Bezpečnost v uplynulém týdnu: opravy produktů společnosti Sun a phpMyAdmin

Minulý týden přinesl informace o chybách v několika aplikacích společnosti Sun, stejně tomu bylo i v případě phpMyAdmin či Internet Explorer. Slabé šifrování FTP hesel ve správci souborů Total Commander zase dalo vzniknout novému červu, který je shromažďuje. Do bezpečnostního softwaru zdarma jsme vybrali aktuální verzi správce hesel Aurora Password Manager.

Bezpečnostní aktuality

Sun Java

Verze: Sun Java System Application Server SE 7 2004Q2, Sun ONE Application Server 7 SE, Sun Java System Application Server EE 8.1 2005Q1
Riziko: nizke riziko (nízké)
Několik produktů společnosti Sun bylo shledáno zranitelnými, odpovídající chyby může útočník zneužít k provedení man-in-the-middle útoku. Problém spočívá v blíže nespecifikované skulině v Proxy Pluginu pro Sun ONE a Java System Application Server, a to za použití s některým z podporovaných webových serverů (Apache, IIS apod.) Pro platformu Windows řešení spočívá v přechodu na verze Sun ONE Application Server 7 Update 7 a Sun Java System Application Server 7 2004Q2 Update 3 nebo vyšší. Pro opravy v rámci dalších systémů viz stránky společnosti Sun.

Další informace: Sun.com, Secunia.com

phpMyAdmin

Verze: 2.7.0
Riziko: střední riziko (střední)
V aplikaci phpMyAdmin verze 2.7.0 byla objevena zranitelnost dovolující provedení cross-site-scripting útoku. Základním problémem se stala možnost modifikace globální proměnné import_blacklist a doporučené řešení spočívá v aktualizaci produktu na verzi 2.7.0-pl1 nebo novější.

Další informace: Phpmyadmin.net, Hardened-php.net

Total Commander

Verze: 6.53 a starší
Riziko: střední riziko (střední)
Oblíbený správce souborů Total Commander dovoluje ukládat uživatelská jména a hesla FTP serverů do svého konfiguračního souboru s názvem wcx_ftp.ini. K jejich utajení sice využívá šifrování, nicméně to je velice slabé a obnovení původních informací je otázkou okamžiku – viz například snadno použitelná utilita Windows Commander FTP Password Ripper. Internetem se začal šířit červ W32.Gudeb, který využívá právě tohoto slabého šifrovacího algoritmu a sbírá platné přihlašovací údaje. Pokud narazí na fungující kombinaci uživatelského jména a hesla, dokáže se sám nahrát na daný FTP server. Doporučené prozatímní řešení spočívá v zamezení ukládání přihlašovacích údajů, ruku v ruce s pravidelnou aktualizací antivirové databáze.

Další informace: Securitytracker­.com, Networksecuri­ty.fi

Microsoft Internet Explorer

Verze: 6.x
Riziko: nizke riziko (nízké)
V populárním webovém prohlížeči Internet Explorer byla objevena zranitelnost, které může útočník zneužít k odhalení některých citlivých informací. Chyba je způsobena při importu kaskádových stylů, přesněji se jedná o vlastnost cssText. Zranitelnost byla potvrzena pro plně záplatovaný systém Windows XP SP2 s Internet Explorerem 6.0 a doporučené prozatímní řešení spočívá ve vypnutí skriptování pro nedůvěryhodné servery.

Další informace: Secunia.com

Z nových a zároveň zajímavých online článků naše volba tentokráte padla na následující:

Unlocking Security with Biometrics (It-observer.com)
Biometrické systémy jako prostředek autentizace ve větších sítích.

Protecting Applications From Hackers (Informationwe­ek.com)
Pár slov o ochraně a testování aplikací s ohledem na zranitelnosti.

Nový bezpečnostní software zdarma

V uplynulém týdnu na download serverech přibyl například následující zajímavý trezor na hesla.

EBF16

Aurora Password Manager

Homepage: Animabilis.com
Lupa hodnotí: 1749

aurora

Aplikace Aurora Password Manager ze softwarových dílen společnosti Animabilis Software představuje další z řady správců hesel. Ke svému bytí využívá šifrovacího standardu AES s délkou klíče 256 bitů a snaží se zaujmout především snadností použití ruku v ruce s příjemným grafickým rozhraním.
Strukturou a ovládáním se drží na vyšlapané cestičce programů své kategorie, takže zde uživatel nalezne několik předdefinovaných skupin hesel (např. WWW, kreditní karty, obecné), samozřejmě však není problém přidat vlastní a přiřadit k ní některou z více jak dvou stovek dodávaných ikon. Součástí aplikace Aurora Password Manager je také jednoduchý generátor, který podle zadaných parametrů vytvoří heslo požadované délky.

Anketa

Používáte pravidelně bezdrátové připojení?

3 názory Vstoupit do diskuse
poslední názor přidán 14. 12. 2005 20:33

Školení PPC reklamy pro pokročilé

  •  
    Důležité principy fungování PPC reklamy
  • Optimalizační postupy běžících kampaní
  • Práce s aplikací AdWords editor

Detailní informace o školení PPC reklamy pro pokročilé »