Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA
Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло. Но в ИБ так не пройдет, нужна...
Из-за чего весь сыр-бор: про уязвимость Text4Shell
За последнюю неделю в информационном поле инфобеза стали появляться новости о втором пришествии уязвимости Log4Shell, окрестившим себя Text4Shell. Первым об уязвимости сообщил Alvaro Muñoz, который рассказал о возможности удаленного выполнения произвольных скриптов в продуктах, использующих...
Уязвимость Log4Shell по-прежнему пользуется популярностью у хакеров для атак на инфраструктуру VMware
Дисклеймер: В статье частично используются материалы отчета Malicious Cyber Actors Continue to Exploit Log4Shell in VMware Horizon Systems. Одним из самых резонансных событий конца 2021 года по направлению кибербезопасности стало обнаружение критической уязвимости нулевого дня Log4Shell...
Что такое CVE и какие угрозы там хранятся?
В публикациях о различных уязвимостях и инцидентах информационной безопасности часто встречается аббревиатура CVE. CVE (Common Vulnerabilities and Exposures) – это список известных уязвимостей и дефектов безопасности. Рассмотрим, что он из себя представляет и какие дефекты безопасности из него были...
[Перевод] Дыра в безопасности, похожая на Log4Shell, обнаружена в популярном Java SQL движке базы данных H2
«Это Log4Shell, Джим, но не в том виде, в каком мы его знаем» — так никогда не говорил Commander Spock. Это краткий обзор ошибки CVE-2021-42392, дыры в системе безопасности, о которой недавно сообщили исследователи из компании по управлению цепочками поставок программного обеспечения Jfrog. На этот...