Oracle

Электронная психобумага. Критическая уязвимость в Java позволяет подделывать электронные подписи и ключи

Всех, кто использует относительно новые версии Java-фреймворка Oracle, в минувшую среду ждал неприятный сюрприз: критическая уязвимость в Java, которая позволяет легко подделывать сертификаты и подписи TLS, сообщения двухфакторной аутентификации и данные авторизации. Исследователь из компании ForgeRock Нил Мэдден опубликовал в сети подробное описание уязвимости, с тезисами которого мы сегодня тебя познакомим.

Xakep #277

Взлом

HTB Overflow. Упражняемся в атаке padding oracle и эксплуатируем баг в ExifTool

В этой статье я покажу, как проводить атаку padding oracle и эксплуатировать сайты через SQL-инъекцию. Затем мы получим доступ к машине через уязвимость в ExifTool и повысим привилегии на хосте через переполнение буфера в пользовательском приложении.

Xakep #258

Кодинг

Введение в Row Level Security. Разбираем разграничение прав в БД на примере Oracle и PostgreSQL

Есть разные способы показать пользователю только те данные, которые ему нужны. Row level security — один из самых универсальных, простых и надежных. Прочитав эту статью, ты поймешь, что это несложно, и научишься организовывать разграничение доступа к записям средствами самой БД без особого ущерба для производительности.

Новости

Oracle выпустила экстренный патч для критического бага WebLogic

Инженеры компании Oracle были вынуждены выпустить «патч для патча», так как обнаружили, что недавно выпущенное исправление д…

Новости

Oracle исправила 334 уязвимости в 93 продуктах

Компания Oracle выпустила первые обновления в 2020 году, вслед за Microsoft, Adobe и другими производителями. 192 уязвимости…

Новости

Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры

В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свеж…

Новости

Oracle выпустила экстренный патч для свежей 0-day проблемы

Исправление для новой RCE-уязвимости в Oracle WebLogic не придется ждать до июля, разработчики компании подготовили внеплано…

Xakep #235

Взлом

Дырявая логика. Эксплуатируем новые уязвимости в Oracle WebLogic

В этой статье мы поговорим сразу о нескольких уязвимостях в сервере приложений Oracle WebLogic, написанном на Java. Этот продукт безумно популярен в энтерпрайз-среде и попадается постоянно на периметрах разных компаний от мала до велика. Уязвимости носят критический характер и позволяют злоумышленнику выполнить произвольный код на целевой системе.

Новости

В Oracle WebLogic обнаружена 0-day уязвимость, которая уже находится под атакой

Серверы Oracle WebLogic уязвимы перед новой проблемой, которая позволяет атакующим перехватить доступ над проблемной машиной…

Новости

Инженеры Oracle исправили более 300 багов в своих продуктах

Oracle устранила более 300 уязвимостей в своих решениях, однако это не самый большой пакет патчей в истории компании.

Новости

Серверы Oracle WebLogic оказались под атакой после публикации эксплоита для свежей проблемы

Как минимум две группы хакеров уже эксплуатируют уязвимость в Oracle WebLogic, исправление для которой было выпущено на прош…

Новости

Обнаружены новые векторы атак на уязвимость Spectre

Исследователи сообщили о двух новых векторах атак на оригинальную уязвимость Sperctre вариант 1 (CVE-2017-5753). Проблемы по…

Новости

Компания Oracle опубликовала патчи для новых вариантов Meldown и Spectre

Разработчики Oracle начали публиковать обновленные версии ПО и микрокодов для своей продукции, подверженной новым вариантам …

Новости

Oracle прекратит поддержку сериализации Java, называя ее «ужасной ошибкой»

Разработчики Oracle намерены отказаться от поддержки функциональности сериализации и десериализации данных в языке Java. Об …

Xakep #226

Взлом

Плохая логика. Выполняем произвольный код в популярном сервере приложений Oracle WebLogic

Новая уязвимость в Oracle WebLogic позволяет выполнять произвольные команды на целевой системе любому атакующему без какой-либо авторизации. Разберемся, что именно должен делать атакующий и почему это работает.

Новости

Установка майнинговой малвари на серверы Oracle WebLogic принесла преступникам более 220 000 долларов

Хакерские группы заработали более 220 000, устанавливая на серверы Oracle WebLogic малварь для майнинга криптовалюты Monero …

Новости

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

Инженеры Oracle выпустили внеплановый патч, исправляющий пять уязвимостей. Одна из проблем получила редкую оценку 10 из 10 п…

Новости

Oracle устранила опасный баг в Identity Manager, получивший 10 баллов по шкале CVSS

В этом месяце Oracle исправила 252 уязвимости в своих продуктах. Теперь компания представила еще один бюллетень. Баг получил…

Новости

Компания Oracle выпустила почти 300 патчей, устранив уязвимости, которые использовало АНБ

Компания Oracle вновь превзошла себя и установила новый рекорд, исправив 299 уязвимостей в своих продуктах.

Новости

PoS-подразделение Oracle пострадало от взлома, атаку связывают с группой Carbanak

Известный ИТ-журналист Брайан Кребс (Brian Krebs) рассказал в своем блоге, что MICROS, point-of-sale подразделение компании …

Новости

Патч для Java двухгодичной давности оказался неэффективным

Польский исследователь из компании Security Explorations обнаружил, что патч для уязвимости CVE-2013-5838, выпущенный Oracle…

Новости

Компания Oracle выпустила экстренное обновление Java для Windows

Oralce выпустила внеплановое обновление для Java SE 6, 7 и 8, закрывающее серьезную уязвимость в инсталляторе для Windows (C…

Новости

Компания Oracle исправила рекордное число багов: 248

Компания Oracle представила январский набор патчей, и это обновление побило предыдущий рекорд с большим запасом: было исправ…

Новости

Oracle заставили признать, что Java небезопасна

Федеральная торговая комиссия США (Federal Trade Commission, FTC) уличила компанию Oracle в обмане пользователей. По мнению …

Новости

Директор по безопасности Oracle: прекратите искать уязвимости в нашем коде!

В официальном блоге компании Oracle вчера появилось объемное письмо, написанное от лица диктора по безопасности Oracle Мэри …

Новости

Обнаружена первая за два года 0day в Java

Последние дни богаты на сообщения о новых 0day уязвимостях и эксплоитах. В выходные, благодаря утечке данных Hacking Team, о…

Новости

Инсталлятор Java сделает Yahoo поисковой системой по умолчанию

Некоторые программы в процессе установки на компьютер предлагают установить вместе с собой посторонний софт. Среди них особе…

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

Из рубрики «Взлом»

Трюки

Последние новости

Вымогатель Cactus использует уязвимости в Qlik Sense для проникновения в сети

Проблемы LogoFAIL позволяют внедрять UEFI-буткиты через картинки

WhatsApp защитит закрытые чаты с помощью секретных кодов

Хакеры из Black Basta «заработали» 100 млн долларов на вымогательстве

Zyxel патчит критические баги в межсетевых экранах, точках доступа и NAS