душман

Сайты под управлением Anchor CMS выдают пароли к базам данных

В теме 1 сообщение

Web-сайты под управлением Anchor CMS могут выдавать пароли своих баз данных в общественно доступных логах. Проблема была обнаружена голландским исследователем безопасности Тижме Гоммерсом. По его словам, злоумышленник может пройти по ссылке site-name.com/anchor/errors.log и загрузить логи ошибок, которые в некоторых случаях содержат пароли БД в незашифрованном виде.

По данным системы для поиска исходного кода PublicWWW, в настоящее время порядка 500 сайтов под управлением Anchor CMS легко находятся online по атрибуту meta name. Портал Bleeping Computer загрузил логи ошибок и действительно обнаружил среди них пароли баз данных некоторых сайтов из поисковой выдачи PublicWWW.

Предполагается, что файл errors.log должен быть защищен, однако в дефолтных установках Anchor CMS доступ к нему открыт. Пользователи даже могут не знать важности файла, поскольку в документации Anchor CMS нигде не сказано о необходимости закрыть к нему публичный доступ. Однако дело даже не в отсутствии у файла errors.log надлежащей защиты. Система управления контентом в принципе не должна выдавать пароли БД в логах ошибок.

Как бы то ни было, Гоммерс не намерен сообщать о проблеме разработчикам Anchor CMS. «Я считаю, что это больше проблема DevOps», – заявил исследователь. По его мнению, в первую очередь сами владельцы сайтов должны позаботиться о закрытии доступа к errors.log.

DevOps – набор практик, нацеленных на активное взаимодействие специалистов по разработке со специалистами по информационно-технологическому обслуживанию и взаимную интеграцию их рабочих процессов друг в друга.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Похожий контент

    • От душман

      В последние несколько дней руководство организации Internet Corporation for Assigned Names and Numbers (ICANN) в поте лица трудилось, чтобы привести Domain Name System (DNS) и WHOIS в соответствие с новыми требованиями Общего регламента по защите данных Евросоюза (General Data Protection Regulation, GDPR).
      WHOIS представляет собой центральную базу данных о владельцах доменных имен. Тем не менее, указанные в контрактах регистраторов с ICANN требования к публикации данных через WHOIS противоречат новому регламенту ЕС, вступившему в силу 25 мая текущего года. В связи с этим организация должна была придумать, как привести WHOIS в соответствие с GDPR.
      В течение последнего года ICANN изо всех сил пыталась согласовать требования к данным WHOIS с нормами GDPR, однако принять новые правила ей у далось только в последнюю минуту перед вступлением нового регламента в силу. ICANN просила ЕС дать ей дополнительный год на решение вопроса, но в просьбе было отказано.
      Принятые ICANN новые правила определяют информацию, которая должна и не должна быть доступной через WHOIS. В частности, из WHOIS будет удалена информация об имени регистранта, его адрес, номера телефонов и т.д. Для связи с регистрантом будет предоставляться лишь неперсонифицированный электронный адрес или ссылка на online-форму.
      Доступ к вышеперечисленным данным будет у правоохранительных органов, судов, выносящих решения по доменным спорам, Data Escrow сервисам и ICANN.
      Новые политики ICANN являются временными и будут действовать в течение трех месяцев, однако могут продлеваться до года. Приняв новые правила в последний момент, организация оставила своим партнерам слишком мало времени на их реализацию.
    • От Ippolitovich
      Компания Apple, по сообщениям сетевых источников, намерена выпустить менее дорогую версию динамика HomePod с интеллектуальным ассистентом.
       


      Нынешняя смарт-колонка HomePod стоимостью в 350 долларов США пользуется не слишком высоким спросом. В течение первого квартала этого года, по оценкам Strategy Analytics, в глобальном масштабе было реализовано 9,2 млн «умных» динамиков. При этом Apple поставила только около 600 тыс. устройств HomePod, что соответствует доли немногим более 6 %.
      Как теперь сообщают интернет-ресурсы, ссылаясь на информацию, полученную через тайваньские каналы поставок, Apple планирует выпустить более доступный смарт-динамик. Переговоры о его создании якобы ведутся с фирмой MediaTek, известным разработчиком мобильных процессоров.
       


      Отмечается, что новая «умная» колонка Apple в случае выхода на рынок будет нести бренд Beats. Эту компанию «яблочная» империя приобрела в 2014 году за 3 млрд долларов США.
      По имеющейся информации, смарт-динамик Beats обойдётся покупателям приблизительно в 200 долларов. 
    • От душман
      Эксперты по кибербезопасности из компании Cisco Talos обнаружили новое вредоносное ПО для Telegram, атакующее пользователей десктопной версии мессенджера. Как полагают специалисты, автор вредоноса, скорее всего, является русскоговорящим.
      Согласно отчету исследователей, в апреле текущего года были зафиксированы по меньшей мере две атаки, в ходе которых злоумышленники похитили файлы кеша, а также ключи шифрования из мессенджера Telegram.
      Причина, по которой вредоносная программа атакует только версию мессенджера для компьютеров, заключается в отсутствии поддержки функции «секретных чатов», а также в слабых настройках безопасности, установленных по умолчанию.
      Вредонос работает «путем восстановления файлов с кешем и ключами шифрования в запущенной десктопной версии Telegram», позволяя злоумышленнику получить доступ к сеансу, контактам и переписке жертвы. В частности, программа сканирует жесткие диски на компьютерах под управлением ОС Windows на предмет учетных данных браузера Google Chrome, cookie и текстовых файлов, которые при обнаружении архивируются и загружаются на облачный сервис хранения данных pcloud.com.
      Как полагают исследователи, автор вредоносного ПО является русскоговорящим. Данная теория подкреплена обнаруженной на сервисе YouTube видеоинструкцией по использованию программы на русском языке. В настоящий момент видео недоступно. Скорее всего, вредонос является делом рук хакера Racoon Hacker, также известного как Eyenot (Енот/Enot) и Racoon Pogoromist.
      В основном хакер использует для написания программ язык программирования Python, однако исследователи зафиксировали случаи распространения вредоносного ПО в загрузчиках, написанных на языках Go, AutoIT и .NET.
    • От душман
      «Ростелеком» объявил о старте продаж в Центральной России коробочного решения «Онлайн касса Ростелеком» для малого и среднего бизнеса.
      Предложение «Ростелекома» поможет предпринимателям не просто соответствовать требованиям Федерального закона 54-ФЗ «О применении контрольно-кассовой техники», а ускорить обслуживание клиентов в точках продаж. В максимальный комплект входит кассовый аппарат, терминал для банковских карт, 3G роутер, сканер штрих-кодов с платежной системой AliPay, а также программное обеспечение (ПО) для быстрой регистрации оборудования в соответствующих инстанциях.
      Дмитрий Ким, заместитель директора МРФ «Центр» «Ростелекома», директор по работе с корпоративным и государственным сегментом, отметил: «В решении «Онлайн касса Ростелеком» мы собрали все самое необходимое, уделив особое внимание процессу регистрации кассы в налоговой службе и подключению к Оператору фискальных данных. Специально разработанная программа позволит клиенту это сделать без лишней головной боли. При этом если индивидуальные предприниматели приобретут нашу кассу до 1 июля 2018 года, то избегут штрафов и сэкономят 18 тысяч рублей на налоговом вычете».
      Юридические лица и индивидуальные предприниматели, ведущие деятельность в сфере торговли и общественного питания, не позднее 1 июля 2018 года должны установить контрольно-кассовую технику с выходом в Интернет. Она обеспечит передачу информации о торговых операциях в ФНС в режиме реального времени. В базовый комплект «Онлайн касса Ростелеком» входит кассовый аппарат, терминал для банковских карт и ПО. Комплект может быть дополнен 3G роутером с SIM-картой «Ростелекома» и сканером штрих-кодов с возможностью оплаты AliPay.
    • От Ippolitovich
      Galaxy S9 на 37% превосходит iPhone X

      Компания Samsung опубликовала пресс-релиз, в котором сказано, что, согласно данным Ookla, смартфоны Galaxy S9 и S9+ являются самыми быстрыми на рынке в вопросе скорости передачи данных посредством сотовых сетей.
      Отметим, что данные касаются США, то есть речь идёт о модификациях флагманов Samsung, основанных на SoC Snapdragon 845.
       


      Ookla утверждает, что скорость загрузки на Galaxy S9 и S9+ на 37% выше, чем у iPhone X, на 17% выше, чем у Google Pixel 2 и на 38% выше, чем у Galaxy S7. При этом неясно, участвовали ли в тестировании какие-либо другие смартфоны с однокристальной системой Snapdragon 845, ибо в противном случае заявления о «самых быстрых смартфонах» выглядит голословным.