Thêm một lỗi bảo mật trong sản phẩm Cisco
Một lỗ hổng bảo mật nằm trong Cisco Secure Access Control Server (ACS) vừa mới được phát hiện và công bố. 
Cisco Secure Access Control Server (ACS) là một bộ phận quan trọng trong khung quản lý tin cậy và nhận dạng của Cisco. Đây cũng là một trong những nền tảng của sáng kiến Cisco Network Admission Control (NAC).
Secure ACS là một giải pháp mạng lưới nhận dạng giúp đơn giản hoá việc quản lý người dùng bằng cách kết hợp cấp quyền truy cập chứng thực, người dùng, nhà quản trị với chính sách quản lý.
Lỗ hổng bảo mật phát sinh trong Secure ACS có thể cho phép tin tặc đoạt quyền truy cập cấp quản trị vào giao diện dạng web phần mềm quản lý thiết bị mạng.
Darren Bounds - một chuyên gia nghiên cứu bảo mật độc lập - là người đã phát hiện và tiết lộ thông tin về lỗi bảo mật này thông qua danh sách email bảo mật Full Disclosure.
Secure ACS là một đấu mối quan trọng trong hệ thống khung Cisco NAC. Secure ÁC chủ yếu dựa trên khả năng của người dùng và thiết bị đầu cuối để chứng thực quyền truy cập vào các thư mục trung tâm.
"Không may là nếu khai thác thành công lỗi bảo mật trong Secure ACS kẻ tấn công có thể đoạt được quyền truy cập cấp quản trị tới bất kỳ một thiết bị nào mà máy chủ ACS nắm giữa quyền chứng thực truy cập," Bounds nói.
Lỗi bảo mật này là khá dễ khai thác vì những thông tin cần thiết để khai thác có thể dễ dàng thu thập được hoặc đã tồn tại sẵn trong một số trường hợp. Lấy ví dụ, rất nhiều công ty xử lý việc cấp quyền truy cập Secure ACS thông qua một proxy - hay đồng nghĩa với việc tất cả các máy khách đều có chung một địa chỉ IP.
Để khai thác lỗi bảo mật này, kẻ tấn công cần tìm ra một cổng động được máy chủ ACS quản lý. Thông tin này rất dễ tìm do hầu hết hiện nay các Secure ACS đều sử dụng việc cấp cổng tự động.
"Rất dễ dự đoán xem nhà quản trị có đăng nhập hay không để tìm xem cổng nào mà họ đang sử dụng. Và vì chỉ có khoảng 65.000 cổng kết hợp được sử dụng, kẻ tấn công có thể chỉ cần chạy qua mọi cổng là đã phát hiện được cổng mà hắn cần," Bounds cho biết thêm.
Ngày hôm qua, Cisco Product Security Incident Response Team (PSRIT) cho biết họ đang điều tra thêm về lỗ hổng bảo mật này.
Hoàng Dũng
Video quay vụ tử hình Saddam phát tán trên Internet
Mặc dù chính quyền Iraq không công bố bất kỳ video nào liên quan đến vụ tử hình cựu Tổng thống Saddam Hussein, nhưng những hình ảnh ông Saddam bị treo cổ vẫn xuất hiện trên Internet. Một số hãng truyền hình còn sử dụng những hình ảnh trong các bản tin của
Tên miền .xxx có bị “xếp xó” thêm lần nữa?
ICANN đang chuẩn bị bỏ phiếu cho bản dự thảo về tên miền .xxx - khu “đèn đỏ” dành cho các trang web khiêu dâm. Tuy nhiên, lần này, tổ chức lại tiếp tục vấp phải những phản ứng mạnh mẽ từ phía các ông chủ của ngành “công nghiệp khiêu d&aci
Cách khắc phục lỗi không truy cập được vào Gmail
Rất nhiều người gặp lỗi không truy cập được gmail, có nhiều nguyên nhân khác nhau khiến bạn không vào đươc gmail.Nếu bạn gặp phải lỗi này hãy làm theo hướng dẫn dưới đây để khắc phục lỗi đăng nhập gmail nhé.
Chế tạo thành công chip quang-điện tử đầu tiên trên thế giới
Một chip xử lý điện tử thông thường sẽ có những giới hạn về tốc độ và nhiệt độ hoạt động, do vậy từ lâu các nhà nghiên cứu đã nỗ lực làm ra một con chip xử lý hoạt động bằng ánh sáng, nhằm giải quyết cùng lúc tất cả các vấn đề trên.
Giữ cho ứng dụng luôn... chạy
Công việc của bạn đòi hỏi một số ứng dụng nào đó luôn ở trạng thái sẵn sàng hoạt động trên máy tính? Software Fortress (SF) là công cụ có khả năng “ép buộc” một số ứng dụng đã chọn nào đó luôn ở trạng thái hoạt động, và dù có ai đ&oacu
Các đại gia Net thề "khai tử" vấn nạn sex trẻ em
Microsoft, Yahoo, Earthlink, AOL và United Online hợp thành liên minh bảo vệ trẻ em trên thế giới mạng, với nguồn quỹ 1 triệu USD và những công nghệ tối tân nhất.
