Спустя десять лет разработки зарелизен первый мажорный релиз самого известного пакетного анализатора, - Wireshark (бывший ethereal). Эти десять лет, - годы тяжелого труда и безупречной работы контрибъютеров прошли не зря. За это время Ethereal, а позже и Wireshark превратился из невзрачного сниффера в стандарт дефакто среди аудиторов IT-безопасности.

Официальное уведомление.
Release Notes.
Скачать Wireshark можно, воспользовавшись ближайшим миррором.

В преддверии выхода Russian Technology Kit GNU/Linux версии 0.7a3, RTK LinuxSecurity Team объявляет об начале приема заявок на ПО для включения в комплект RTK GNU/Linux.

Виктор Черкасов aka n0xi0uzz осуществил перевод статьи Билла Лубановича "Веб-сервер lighttpd".

В статье автор сначала ненавязчиво и просто проводит анализ сильных и слабых сторон lighttpd, сравнивая его с httpd от Apache Foundation, а затем описывает процедуру установки и настройки lighttpd для типичных задач веб-сервера. Дополнительно отмечу довольно неплохое качество перевода статьи.

NetSago Team

Команда OpenNews опубликовала перевод статьи известного специалиста в области криптографии и сетевой безопасности Брюса Шнайера, - "Безопасность и контроль". В своей статье Брюс знакомит читателя с возможными последствиями подмены понятий «безопасность» и «контроль», рассматривая их соотношение на примере схемы «привязки» (lock-in), набирающей популярность, в последнее время, среди производителей ПО и компьютерного оборудования.
Читаем...

Да, именно так. Выпущены обновления Linux ядра сразу для трех веток, с исправлением уязвимости, используя которую локальный злоумышленник может получить права суперпользователя в системе.

Nipper 0.11.3, - программа для выявления проблем безопасности на основе парсинга файлов конфигурации от Cisco IOS, PIX, ASA, FWSM, NMP, CatOS и Juniper NetScreen. Результаты анализа могут импортируются в HTML, Latex, XML и Text отчеты. Имеется возможность экспорта полученных зашифрованных паролей в программу John-the-Ripper для анализа защищенности. Программа распространяется по свободной лицензии GNU GPL v.3.
Официальный сайт проекта.

Выпущен внеплановый релиз MySQL Community Server 5.0.51a, с исправлением проблемы безопасности в коде библиотеки yaSSL. Используя данную уязвимость, злоумышленник, не имеющий учетной записи, может вызвать крах mysql или выполнить свой код в системе.Уязвимость проявляется только при активации yaSSL (с OpenSSL проблем нет) и настройке сервера на прием внешних соединений. Проблеме подвержен не только MySQL, но и любые другие программы использующие библиотеку yaSSL.

Информационный портал по безопасности SecurityLab в 2007 году опубликовал 3109 уязвимостей в различном программном обеспечении, 882 эксплоита, 4825 описаний злонамеренного ПО и 5867 уведомлений безопасности от различных производителей.
В 2007 году большой интерес был проявлен к уязвимостям в клиентских и Web приложениях. Хорошим примером проявления такого интереса является большое количество обнаруженных уязвимостей в ActiveX компонентах и массовые компрометации Web приложений. Также замечен повышенный интерес хакеров к виртуализационному программному обеспечению.
Лидерами по количеству уязвимостей с критическим статусом в этом году( впрочем как и в другие) являются проприетарные продукты. Среди всех производителей абсолютным лидером по количеству незакрытых уязвимостей является корпорация MicroSoft.
Подробности

Удаленный злоумышленник может вызвать переполнение буфера и, как следствие, выполнить произвольный код путем передачи чрезмерно длинного имени пользователя.

Мы их душили-душили, душили-душили, а они так и прут! Это я о багах, если кто не понял.
Не успели разработчики Drupal заделать проконапатить в версиях 4.7.x и 5.x, выпустив соответственно движок версий 4.7.9 и 5.4, как баги нашли новую лазейку в движке и организованной толпой, в количестве одной штуки, весело поперли наружу.