در صورتی که مهاجم قادر به ارسال و دریافت پیام به یک سرور معتبر DNS باشد می تواند از طریق طراحی دقیق و ساختار یافته یک نام کلیدی معتبر TSIG درخواستهای احراز هویتی AXFR را دور بزند و به راحتی اطلاعات سرور DNS را Transfer کند .
References
- CVE – 2017-3142
Solution
- upgrade-isc-bind-latest
استفاده از ماژول جانبی آسیب پذیر" ap_get_basic_auth_pw" در Apache HTTPD در برخی موراد باعث می شود احراز هویت bypassed شود. برای رفع این آسیب پذیری از ماژول ap_get_basic_auth_componentsکه در نسخه های Appache 2.2.33 و 2.4.26 Appache قرار داده شده است استفاده شود. این ماژول پس از اتصال کاربر، آن را احراز هویت می کند و یا بلافاصله پس از پاسخ خطا درخواست را متوقف می کند تا از تصحیح اشتباه درخواست فعلی به دلیل امنیت بالا و جلوگیری از حملات احتمالی جلوگیری شود.
References :
-
CEV-2017-3167
Solution :
-
apache-httpd-upgrade-2_2_33
-
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch.
محققان حوزه امنیت و آسیبپذیری به تازگی یک آسیبپذیری را در اَبَر ناظرِ Xen مشاهده کردهاند که ممکن است در اثر آن با اجرای کدهای غیرمجاز از محیط ماشین مجازی گریز کرده و دسترسی سطح بالا و غیرمجاز به ماشین میزبان پیدا کنند.
آیا میدانید که میتوان با استفاده از یک سامانه احراز هویت کاملاً متفاوت اما سریع، به صحبتهای واتسآپ، لاین و ویچت روی رایانه رومیزی کاربر دسترسی یافت؟
الکس چپ من و پاول استون از Context که یک شرکت مشاوره امنیتی سایبری در انگلستان است، روش حمله جدیدی با استفاده از پروتکل WPAD و پروندههای PAC پیدا کردند که باعث سرقت اطلاعات مربوط به وبگاههای HTTPS میشود که کاربر از آنها بازدید کرده است.