Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах
05:48, декабря 23, 2020 Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подх...
Сообщает www.opennet.ru  

Поделиться новостью в Facebook Поделиться новостью в Twittere Поделиться новостью в VK Поделиться новостью в Pinterest Поделиться новостью в Reddit

Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist

Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist В менеджере зависимостей Composer выявлена критическая уязвимость (CVE-2021-29472), позволяющая выполнить произвольные команды в системе при обработке пакета со специально оформленным значением URL, определяющим адрес для загрузки исходных текстов. Проблема проявляется в компонентах GitDr …

Наука и Технологии 10:54, мая 3, 2021 | opennet.ru
GitHub устранил уязвимость, приводившую к подмене сеанса пользователя

GitHub устранил уязвимость, приводившую к подмене сеанса пользователя GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую оп …

Игры и Сеть 18:36, марта 9, 2021 | opennet.ru
Уязвимость в Bluetooth-стеках Linux, macOS, Android и iOS, допускающая подстановку нажатий клавиш

Уязвимость в Bluetooth-стеках Linux, macOS, Android и iOS, допускающая подстановку нажатий клавиш Марк Ньюлин (Marc Newlin), семь лет назад выявивший уязвимость MouseJack, раскрыл сведения о похожей уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS, и позволяющей осуществить подстановку нажатий клавиш через симуляцию активности устройства ввода, по …

Наука и Технологии 23:24, декабря 9, 2023 | opennet.ru
Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare

Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare В предоставляемой компанией Cloudflare сети доставки контента cdnjs, предназначенной для ускорения доставки JavaScript-библиотек, выявлена критическая уязвимость, позволяющая выполнить произвольный код на серверах CDN. Опасность проблемы усугубляется тем, что для загрузки JavaScript-библи …

Наука и Технологии 04:54, июля 18, 2021 | opennet.ru
HTB Breadcrumbs. Атакуем Apache на Windows и эксплуатируем уязвимость JWT

HTB Breadcrumbs. Атакуем Apache на Windows и эксплуатируем уязвимость JWT Для подписчиковСегодня я для тебя разберу сложную машину Breadcrumbs площадки Hack The Box. На ее примере мы проэксплуатируем LFI, чтобы прочесть исходники сайта, затем подберем JWT для авторизации в качестве админа. После проникновения на сервер пореверсим самописный менеджер паролей и п …

Наука и Технологии 21:18, июля 20, 2021 | xakep.ru
Обнаружена уязвимость, позволяющая запускать произвольный код на серверах Apple, PayPal, Microsoft и других крупных IT-компаний

Обнаружена уязвимость, позволяющая запускать произвольный код на серверах Apple, PayPal, Microsoft и других крупных IT-компаний Исследователь вопросов информационной безопасности Алекс Бирсан обнаружил уязвимость, с помощью которой он смог запустить код на серверах, принадлежащих крупнейшим IT-компаниям, включая Apple, Microsoft, PayPal и др. Уязвимость имеется на серверных системах более чем 30 компаний. К тому ж …

Игры и Сеть 19:12, февраля 11, 2021 | itc.ua
В России запретили закрывать на ключ двери в кинотеатрах во время сеанса

В России запретили закрывать на ключ двери в кинотеатрах во время сеанса С 1 января на всей российской территории введён запрет на запирание дверей во всех кинотеатрах во время сеанса. Об этом сообщается в правилах противопожарного режима в РФ, утверждённых постановлением правительства. …

Общество 22:00, января 9, 2021 | news.rambler.ru
Миранчук уже переплюнул Аршавина! О голе россиянина за Аталанту после сеанса дружбы с Украиной

Миранчук уже переплюнул Аршавина! О голе россиянина за «Аталанту» после «сеанса дружбы» с Украиной Полузащитник сборной России Алексей Миранчук ознаменовал первый в карьере выход в стартовом составе клуба из Бергамо забитым мячом в ворота «Кальяри». …

Спорт 05:24, января 15, 2021 | sovsport.ru
Различие между корпусами Corsair 5000D и 5000D Airflow заключено в передней панели

Различие между корпусами Corsair 5000D и 5000D Airflow заключено в передней панели Компания Corsair еще не успела представить корпуса 5000D и 5000D Airflow, но информация, опубликованная одним из румынских магазинов, позволяет составить представление об этих моделях. Напоминая модели серии 4000, новые корпуса больше и вместительнее их. Различие между корпусами Corsair 5 …

Наука и Технологии 17:00, декабря 9, 2020 | ixbt.com
Переход на S/4HANA: подумаем о серверах

Переход на S/4HANA: подумаем о серверах От правильного выбора серверной платформы для развертывания S/4HANA во многом зависит окупаемость всего проекта миграции. Как известно, в 2027 году заканчивается срок технической поддержки предыдущей платформы приложений SAP ERP Central Component (SAP ECC), поэтому, по всей видимости, в т …

Наука и Технологии 02:00, марта 25, 2021 | computerworld.ru
Критический баг устранен в Apache OFBiz

Критический баг устранен в Apache OFBiz Разработчики Apache Software Foundation устранили уязвимость в Apache OFBiz, которая могла позволить неаутентифицированному злоумышленнику удаленно захватить контроль над уязвимой ERP-системой. …

Наука и Технологии 08:36, марта 23, 2021 | xakep.ru
В Apache OfBiz обнаружен критический баг

В Apache OfBiz обнаружен критический баг В опенсорсном ERP-решении Apache OfBiz обнаружили уязвимость нулевого дня, которую можно использовать для обхода аутентификации. Интересно, что этот баг возник в результате исправления другой критической уязвимости, CVE-2023-49070. …

Наука и Технологии 00:12, декабря 29, 2023 | xakep.ru
В РФ и Беларуси массовый сбой на серверах Xiaomi

В РФ и Беларуси массовый сбой на серверах Xiaomi В РФ и Беларуси массовый сбой на серверах Xiaomi. Российские и белорусские пользователи экосистемы Mi Home сообщают, что не могут авторизироваться в приложении и подключиться к гаджетам через сеть. Об этом пишут росСМИ. В частности, наблюдаются сбои в работе разумной техники. Люди не могу …

Гаджеты 19:48, октября 8, 2023 | korrespondent.net
Выпуск облачной платформы Apache CloudStack 4.15

Выпуск облачной платформы Apache CloudStack 4.15 Состоялся релиз облачной платформы Apache CloudStack 4.15, позволяющей автоматизировать развертывание, настройку и поддержание приватной, гибридной или публичной cloud-инфраструктуры (IaaS, инфраструктура как сервис). Платформа CloudStack была передана Фонду Apache компанией Citrix, котор …

Игры и Сеть 14:24, января 26, 2021 | opennet.ru
Выпуск сервера web-конференций Apache OpenMeetings 6.0

Выпуск сервера web-конференций Apache OpenMeetings 6.0 Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 6.0, позволяющего организовать проведение аудио- и видеконференций через Web, а также совместную работу и обмен сообщениями между участниками. Поддерживаются как проведение вебинаров с од …

Наука и Технологии 01:36, марта 17, 2021 | opennet.ru
Grafana меняет лицензию с Apache 2.0 на AGPLv3

Grafana меняет лицензию с Apache 2.0 на AGPLv3 Разработчики платформы визуализации данных Grafana, объявили о переходе на лицензию AGPLv3, вместо ранее применяемой лицензии Apache 2.0. Аналогичное изменение лицензии произведено для системы агрегирования логов Loki и распределённого бэкенда трассировки Tempo. Плагины, агенты и некоторы …

Наука и Технологии 16:00, апреля 24, 2021 | opennet.ru
Ботнет WatchDog майнит криптоваюту на чужих серверах

Ботнет WatchDog майнит криптоваюту на чужих серверах Эксперты Palo Alto Networks пишут, что ботнет WatchDog использует более 30 различных эксплоитов для атак и майнит Monero на зараженных серверах. …

Наука и Технологии 02:36, февраля 20, 2021 | xakep.ru
Выпуск интегрированной среды разработки Apache NetBeans 12.2

Выпуск интегрированной среды разработки Apache NetBeans 12.2 Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 12.2, которая предоставляет поддержку языков программирования Java SE, Java EE, PHP, C/C++, JavaScript и Groovy. …

Игры и Сеть 00:48, декабря 10, 2020 | opennet.ru
Брестський коридор Польщі буде захищено Apache

Брестський коридор Польщі буде захищено Apache Польща виставить захист з американських вертольотів Apache та танків Abrams для оборони Брестського коридору, заявив міністр оборони країни Блащак. …

Наука и Технологии 12:48, августа 15, 2023 | itnews.com.ua
Выпуск интегрированной среды разработки Apache NetBeans 12.3

Выпуск интегрированной среды разработки Apache NetBeans 12.3 Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 12.3, которая предоставляет поддержку языков программирования Java SE, Java EE, PHP, C/C++, JavaScript и Groovy. …

Игры и Сеть 13:36, марта 12, 2021 | opennet.ru
Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования rm -rf

Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования "rm -rf" После трёх месяцев разработки и почти семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.9, в котором предложено 6 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. …

Игры и Сеть 15:12, февраля 8, 2021 | opennet.ru
Ботнет DreamBus атакует корпоративные приложения на Linux-серверах

Ботнет DreamBus атакует корпоративные приложения на Linux-серверах Аналитики компании Zscaler рассказали о новом ботнете DreamBus, который представляет собой вариацию малвари SystemdMiner. Новая угроза использует эксплоиты и брутфорс-атаки для взлома PostgreSQL, Redis, SaltStack, Hadoop, Spark и так далее. …

Наука и Технологии 14:00, января 29, 2021 | xakep.ru
Буцаев об игре Нефтехимика: Мы должны набраться опыта. Это не дело одного сезона или одного дня

Буцаев об игре «Нефтехимика»: «Мы должны набраться опыта. Это не дело одного сезона или одного дня» Главный тренер «Нефтехимика» Вячеслав Буцаев подвел итоги матча против «Автомобилиста» (3:4). «Как-то получается, что соперник сразу попадает в плей-офф после матча с нами. Мне понравились действия ребят, несмотря на то, что мы проигрывали. Конечно, допустили грубейшую ошибку при третьем …

Хоккей 22:36, февраля 5, 2021 | sports.ru
Проблема решена: свежее обновление Valheim снизило задержку на серверах

Проблема решена: свежее обновление Valheim снизило задержку на серверах Издательство Coffee Stain Publishing и студия Iron Gate объявили о выпуске обновления для симулятора выживания Valheim. В патче основное внимание было уделено решению проблемы с большой задержкой на выделенных серверах. С выходом заплатки 0.147.3 выделенные серверы начнут использовать пря …

Hardware 21:17, марта 2, 2021 | 3dnews.ru
Облачное хранилище Wasabi ушло в оффлайн из-за размещенного на его серверах контента

Облачное хранилище Wasabi ушло в оффлайн из-за размещенного на его серверах контента Облачный сервис Wasabi претерпел серьезный сбой, так как его домен, используемый для хранения данных, оказался заблокирован регистратором из-за размещенного пользователями вредоносного контента. …

Наука и Технологии 17:36, декабря 30, 2020 | xakep.ru
Майнинговый вредонос Pro-Ocean атакует серверы Apache, Oracle и Redis

Майнинговый вредонос Pro-Ocean атакует серверы Apache, Oracle и Redis Хак-группа Rocke использует новую майнинговую малварь Pro-Ocean для атак на уязвимые установки Apache ActiveMQ, Oracle WebLogic и Redis. Вредонос обладает функциональностью руткитов и распространяется, подобно червю. …

Наука и Технологии 09:36, февраля 3, 2021 | xakep.ru
Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust

Для http-сервера Apache будет подготовлен TLS-модуль, написанный на языке Rust Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета, представила проект по разработке нового модуля с реализацией протокола TLS для HTTP-сервера …

Наука и Технологии 20:48, февраля 3, 2021 | opennet.ru
На серверах World of Warcraft: Burning Crusade Classic будет реализована мгновенная прокачка

На серверах World of Warcraft: Burning Crusade Classic будет реализована мгновенная прокачка На BlizzConline 2021 Blizzard Entertainment объявила, что в текущем году будут запущены серверы World of Warcraft: Burning Crusade Classic — первого расширения для знаменитой MMORPG, в котором пользователей отправят исследовать регион Запределье. А недавно разработчики раскрыли любо …

Игры 15:36, февраля 26, 2021 | 3dnews.ru
Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, …

Наука и Технологии 14:00, февраля 10, 2021 | opennet.ru
Атака на GitHub Actions для майнинга криптовалюты на серверах GitHub

Атака на GitHub Actions для майнинга криптовалюты на серверах GitHub GitHub расследует серию атак, в ходе которых злоумышленникам удалось организовать майнинг криптовалюты в облачной инфраструктуре GitHub, используя для запуска своего кода механизм GitHub Actions. Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года. …

Наука и Технологии 06:36, апреля 7, 2021 | opennet.ru
Уязвимость в store.kde.org и каталогах OpenDesktop

Уязвимость в store.kde.org и каталогах OpenDesktop В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.c …

Наука и Технологии 01:54, июня 26, 2021 | opennet.ru
Эксперты нашли уязвимость в Windows

Эксперты нашли уязвимость в Windows В операционной системе Windows 10 обнаружена уязвимость «нулевого дня», сообщил в Twitter исследователь информационной безопасности Джонас Л. Открытие папки, содержащей ярлык с командой, выводит файловую систему из строя. Это может привести к повреждению файловой системы на диске и потере …

Наука и Технологии 19:24, января 15, 2021 | kommersant.ru
В TikTok обнаружили опасную уязвимость

В TikTok обнаружили опасную уязвимость Эксперты обнаружили в социальной сети TikTok уязвимость, позволяющую получить доступ к личным данным в профилях пользователей, заявили в компании Check Point Software Technologies. Об этом сообщает РИА "Новости". Уязвимость ... …

Технологии 20:24, января 26, 2021 | gazeta.ru
ДНК неандертальцев влияет на уязвимость к коронавирусу

ДНК неандертальцев влияет на уязвимость к коронавирусу Два длинных участка ДНК, унаследованные от неандертальцев, придают устойчивость или восприимчивость к тяжелой форме COVID-19, в зависимости от того, какой из них присутствует. К такому выводу пришли учёные по результатам нового исследования, пишет The Economist. Палеонтологи отмечают, что …

Это интересно, Курьезы 18:36, февраля 25, 2021 | diletant.media
В Apple M1 обнаружена критическая уязвимость

В Apple M1 обнаружена критическая уязвимость Реакции пользователей на первые Mac на базе Apple M1 были довольно хорошие. Однако через несколько месяцев после их выпуска начали появляться сообщения о проблемах с новой платформой. Исследователи из Корнельского университета изучали эффективность отключения или ограничения JavaScript дл …

Наука и Технологии 00:54, марта 14, 2021 | itzine.ru
VMware исправила 0-day уязвимость, обнаруженную АНБ

VMware исправила 0-day уязвимость, обнаруженную АНБ Специалисты АНБ предупредили, что свежая уязвимость в продукции VMware уже используется злоумышленниками. По данным правоохранителей, 0-day эксплуатируют российские правительственные хакеры. …

Наука и Технологии 12:24, декабря 8, 2020 | xakep.ru
В процессоре Apple M1 найдена уязвимость

В процессоре Apple M1 найдена уязвимость Разработчик Гектор Мартин в процессоре Apple M1 обнаружил уязвимость безопасности под названием «M1RACLES», которая потенциально может позволить любым двум приложениям скрытно обмениваться данными между ними без обычных функций операционной системы. Однако разработчик заявляет, что пользо …

Гаджеты 08:18, мая 28, 2021 | mobidevices.ru
В популярных браузерах нашли опасную уязвимость

В популярных браузерах нашли опасную уязвимость В популярных браузерах Google Chrome, Microsoft Edge, Mozilla Firefox и «Яндекс.Браузер», работающих на операционной системе Windows, нашли опасную уязвимость. Как сообщили в компании Microsoft, хакеры научились встраивать внутрь этих программ вредоносное ПО. Специалисты вычислили, что ка …

Новости 00:36, декабря 12, 2020 | compromat.group
Уязвимость в Cisco IOS XE, применяемая для установки бэкдора

Уязвимость в Cisco IOS XE, применяемая для установки бэкдора В реализации web-интерфейса, используемого на физических и виртуальных устройствах Cisco, оснащённых операционной системой Cisco IOS XE, выявлена критическая уязвимость (CVE-2023-20198), позволяющая без прохождения аутентификации получить полный доступ к системе с максимальным уровнем при …

Наука и Технологии 16:48, октября 19, 2023 | opennet.ru
Критическая уязвимость в криптографической библиотеке Libgcrypt 1.9.0

Критическая уязвимость в криптографической библиотеке Libgcrypt 1.9.0 В опубликованном на прошлой неделе выпуске криптографической библиотеки Libgcrypt 1.9.0, которая используется в GnuPG, выявлена легко эксплуатируемая критическая уязвимость, позволяющая добиться переполнения буфера при попытке расшифровки специально оформленных данных, на стадии до верифи …

Игры и Сеть 23:36, января 29, 2021 | opennet.ru