткий обзор значимых изменений API по сравнению с v0.8 читайте, пожалуйста, на странице вики об изменениях API.

Streams2


В предыдущей блогозаписи мы представили вам изменения API, названные «Streams2». Если вы не успели осмотреть их, прочтите, пожалуйста, теперь хотя бы тогдашний подраздел «tl;dr».

Изменения интерфейса потоков подготавливались давно. С самых ранних дней Node всем нам было вроде как известно, что «события data начинают сразу поступать» и «вызов pause() не обязательно оказывает эффект» — это страшная и ненужная фигня. В версии 0.10 мы наконец поднапряглись и устроили коренные изменения, улучшившие поведение потоков.

Что ещё важнее, теперь все потоки в ядре Node устроены на основе одного и того же набора легко расширяемых основных классов, так что поведение их стало гораздо предсказуемее, а также небывало упростилось создание потоковых интерфейсов для ваших собственных пользовательских программ.

По правде говоря, API Streams2 разрабатывался по мере использования его для модулей из реестра npm. В настоящий момент 37 опубликованных модулей Node ужé пользуются библиотекою readable-stream в качестве одной из своих зависимостей. Пакет readable-stream для npm позволяет использовать новую форму интерфейса Stream в вашем прежнем коде v0.8.

Читать дальше →
Total votes 60: ↑50 and ↓10+40
Views10K
Comments 15

Обновление Meizu MX2 до Flyme 2.2.3

Meizu corporate blog
Приветствуем вас, Хабралюди! В начале июня вышло очередное обновления для Meizu MX2 до версии Flyme 2.2.3. Ниже вы найдете список основных изменений, инструкцию по ручной установке, а также ссылки на официальную версию прошивки и кастомную с двойным статус баром.


Flyme 2.2.3 - что нового и как обновиться?
Total votes 4: ↑3 and ↓1+2
Views16K
Comments 6

Новшества node-webkit 0.6.3

Node.JS
Вчера (23 июля) интеловский Центр технологий с открытым исходным кодом выдал на-горá очередную версию движка node-webkit. Как и прежде, движок этот позволяет открывать браузероподобные окна (на основе кода Chromium) и употреблять в них API Node.js — а значит, обеспечивает нетрудное создание GUI-приложений методами веборазработки (на языках JavaScript, HTML, CSS, WebGL и т. п.) под операционные системы Windows, Mac OS X и Linux.

Новая версия получила номер 0.6.3 и содержит движок Node версии 0.10.12:

[скриншот окна]

Три месяца назад (29 апреля) я обозрел одну из предыдущих версий node-webkit (версию 0.5.1). За прошедшее с тех пор время в node-webkit появился целый ряд существенных новшеств.

Важнейшим из них стало улучшение подсистемы поиска и запуска приложений. Теперь, когда вы запускаете движок node-webkit, он ищет приложение в следующем порядке:

Читать дальше →
Total votes 24: ↑21 and ↓3+18
Views7.7K
Comments 13

Новшества node-webkit 0.7.1

Node.JS
Прямо сегодня (19 августа) интеловский Центр технологий с открытым исходным кодом выдал на-горá очередную версию движка node-webkit. Движок этот, как и прежде, интересен тем, что умеет открывать браузероподобные окна (на основе кода Chromium) и употреблять в них API Node.js так что он обеспечивает нетрудное создание GUI-приложений методами веборазработки (на языках JavaScript, HTML, CSS, WebGL и т. д.) под операционные системы Windows, Mac OS X и Linux.

Новая версия получила номер 0.7.1 и содержит движок Node версии 0.10.12, как нетрудно видеть в тестовом окне:

[скриншот окна]

Код тестового окна я сегодня открыл на Гитхабе, так что желающие могут с ним ознакомиться и убедиться воочию, что начальные (helloworldные) шаги программирования для node-webkit ничуть не сложнее обычной веборазработки, усиленной возможностями API Node.

Менее месяца тому назад (24 июля) я обозрел одну из предыдущих версий node-webkit (версию 0.6.3). С тех пор прошло не много времени, однако в node-webkit появился ряд небезынтересных новшеств:

Читать дальше →
Total votes 49: ↑38 and ↓11+27
Views16K
Comments 28

Обновление Windows 8.1 с Enterprise до Pro, или как удалить драйвер Sentinel Runtime Drivers

Development for Windows
Recovery mode
Доброго времени суток, %username%.

