Hlavní navigace

Bezpečnost v uplynulém týdnu: DoS a šifrování

 Autor: 29
Ondřej Bitto

V posledním týdnu se objevily informace na téma DoS aplikací BufferZone nebo Apache, v IM klientovi Yahoo! Messenger zase „zlobí“ nebezpečný ActiveX prvek. Po pravidelném přehledu bezpečnostních článků bude řeč o open source programu TrueCrypt, zřejmě nejpopulárnější aplikaci pro vytváření virtuálních šifrovaných disků.

Bezpečnostní aktuality

Yahoo! Messenger

Verze: starší než vydané 29. srpna
Riziko: vysoké riziko (vysoké)
V IM klientovi Yahoo! Messenger byla objevena nová zranitelnost, jejímž základem je nekorektní práce zahrnutého ActiveX prvku. V důsledku toho může dojít k nechtěnému ukončení aplikace, případně až spuštění útočníkova vlastního kódu, ke kterému cestičku otevírá přetečení zásobníku. Yahoo vydalo novou verzi tohoto svého IM klienta, jež odpovídající chybu napravuje – k dispozici je na těchto webových stránkách.
Další informace: Yahoo.com

BufferZone

Verze: 2.x
Riziko: nizke riziko (nízké)
Na níže odkazovaných stránkách bezpečnostního serveru Secunia byly publikovány informace o nově objevené zranitelnosti v aplikaci Bufferzone, kterou kvůli tomu útočník může zneužít k DoS. Chybou je nedostatečné ošetření funkce FsSetVolumeIn­formation v souboru Redlight.sys, která může vyústit v již naznačený pád aplikace. Chyba byla potvrzena pro BufferZone verzí 2.1 a 2.5, není však vyloučeno, že postihuje také jiné varianty.
Další informace: Secunia.com

Apache

Verze: 2.x
Riziko: nizke riziko (nízké)
Apache podle nových informací podléhá zranitelnosti, která může vyústit až v DoS a jejímž základem je nedostatečné ošetření při zpracování funkce ap_proxy_date_ca­non() v souboru proxy_util.c. Již zmíněné DoS tak lze vyvolat zasláním speciálně upraveného požadavku náchylnému serveru – zranitelnost postihuje Apache 2.0.59 a starší, stejně tak i Apache 2.2.x. Doporučené řešení spočívá v přechodu na novou verzi.
Další informace: Secunia.com

OpenVPN

Verze: 2.x
Riziko: střední riziko (střední)
Podle aktuální zprávy o změnách provedených v nové verzi aplikace OpenVPN byly opraveny některé původní zranitelnosti. Nová varianta OpenVPN 2.0.9 tak je méně náchylná na původní DoS útoky, byla opravena například stávající varianta instalátoru, respektive obsažených DLL knihoven. Nová verze nástroje OpenVPN ze začátku tohoto měsíce je volně ke stažení na této stránce.
Další informace: Openvpn.net

Bezpečnost na Lupě

Minulý týden na Lupě nechyběl další díl pravidelného bezpečnostního sumáře, tentokráte jste jej mohli najít pod názvem Bezpečnost v uplynulém týdnu: chyby psů obranářů. Hlavní díl zpravodajství pak na sebe vzaly krátké zprávičky, jmenovitě můžete zalistovat například příspěvky Americká firma žaluje Google i Yahoo kvůli zneužití patentu, Sony opět vytváří bezpečnostní hrozbu, Hackeři placení Microsoftem mají nový blog nebo třebas Googlu hrozí žaloba kvůli nacistickému videu na YouTube.

A pokud byste raději zavítali na stránky zahraničních serverů, čekají vás ze světa bezpečnosti například následující aktuální příspěvky:

Personal info on 150,000 job seekers at USAJobs stolen (Computerworld­.com)
Další z řady krádeží osobních informací vinou špatného zabezpečení.

AVG cries wolf at Adobe Reader (Theregister.com)
Nesprávná aktualizace signatur AVG vyvolala falešný poplach.

MSN Messenger flaw creates web cam peril (Theregister.com)
Chyba v IM klientovi MSN Messenger.

Bezpečnostní software zdarma

TrueCrypt

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

TrueCrypt

Aplikaci TrueCrypt asi netřeba příliš sáhodlouze představovat, jedná se o velice populární nástroj pro šifrování dat do virtuální jednotky, ze symetrických algoritmů podporuje například také standard AES. Navíc obsahuje některé rozšiřující funkce pro práci s vyměnitelnými médii, nastavení akcí při přihlášení se do systému nebo naopak odhlášení, zapnutí spořiče apod. Virtuální jednotka je po vytvoření a připojení k dispozici zcela transparentně napříč všemi aplikacemi.

Anketa

Považujete rootkity za stále hrozící nebezpečí?

Našli jste v článku chybu?
Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte