Команда специалистов по криптографии проанализировала больше 10 миллионов открытых ключей и обнаружила серьезную проблему в некоторых собранных сертификатах X509. Этот вывод стал следствием того, что некоторые ключи были менее случайными, чем они должны были быть  – более 12 000 было легко обойти.

В 6 185 372 проанализированных сертификатах X.509, исследователи обнаружили 266 729 открытых ключей, в которых модули были использованы повторно. Модули являются главными компонентами открытого ключа – если они одинаковые, то  и секретные ключи совпадают. В одном случае, похожий модуль был найден 16 489 раз. Это значит, что каждый из владельцев 16 489 сертификатов может мошенничать или шпионить за каждым из остальных 16 488. Исследователи отмечают, что переработка ключа при, например, продлении сертификата не является чем-то необычным, но значительное число этих ключей принадлежат независимым владельцам.

Затем исследователи пошли еще дальше и определили наибольший общий делитель (НОД) собранных модулей при помощи Эвклидова алгоритма. Это большая работа, так как требуется определить как модуль сочетается с каждым из других модулей, но возможная, и если два из модулей с наибольшим общим делителем больше единицы будут найдены, они оба будут легко взломаны, так как проблема факторизации простых чисел, лежащая в основе RSA-шифрования, по существу решена. Исследователи смогли найти такой НОД для 12 720 своих (1024-битных) RSA-ключей. Когда это  было возможно, исследователи известили владельцев пострадавших ключей.

.

Вот так получите пожалуйста!

Подробности здесь: http://www.h-online.com/security/news/item/RSA-keys-not-as-random-as-they-should-be-1435474.html

Разработчики PHP работают над исправлением критической уязвимости, появившейся в последнем патче. Пострадала текущая стабильная версия; тем не менее, пока еще не понятно, был ли применен этот сомнительный патч к предыдущим версиям.

Причиной проблемы является обновление безопасности до PHP 5.3.9, которое было написано для предотвращения атак отказа в обслуживании (DoS) с использованием хэш-коллизий. Для этого разработчики, используя max_input_vars, ограничили максимально возможное количество входящих параметров в php_variables.c до 1000. Из-за ошибок в реализации, хакеры могут намеренно превысить этот предел и внедрить, а затем и выполнить код. Ошибка считается критической, так как код можно удаленно внедрить через Интернет.

Для разрабатываемой версии PHP уже есть патч, исправляющий ошибку, но разработчики пока еще не дают официальных рекомендаций. Пока еще не ясно, есть ли разумные срочные меры и пути решения для заинтересованных администраторов. Стефан Эссер, обнаруживший проблему, отметил, что использование расширения Suhosin, которое он помогал разрабатывать, заметно снижает вероятность использования ошибки, даже в стандартной конфигурации.

Update – В версии PHP  5.3.10 уже всё исправлено, качайте, обновляйтесь.

Первые патчи для уязвимости нулевого дня приложений от Adobe Acrobat и Reader, чье использование злоумышленниками компания подтвердила, были выпущены. Исходная проблема заключалась в повреждении памяти при обработки файлов Universal 3D (U3D), что потенциально могло дать злоумышленнику возможность получить контроль над пострадавшей системой. Выпущенные патчи также предназначены для недавно обнаруженной критической проблемы (CVE-2011-4369), которая могла вызвать повреждение памяти при обработке файлов Product Representation Compact (PRC) 3D.

Сейчас Adobe выпустил обновление для Adobe Reader 9.x для Windows и Acrobat 9.x для Windows. Обновление можно установить, выбрав Help ➤ Check for Updates в любом приложении. Также возможно ручное скачивание Reader 9.4.7 и Acrobat 9.4.7. В этот раз Adobe не выпускает обновления для Reader X или Acrobat X потому что, по словам компании, защитные технологии, встроенные в эти продукты предотвращает любое использование уязвимостей. Исправленные версии этих приложений буду выпущены в рамках следующего ежеквартального обновления 10 января 2012 года, наряду с обновлениями для версий под Unix и Mac OS X.

.

Источник:  http://www.h-online.com/security/news/item/Adobe-closes-Acrobat-and-Reader-security-holes-1397440.html

Разработчики Recurity Labs работают над реализацией OpenPGP на JavaScript. На данный момент, прототип GPG4Browsers доступен в качестве расширения Google Chrome и может использоваться с почтовым сервисом Google. Расширение позволяет пользователям шифровать и дешифровать почту, добавлять и проверять подписи, а также импортировать и экспортировать сертификаты.

Тем не менее, в отличии от GNU Privacy Guard (GnuPG), в настоящее время программное обеспечение не предлагает никакого сжатия данных; разработчики предлагают, чтобы для создания совместимых с GPG4Browsers сообщений с помощью GnuPG, пользователи добавляли опцию -compress-algo none. Исходный код GPG4Browsers доступен как в качестве ZIP-архива или из репозитория Subversion и лицензируется под GNU Lesser General Public License (LGPL) 2.1. Те кто хочет отслеживать его развитие, могут получить доступ к репозиторию Subversion.

.

Источник:  http://www.h-online.com/security/news/item/OpenPGP-in-browsers-1381905.html

Открытая CMS Joomla! была обновлена после ошибки в генерации случайных чисел, которая, как выяснилось, позволяла злоумышленникам через сброс пароля изменять пароль пользователя. Подвержены опасности версии 1.5.x, 1.6.x и 1.7.x. Joomla! 1.5.25 и 1.7.3 выпущены с целью исправить проблему, описанную разработчиками как «высоко опасную». Другие проблемы с безопасностью в 1.7.x включают некорректную фильтрацию неопределенного поля, которая может быть использована для межсайтогового скриптинга (XSS) тоже исправляются.

Версии веток 1.5.x и 1.7.x до 1.5.24 и 1.7.2 включительно подвержены опасности, как и вся ветка 1.6.x. Обновление также предназначено для 70 не связанных с безопасностью ошибок. Всем пользователям рекомендуется обновиться. Больше информации о обновлении можно найти в объявлениях о выходе  1.5.25 и 1.7.3, а также в рекомендациях Joomla! По безопасности. Joomla! 1.5.25 и1.7.3 доступны для скачивания на сайте проекта. Joomla! лицензируется по GPL и спонсируется некоммерческой организацией Open Source Matters, Inc.

.

Оригинал: http://www.h-online.com/security/news/item/Joomla-updates-close-security-holes-1379162.html