Hlavní navigace

Bezpečnost v uplynulém týdnu: děravé publikační systémy

 Autor: 29
Ondřej Bitto 7. 2. 2007

Poslední týden na poli bezpečnosti přinesl zranitelnosti v aplikacích Drupal, respektive jednoho z jeho modulů, a WordPress. S čistým štítem však v rámci projektu Month of Apple Bugs nevyvázl ani Apple iChat, který je náchylný na DoS. Po přehledu aktuálních článků bude nakonec představena aplikace Jetico Personal Firewall.

Bezpečnostní aktuality

Drupal

Verze: modul Captcha, 4.7.x, 5.x
Riziko: nizke riziko (nízké)
V modulu Captcha pro systém Drupal byla objevena nepříliš závažná zranitelnost, jež útočníkovi může otevřít prostor pro obejití ochrany, kterou právě Captcha nabízí. Chyba je způsobena nedostatečným ošetřením některých odpovědí při kontrole vstupu a postihuje všechny verze 4.7.x starší než 4.7–1.2, stejně tak varianty 5.x starší než 5.x-1.1. Pokud v Drupalu není modul Captcha používán, popisované riziko samozřejmě nehrozí, v opačném případě doporučené ochrana spočívá v přechodu na novější verzi modulu Captcha.
Další informace: Drupal.org

Apple iChat

Verze: 3.1.6
Riziko: nizke riziko (nízké)
Aplikace Apple iChat je náchylná na zranitelnost, kterou zapříčiňuje nesprávná práce funkce Bonjour pro prozkoumávání síťového okolí. Při jedné z možností zneužití může útočník blokovat požadavky ostatních uživatelů iChatu s funkcí Bonjour, další varianta pak dokáže zajistit pád iChat Agent. Chyba byla přímo potvrzena pro iChat 3.1.6 (v441) a prozatímní doporučené řešení spočívá v omezení použití aplikace iChat s funkcí Bonjour, případně vypnutí mDNSResponder.
Další informace: Info-pull.com

WordPress

Verze: starší než 2.1
Riziko: nizke riziko (nízké)
Jak na svých webových stránkách uvedl níže odkazovaný bezpečnostní server Secunia, byla v aplikaci WordPress objevena méně důležitá zranitelnost, která útočníkovi dokáže otevřít prostor k získání některých citlivých informací. Kámen úrazu v tomto případě spočívá v tom, že je možné standardními požadavky zjistit přítomnost na první pohled skrytého souboru – postiženy jsou přitom verze starší než 2.1, řešením je proto přechod právě na tuto variantu.
Další informace: Secunia.com

Bezpečnost na Lupě

V minulém týdnu jste se na stránkách Lupy samozřejmě mohli setkat s pravidelným pokračováním bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: Nové PuTTY a zneužití Wordu. Martin Haller vám pak v článku Resetovací útoky na TCP spojení naservíroval praktické informace o resetování vytvořeného TCP spojení a samozřejmě neuškodí ani krátká procházka mezi paragrafy – Odnětí a vydání věci doličné při podezření z porušení autorského práva, respektive Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka.

Z bezpečnostních článků, které si během dnů uplynulého týdne našly místo na zahraničních serverech, můžete zalistovat například následujícími:

Pop-up windows: Know the difference between the good, the bad, and the annoying (Techrepublic­.com.com)
Srovnání různých druhů automaticky otevíraných reklamních oken.

The New Vista Waiting Game (Securityfocus­.com)
Další z řady článků, které se týkají bezpečnosti přicházejících Windows Vista.

Preventing a Brute Force or Dictionary Attack (Infosecwriter­s.com)
Jak na ochranu před slovníkovými útoky a útoky hrubou silou.

CIF16

Bezpečnostní software zdarma

Jetico Personal Firewall

Homepage: Jetico.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: slunecnice 5

Jetico Personal Firewall

Osobní firewall Jetico Personal Firewall patří ve své oblasti mezi nejpopulárnější aplikace. Kromě nezbytného filtrování paketů, kterými dovoluje omezovat komunikaci jednotlivým aplikacím, nabízí také počáteční rozdělení počítačů do kategorií podle důvěryhodnosti. Plusem je také velice podrobný log o proběhnuvších spojeních a jejich zpracováních přímo firewallem, vše nakonec doplňuje detailní přehled o aktuálně navázaných síťových spojeních.

Anketa

Používáte pouze výchozí firewall systému Windows?

Našli jste v článku chybu?
DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

DigiZone.cz: Skylink: Cinemax 2 nejspíše až 2017

Skylink: Cinemax 2 nejspíše až 2017

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Vitalia.cz: Koho budete volit, tak budete očkovat

Koho budete volit, tak budete očkovat

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny