В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

Итальянские исследователи опубликовали информацию о двух уязвимостях нулевого дня, которые они обнаружили в WordPress-плагине Limit Login Attempts Reloaded. Одна из них позволяет обойти защиту доступа к сайту, другая — провести XSS-атаку. Обе проблемы были устранены в прошлом году.

Согласно описанию на сайте разработчика, расширение Limit Login Attempts Reloaded предназначено для защиты от брутфорс-атак. Механизм, реализуемый плагином, позволяет ограничить число попыток авторизации на сайте с одного и того же IP-адреса.

В настоящее время на счету Limit Login Attempts Reloaded числится более 1 млн активных установок. Его текущая версия — 2.19.2.

Уязвимости, о которых идет речь, классифицируются следующим образом:

  • CVE-2020-35590 — неадекватное ограничение множественных попыток авторизации; проявляется при кастомных настройках, грозит обходом такой защиты; 9,8 балла по шкале CVSS;
  • CVE-2020-35589 — неадекватная нейтрализация входных данных при генерации веб-страниц; эксплойт не требует аутентификации и открывает возможность для межсайтового скриптинга; 5,4 балла по CVSS.

Обе бреши обнаружили специалисты крупнейшей телекоммуникационной компании Италии — TIM (ранее Telecom Italia). В целях повышения безопасности своей инфраструктуры провайдер создал небольшое исследовательское подразделение, которое занялось поиском недокументированных уязвимостей. Эта команда публикует свои находки каждые десять дней и уже успела выявить 37 уязвимостей в продуктах Oracle, Nokia, Siemens, Schneider Electric, QNAP, Selesta, WOWZA, MultiUX и WordPress.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мобильная операционная система ALT Mobile внесена в Реестр российского ПО

Операционная система ALT Mobile для мобильных устройств зарегистрирована в Реестре российского программного обеспечения под номером 24906, класс 02.11 «Мобильная операционная система».

ALT Mobile (номер в реестре 24906, класс 02.11 «Мобильная операционная система») входит в линейку ОС «Альт», все продукты которой основаны на единой пакетной базе и отечественном репозитории. Интерфейс ALT Mobile адаптирован под малые диагонали экранов устройств с сенсорным управлением и использует оболочку Phosh на базе технологий GNOME.

Устройства с ALT Mobile полностью совместимы с корпоративной ИТ-инфраструктурой, в которой компьютеры и серверы работают на ОС «Альт». Централизованное управление такой инфраструктурой, в том числе устройствами с ALT Mobile, осуществляется с помощью программного комплекса (службы каталогов) «Альт Домен».

«Выпуск ALT Mobile — это важный шаг в расширении линейки ОС «Альт». Продукт рассчитан на корпоративных заказчиков, использующих мобильные устройства для производственно-технологических и бизнес-процессов и предъявляющих повышенные требования к надежности ИТ-инфраструктуры», — сказал Алексей Смирнов, председатель совета директоров «Базальт СПО».

Модель продаж операционной системы ALT Mobile отличается от модели ОС общего назначения и предусматривает поставки продукта только предустановленным на мобильные устройства от аппаратных производителей.

«Базальт СПО» активно работает над обеспечением совместимости ОС с широким спектром оборудования различного назначения, среди которого не только смартфоны и планшеты, но и банковские терминалы, кассовые аппараты, телевизионные приставки и многое другое.

ALT Mobile уже предустанавливается на планшетные компьютеры MIG, а также совместима с архитектурами x86_64, aarch64, RISC-V. Доступны образы для установки на смартфоны Pine64 и игровые приставки Anbernic на базе СнК Rockchip.

«Выбирая технологического партнера, мы оцениваем зрелость продукта, совместимость с широким спектром российских решений, наличие компетенций и отлаженность внутренних процессов компании. По части операционных систем необходимо, чтобы ОС соответствовала требованиям по импортозамещению и информационной безопасности, ведь абсолютное большинство наших клиентов относится к критической инфраструктуре. ALT Mobile подошла нам по всем параметрам», — заявил Сергей Германович, технический директор компании MIG.

ALT Mobile — это российское решение на базе свободного ПО, независимое от зарубежных сервисов. В проекте используются отечественный репозиторий и инфраструктура, находящиеся на территории России. Процесс разработки ОС и исходные коды компонентов базовой системы открыты.

Высокая надежность ОС, имеющая ключевое значение для корпоративных заказчиков, достигается за счет полностью контролируемой сборки, регулярного выпуска обновлений и устранения уязвимостей.

Интерес к ALT Mobile уже проявили госструктуры, бизнес и частные пользователи. Ранее ОС была представлена на различных отраслевых, партнерских и научно-практических конференциях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru