Уязвимость в веб-сервере GoAhead угрожает сотням тысяч «умных» устройств - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
26-12-2017, 19:00
Уязвимость в веб-сервере GoAhead угрожает сотням тысяч «умных» устройств - «Новости»
Рейтинг:
Категория: Новости

Веб-сервер GoAhead разработан небольшой американский компанией Embedthis Software LLC и, согласно официальному сайту, данное решение активно используют в своих продуктах такие крупные производители, как Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon и так далее. Такая популярность GoAhead объясняется просто, дело в том, что веб-сервер может работать даже на IoT-устройствах, чьи ресурсы сильно ограничены, то есть роутерах, принтерах, камерах и прочем сетевом оборудовании.


Исследователи австралийской ИБ-компании Elttam сообщают, что им удалось обнаружить опасную RCE-уязвимость в составе GoAhead ниже версии 3.6.5. Проблема получила идентификатор CVE-2017-17562. Баг сопряжен с работой скриптов CGI и эксплуатировать его можно лишь в том случае, если поддержка CGI включена, равно как и поддержка dynamically linked executables.


Эксперты уже уведомили о бреши разработчиков Embedthis Software LLC, и те представили исправленную версию GoAhead. Однако исследователи Elttam предупреждают, что уязвимости подвержены все предыдущие вариации веб-сервера (хотя тестирование проводилось лишь до версии 2.5.0), и это может стать большой проблемой.


Дело в том, что теперь производители многочисленных устройств с GoAhead на борту должны будут предоставить своим пользователям обновления для уязвимого оборудования. К сожалению, в этой области интернета вещей положение дел весьма печально, — как показывает практика, «умные» устройства могут не получать обновлений долгие месяцы или даже годы, а многие гаджеты и вовсе останутся без патчей навсегда, так как срок официальной поддержки для них уже истек.


По данным поисковика Shodan, в настоящее время в сети можно обнаружить 500-700 тысяч устройств с уязвимыми версиями GoAhead на борту. И ситуация лишь усугубляется тем, что наряду с отчетом об уязвимости эксперты Elttam опубликовали и proof-of-concept эксплоит.





Стоит заметить, что это не первый случай, когда ИБ-специалисты находят в GoAhead серьезные уязвимости. К примеру, в марте 2017 года исследователь Пирри Ким (Pierre Kim) сообщил, что из-за проблем в различных имплементациях GoAhead под угрозой находятся  свыше 1200 моделей IP-камер 354 разных производителей.


Разумеется, веб-сервер и уязвимости в нем не укрылись от внимания злоумышленников. IoT-ботнеты, построенные на базе Mirai, Hajime, BrickerBot, Persirai и другой малвари, уже давно взяли на вооружение баги в GoAhead. Увы, теперь, учитывая доступность эксплоита для новой проблемы, эксперты прогнозируют очередную волну атак на «дырявые» устройства интернета вещей.


Источник новостиgoogle.com

Веб-сервер GoAhead разработан небольшой американский компанией Embedthis Software LLC и, согласно официальному сайту, данное решение активно используют в своих продуктах такие крупные производители, как Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon и так далее. Такая популярность GoAhead объясняется просто, дело в том, что веб-сервер может работать даже на IoT-устройствах, чьи ресурсы сильно ограничены, то есть роутерах, принтерах, камерах и прочем сетевом оборудовании. Исследователи австралийской ИБ-компании Elttam сообщают, что им удалось обнаружить опасную RCE-уязвимость в составе GoAhead ниже версии 3.6.5. Проблема получила идентификатор CVE-2017-17562. Баг сопряжен с работой скриптов CGI и эксплуатировать его можно лишь в том случае, если поддержка CGI включена, равно как и поддержка dynamically linked executables. Эксперты уже уведомили о бреши разработчиков Embedthis Software LLC, и те представили исправленную версию GoAhead. Однако исследователи Elttam предупреждают, что уязвимости подвержены все предыдущие вариации веб-сервера (хотя тестирование проводилось лишь до версии 2.5.0), и это может стать большой проблемой. Дело в том, что теперь производители многочисленных устройств с GoAhead на борту должны будут предоставить своим пользователям обновления для уязвимого оборудования. К сожалению, в этой области интернета вещей положение дел весьма печально, — как показывает практика, «умные» устройства могут не получать обновлений долгие месяцы или даже годы, а многие гаджеты и вовсе останутся без патчей навсегда, так как срок официальной поддержки для них уже истек. По данным поисковика Shodan, в настоящее время в сети можно обнаружить 500-700 тысяч устройств с уязвимыми версиями GoAhead на борту. И ситуация лишь усугубляется тем, что наряду с отчетом об уязвимости эксперты Elttam опубликовали и proof-of-concept эксплоит. Стоит заметить, что это не первый случай, когда ИБ-специалисты находят в GoAhead серьезные уязвимости. К примеру, в марте 2017 года исследователь Пирри Ким (Pierre Kim) сообщил, что из-за проблем в различных имплементациях GoAhead под угрозой находятся свыше 1200 моделей IP-камер 354 разных производителей. Разумеется, веб-сервер и уязвимости в нем не укрылись от внимания злоумышленников. IoT-ботнеты, построенные на базе Mirai, Hajime, BrickerBot, Persirai и другой малвари, уже давно взяли на вооружение баги в GoAhead. Увы, теперь, учитывая доступность эксплоита для новой проблемы, эксперты прогнозируют очередную волну атак на «дырявые» устройства интернета вещей. Источник новости - google.com

Теги: CSS, GoAhead лишь уязвимости устройств тысяч

Просмотров: 994
Комментариев: 0:   26-12-2017, 19:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: