Hlavní navigace

Bezpečnost v uplynulém týdnu: DoS a šifrování

 Autor: 29
Ondřej Bitto 4. 9. 2007

V posledním týdnu se objevily informace na téma DoS aplikací BufferZone nebo Apache, v IM klientovi Yahoo! Messenger zase „zlobí“ nebezpečný ActiveX prvek. Po pravidelném přehledu bezpečnostních článků bude řeč o open source programu TrueCrypt, zřejmě nejpopulárnější aplikaci pro vytváření virtuálních šifrovaných disků.

Bezpečnostní aktuality

Yahoo! Messenger

Verze: starší než vydané 29. srpna
Riziko: vysoké riziko (vysoké)
V IM klientovi Yahoo! Messenger byla objevena nová zranitelnost, jejímž základem je nekorektní práce zahrnutého ActiveX prvku. V důsledku toho může dojít k nechtěnému ukončení aplikace, případně až spuštění útočníkova vlastního kódu, ke kterému cestičku otevírá přetečení zásobníku. Yahoo vydalo novou verzi tohoto svého IM klienta, jež odpovídající chybu napravuje – k dispozici je na těchto webových stránkách.
Další informace: Yahoo.com

BufferZone

Verze: 2.x
Riziko: nizke riziko (nízké)
Na níže odkazovaných stránkách bezpečnostního serveru Secunia byly publikovány informace o nově objevené zranitelnosti v aplikaci Bufferzone, kterou kvůli tomu útočník může zneužít k DoS. Chybou je nedostatečné ošetření funkce FsSetVolumeIn­formation v souboru Redlight.sys, která může vyústit v již naznačený pád aplikace. Chyba byla potvrzena pro BufferZone verzí 2.1 a 2.5, není však vyloučeno, že postihuje také jiné varianty.
Další informace: Secunia.com

Apache

Verze: 2.x
Riziko: nizke riziko (nízké)
Apache podle nových informací podléhá zranitelnosti, která může vyústit až v DoS a jejímž základem je nedostatečné ošetření při zpracování funkce ap_proxy_date_ca­non() v souboru proxy_util.c. Již zmíněné DoS tak lze vyvolat zasláním speciálně upraveného požadavku náchylnému serveru – zranitelnost postihuje Apache 2.0.59 a starší, stejně tak i Apache 2.2.x. Doporučené řešení spočívá v přechodu na novou verzi.
Další informace: Secunia.com

OpenVPN

Verze: 2.x
Riziko: střední riziko (střední)
Podle aktuální zprávy o změnách provedených v nové verzi aplikace OpenVPN byly opraveny některé původní zranitelnosti. Nová varianta OpenVPN 2.0.9 tak je méně náchylná na původní DoS útoky, byla opravena například stávající varianta instalátoru, respektive obsažených DLL knihoven. Nová verze nástroje OpenVPN ze začátku tohoto měsíce je volně ke stažení na této stránce.
Další informace: Openvpn.net

Bezpečnost na Lupě

Minulý týden na Lupě nechyběl další díl pravidelného bezpečnostního sumáře, tentokráte jste jej mohli najít pod názvem Bezpečnost v uplynulém týdnu: chyby psů obranářů. Hlavní díl zpravodajství pak na sebe vzaly krátké zprávičky, jmenovitě můžete zalistovat například příspěvky Americká firma žaluje Google i Yahoo kvůli zneužití patentu, Sony opět vytváří bezpečnostní hrozbu, Hackeři placení Microsoftem mají nový blog nebo třebas Googlu hrozí žaloba kvůli nacistickému videu na YouTube.

A pokud byste raději zavítali na stránky zahraničních serverů, čekají vás ze světa bezpečnosti například následující aktuální příspěvky:

Personal info on 150,000 job seekers at USAJobs stolen (Computerworld­.com)
Další z řady krádeží osobních informací vinou špatného zabezpečení.

AVG cries wolf at Adobe Reader (Theregister.com)
Nesprávná aktualizace signatur AVG vyvolala falešný poplach.

MSN Messenger flaw creates web cam peril (Theregister.com)
Chyba v IM klientovi MSN Messenger.

MIF16

Bezpečnostní software zdarma

TrueCrypt

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

TrueCrypt

Aplikaci TrueCrypt asi netřeba příliš sáhodlouze představovat, jedná se o velice populární nástroj pro šifrování dat do virtuální jednotky, ze symetrických algoritmů podporuje například také standard AES. Navíc obsahuje některé rozšiřující funkce pro práci s vyměnitelnými médii, nastavení akcí při přihlášení se do systému nebo naopak odhlášení, zapnutí spořiče apod. Virtuální jednotka je po vytvoření a připojení k dispozici zcela transparentně napříč všemi aplikacemi.

Anketa

Považujete rootkity za stále hrozící nebezpečí?

Našli jste v článku chybu?
DigiZone.cz: Skylink nabídne eSportsTV HD

Skylink nabídne eSportsTV HD

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: ČT začne vysílat z Hradce Králové

ČT začne vysílat z Hradce Králové

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

Root.cz: Bezpečný router Omnia právě dorazil

Bezpečný router Omnia právě dorazil