Hlavní navigace

Bezpečnost v uplynulém týdnu: opravy produktů společnosti Sun a phpMyAdmin

 Autor: 29
Ondřej Bitto

Minulý týden přinesl informace o chybách v několika aplikacích společnosti Sun, stejně tomu bylo i v případě phpMyAdmin či Internet Explorer. Slabé šifrování FTP hesel ve správci souborů Total Commander zase dalo vzniknout novému červu, který je shromažďuje. Do bezpečnostního softwaru zdarma jsme vybrali aktuální verzi správce hesel Aurora Password Manager.

Bezpečnostní aktuality

Sun Java

Verze: Sun Java System Application Server SE 7 2004Q2, Sun ONE Application Server 7 SE, Sun Java System Application Server EE 8.1 2005Q1
Riziko: nizke riziko (nízké)
Několik produktů společnosti Sun bylo shledáno zranitelnými, odpovídající chyby může útočník zneužít k provedení man-in-the-middle útoku. Problém spočívá v blíže nespecifikované skulině v Proxy Pluginu pro Sun ONE a Java System Application Server, a to za použití s některým z podporovaných webových serverů (Apache, IIS apod.) Pro platformu Windows řešení spočívá v přechodu na verze Sun ONE Application Server 7 Update 7 a Sun Java System Application Server 7 2004Q2 Update 3 nebo vyšší. Pro opravy v rámci dalších systémů viz stránky společnosti Sun.

Další informace: Sun.com, Secunia.com

phpMyAdmin

Verze: 2.7.0
Riziko: střední riziko (střední)
V aplikaci phpMyAdmin verze 2.7.0 byla objevena zranitelnost dovolující provedení cross-site-scripting útoku. Základním problémem se stala možnost modifikace globální proměnné import_blacklist a doporučené řešení spočívá v aktualizaci produktu na verzi 2.7.0-pl1 nebo novější.

Další informace: Phpmyadmin.net, Hardened-php.net

Total Commander

Verze: 6.53 a starší
Riziko: střední riziko (střední)
Oblíbený správce souborů Total Commander dovoluje ukládat uživatelská jména a hesla FTP serverů do svého konfiguračního souboru s názvem wcx_ftp.ini. K jejich utajení sice využívá šifrování, nicméně to je velice slabé a obnovení původních informací je otázkou okamžiku – viz například snadno použitelná utilita Windows Commander FTP Password Ripper. Internetem se začal šířit červ W32.Gudeb, který využívá právě tohoto slabého šifrovacího algoritmu a sbírá platné přihlašovací údaje. Pokud narazí na fungující kombinaci uživatelského jména a hesla, dokáže se sám nahrát na daný FTP server. Doporučené prozatímní řešení spočívá v zamezení ukládání přihlašovacích údajů, ruku v ruce s pravidelnou aktualizací antivirové databáze.

Další informace: Securitytracker­.com, Networksecuri­ty.fi

Microsoft Internet Explorer

Verze: 6.x
Riziko: nizke riziko (nízké)
V populárním webovém prohlížeči Internet Explorer byla objevena zranitelnost, které může útočník zneužít k odhalení některých citlivých informací. Chyba je způsobena při importu kaskádových stylů, přesněji se jedná o vlastnost cssText. Zranitelnost byla potvrzena pro plně záplatovaný systém Windows XP SP2 s Internet Explorerem 6.0 a doporučené prozatímní řešení spočívá ve vypnutí skriptování pro nedůvěryhodné servery.

Další informace: Secunia.com

Z nových a zároveň zajímavých online článků naše volba tentokráte padla na následující:

Unlocking Security with Biometrics (It-observer.com)
Biometrické systémy jako prostředek autentizace ve větších sítích.

Protecting Applications From Hackers (Informationwe­ek.com)
Pár slov o ochraně a testování aplikací s ohledem na zranitelnosti.

Nový bezpečnostní software zdarma

V uplynulém týdnu na download serverech přibyl například následující zajímavý trezor na hesla.

Aurora Password Manager

Homepage: Animabilis.com
Lupa hodnotí: 1749

aurora

Aplikace Aurora Password Manager ze softwarových dílen společnosti Animabilis Software představuje další z řady správců hesel. Ke svému bytí využívá šifrovacího standardu AES s délkou klíče 256 bitů a snaží se zaujmout především snadností použití ruku v ruce s příjemným grafickým rozhraním.
Strukturou a ovládáním se drží na vyšlapané cestičce programů své kategorie, takže zde uživatel nalezne několik předdefinovaných skupin hesel (např. WWW, kreditní karty, obecné), samozřejmě však není problém přidat vlastní a přiřadit k ní některou z více jak dvou stovek dodávaných ikon. Součástí aplikace Aurora Password Manager je také jednoduchý generátor, který podle zadaných parametrů vytvoří heslo požadované délky.

Anketa

Používáte pravidelně bezdrátové připojení?

Našli jste v článku chybu?

14. 12. 2005 20:33

Jen aby. Minimalne jednou byl v teze kolonce program placeny.

13. 12. 2005 10:46

varan (neregistrovaný)
Co takhle napsat, jestli se jedná o freeware nebo ne?
Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák