Bezpečnost v uplynulém týdnu: děravé publikační systémy

Poslední týden na poli bezpečnosti přinesl zranitelnosti v aplikacích Drupal, respektive jednoho z jeho modulů, a WordPress. S čistým štítem však v rámci projektu Month of Apple Bugs nevyvázl ani Apple iChat, který je náchylný na DoS. Po přehledu aktuálních článků bude nakonec představena aplikace Jetico Personal Firewall.

Bezpečnostní aktuality

Drupal

Verze: modul Captcha, 4.7.x, 5.x
Riziko: nizke riziko (nízké)
V modulu Captcha pro systém Drupal byla objevena nepříliš závažná zranitelnost, jež útočníkovi může otevřít prostor pro obejití ochrany, kterou právě Captcha nabízí. Chyba je způsobena nedostatečným ošetřením některých odpovědí při kontrole vstupu a postihuje všechny verze 4.7.x starší než 4.7–1.2, stejně tak varianty 5.x starší než 5.x-1.1. Pokud v Drupalu není modul Captcha používán, popisované riziko samozřejmě nehrozí, v opačném případě doporučené ochrana spočívá v přechodu na novější verzi modulu Captcha.
Další informace: Drupal.org

Apple iChat

Verze: 3.1.6
Riziko: nizke riziko (nízké)
Aplikace Apple iChat je náchylná na zranitelnost, kterou zapříčiňuje nesprávná práce funkce Bonjour pro prozkoumávání síťového okolí. Při jedné z možností zneužití může útočník blokovat požadavky ostatních uživatelů iChatu s funkcí Bonjour, další varianta pak dokáže zajistit pád iChat Agent. Chyba byla přímo potvrzena pro iChat 3.1.6 (v441) a prozatímní doporučené řešení spočívá v omezení použití aplikace iChat s funkcí Bonjour, případně vypnutí mDNSResponder.
Další informace: Info-pull.com

WordPress

Verze: starší než 2.1
Riziko: nizke riziko (nízké)
Jak na svých webových stránkách uvedl níže odkazovaný bezpečnostní server Secunia, byla v aplikaci WordPress objevena méně důležitá zranitelnost, která útočníkovi dokáže otevřít prostor k získání některých citlivých informací. Kámen úrazu v tomto případě spočívá v tom, že je možné standardními požadavky zjistit přítomnost na první pohled skrytého souboru – postiženy jsou přitom verze starší než 2.1, řešením je proto přechod právě na tuto variantu.
Další informace: Secunia.com

Bezpečnost na Lupě

V minulém týdnu jste se na stránkách Lupy samozřejmě mohli setkat s pravidelným pokračováním bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: Nové PuTTY a zneužití Wordu. Martin Haller vám pak v článku Resetovací útoky na TCP spojení naservíroval praktické informace o resetování vytvořeného TCP spojení a samozřejmě neuškodí ani krátká procházka mezi paragrafy – Odnětí a vydání věci doličné při podezření z porušení autorského práva, respektive Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka.

Z bezpečnostních článků, které si během dnů uplynulého týdne našly místo na zahraničních serverech, můžete zalistovat například následujícími:

Pop-up windows: Know the difference between the good, the bad, and the annoying (Techrepublic­.com.com)
Srovnání různých druhů automaticky otevíraných reklamních oken.

The New Vista Waiting Game (Securityfocus­.com)
Další z řady článků, které se týkají bezpečnosti přicházejících Windows Vista.

Preventing a Brute Force or Dictionary Attack (Infosecwriter­s.com)
Jak na ochranu před slovníkovými útoky a útoky hrubou silou.

EBF16

Bezpečnostní software zdarma

Jetico Personal Firewall

Homepage: Jetico.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: slunecnice 5

Jetico Personal Firewall

Osobní firewall Jetico Personal Firewall patří ve své oblasti mezi nejpopulárnější aplikace. Kromě nezbytného filtrování paketů, kterými dovoluje omezovat komunikaci jednotlivým aplikacím, nabízí také počáteční rozdělení počítačů do kategorií podle důvěryhodnosti. Plusem je také velice podrobný log o proběhnuvších spojeních a jejich zpracováních přímo firewallem, vše nakonec doplňuje detailní přehled o aktuálně navázaných síťových spojeních.

Anketa

Používáte pouze výchozí firewall systému Windows?

Školení PPC reklamy pro začátečníky

  •  
    Principy fungování PPC reklamy.
  • PPC nejsou jen ve vyhledávačích.
  • Zjednodušte si správu šikovnými nástroji.

Detailní informace o školení PPC reklamy »