При обновлении с Windows 8.1 Enterprise до Pro версии (ссылка) у меня возникла проблема: необходимо было удалить Sentinel Runtime Driver.

image

Решение:


Для этого нам надо будет скачать данный файл
Далее запустить командную строку от имени администратора и ввести следующее:

cd ПУТЬ_ДО_ПАПКИ_СО_СКАЧАННЫМ_ФАЙЛОМ

Например:

cd C:\Users\***\Downloads\Sentinel_LDK_Run-time_cmd_line\Sentinel_LDK_Run-time_cmd_line

Далее введите

haspdinst.exe -purge

У вас вылезет окно с прогресс-баром. Дождитесь завершения и можете возвращаться в окно установки Windows 8.1

На этом всё. Удачного обновления!
Total votes 43: ↑13 and ↓30-17
Views36K
Comments 9

Распространение обновления Nokia Black для смартфонов Lumia уже началось

Microsoft Lumia corporate blog
Привет, Хабр!

Буквально на днях стартовало распространение обновления Lumia Black для смартфонов Nokia Lumia на базе Windows Phone 8. Апдейт включил в себя ряд новых «фишек» и функций, улучшения по части обработки фотографий, свежие приложения и новшества от Microsoft и Nokia.



В этом посте мы решили подробнее разобрать список нововведений в этой версии прошивки, так что добро пожаловать под кат.
Читать дальше →
Total votes 44: ↑36 and ↓8+28
Views35K
Comments 73

Обновление Evernote для Windows: ускоренная синхронизация и редактирование изображений

Evernote corporate blog


Evernote для Windows получил два заметных улучшения. Во-первых, теперь можно вносить правки в изображения, которые хранятся в ваших заметках. Во-вторых, вы обратите внимание, что синхронизация происходит гораздо быстрее.

Загрузить Evernote для Windows Desktop

Правки на изображениях


Пользователи Evernote часто хранят в своем аккаунте множество изображений. Это могут быть снимки экрана, фото с мобильного Evernote или просто добавленные с компьютера изображения. Теперь из этих изображений можно извлечь больше пользы.
Читать дальше →
Total votes 9: ↑8 and ↓1+7
Views3.6K
Comments 3

Брешь в безопасности компьютеров Lenovo — и это, к сожалению, не ново

Information Security
image

Не успело ещё у владельцев ноутбуков Lenovo исчезнуть разочарование от предыдущего прокола в безопасности компьютеров, как их постигла новая напасть. Компания IOActive, занимающаяся безопасностью компьютеров, сообщает о бреши в фирменной системе обновления ПО. Дыра позволяет хакерам как установить на компьютер жертвы свои программы вместо обновляемых, так и удалённо выполнять команды от имени системы.

Первый недочёт найден в программе обновления, которая скачивает из интернета исполняемые файлы, и запускает их. Файлы в целях безопасности подписаны электронной подписью, но программа обновления неправильно проверяет её подлинность, не до конца обрабатывая цепочку доверия центров сертификации. Хакер, выступая в роли MitM где-нибудь в кафе, где пользователь решил обновить свой софт (есть даже термин «coffee shop attack»), способен подменить исполняемые файлы своими программами, а обновление примет их, как родных, поскольку не распознает подделку.
Читать дальше →
Total votes 22: ↑19 and ↓3+16
Views15K
Comments 6

Что нам стоит дом построить, да software обновить…

Selectel corporate blogSystem administrationIT InfrastructureNetwork technologiesNetwork hardware

Обновление ПО на каком-либо коммутаторе — это не просто залил софт, прописал в него загрузку на старте и сказал ребут. Это целый процесс, который многим просто не виден. Об этом процессе и хотелось бы рассказать.
Читать дальше →
Total votes 37: ↑37 and ↓0+37
Views3.2K
Comments 6

Обновление МойОфис 2021.02. Пишите формулы и математические выражения в текстовом редакторе

МойОфис corporate blogLaTeXProduct ManagementSoftwareIT-companies

Привет, Хабр! Недавно мы обновили МойОфис до версии 2021.02. Одним из важных улучшений стала возможность добавления формул в текстовом редакторе. Она может быть полезна всем, кто работает с текстами и хочет получить корректное отображение сложных математических выражений в документах, особенно при последующей печати или демонстрации на слайдах презентации.

Читать далее
Total votes 22: ↑21 and ↓1+20
Views3.5K
Comments 5

Получаем полную версию Microsoft Exchange. Исследуем, как мир ставит обновления

Акрибия corporate blogInformation Security

Перед тем, как я расскажу о своем исследовании, объясню, чем оно было обусловлено. В мае мы запустили альфа-версию сканера интернета – Netlas.io. Этот сервис – наша собственная разработка, которой мы занимались последние месяцы.  

В двух словах о том, что это. Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Иными словами — это российский аналог Shodan или Censys.

Альфа-тестирование продлится еще несколько месяцев, поэтому, кому интересно – ждем. На этот период сервис полностью бесплатный, но уже содержит много «плюшек» для тех, кто решит продолжить его использовать после альфы. Например, доступ к платному аккаунту на несколько месяцев.

 На этой ноте вступительную часть объявляю закрытой, переходим к исследованию.

Читать далее
Total votes 6: ↑6 and ↓0+6
Views3K
Comments 2