Описание:
Входящие данные в параметре "password" в CANews/admin/default.asp, должным образом не проверяются перед использованием в запросе SQL. Это может эксплуатироваться, чтобы управлять запросами SQL, вводя произвольный код SQL.
Это может эксплуатироваться, чтобы получить доступ к админке и позволяет нападавшему вставлять произвольный HTML и код, который будет выполнен на сессии браузера пользователя в контексте уязвимого сайта, когда злонамеренные данные просматриваются.
Дата Выпуска: 2006-05-19
Уровень: Менее критический
Воздействие: Cross-Site Scripting
Решение: Заплатка производителя
Software: Sun Java System Application Server (Sun ONE) 7.x
Sun Java System Web Server (Sun ONE/iPlanet) 6.x
Описание:
Входящие данные, содержащие " (Двойная кавычка) в URL должным образом не проверяются перед возвращением пользователя при ошибке страницы. Это может эксплуатироваться, чтобы выполнить произвольный HTML и код XSS на сессии браузера пользователя в контексте уязвимого сайта.
В ночь со 2 на 3 мая на восемь часов стали недоступными более 10 миллионов онлайновых дневников на ресурсах LiveJournal и TypePad. Произошло это из-за атаки злоумышленниками серверов компании Six Apart, владеющей этими популярными блог-сервисами, сообщает CNET News.
При DoS-атаке (denial of service) серверу-мишени отправляются многочисленные запросы, совершаемые сетью так называемых компьютеров-зомби. В результате сервер не справляется с огромным количеством данных и отказывается обслуживать пользователей.
Вице-президент Six Apart Энил Дэш заявил, что у компании есть догадки о мотивах, двигавших злоумышленниками, однако посвящать общественность в подробности он не пожелал. В правоохранительные органы компания пока не обращалась. Six Apart планирует предоставить блоггерам компенсацию за сбой в работе ресурсов. Однако каким образом будет возмещаться ущерб, пока не решено. Возможно, владельцы блогов получат возможность самостоятельно выбирать вид компенсации.
В январе прошлого года пользователям Live Journal уже приходилось поволноваться - онлайновые дневники были недоступны в течение суток. Тогда причиной сбоя в работе стало внезапное массированное отключение энергии, отказали даже резервные источники питания. Команде техподдержки удалось восстановить работоспособность "упавших" баз данных, хотя записи в блогах, сделанные непосредственно перед "падением" ресурса, были утрачены безвозвратно.