Hlavní navigace

Bezpečnost v uplynulém týdnu: opravy produktů společnosti Sun a phpMyAdmin

 Autor: 29
Ondřej Bitto 13. 12. 2005

Minulý týden přinesl informace o chybách v několika aplikacích společnosti Sun, stejně tomu bylo i v případě phpMyAdmin či Internet Explorer. Slabé šifrování FTP hesel ve správci souborů Total Commander zase dalo vzniknout novému červu, který je shromažďuje. Do bezpečnostního softwaru zdarma jsme vybrali aktuální verzi správce hesel Aurora Password Manager.

Bezpečnostní aktuality

Sun Java

Verze: Sun Java System Application Server SE 7 2004Q2, Sun ONE Application Server 7 SE, Sun Java System Application Server EE 8.1 2005Q1
Riziko: nizke riziko (nízké)
Několik produktů společnosti Sun bylo shledáno zranitelnými, odpovídající chyby může útočník zneužít k provedení man-in-the-middle útoku. Problém spočívá v blíže nespecifikované skulině v Proxy Pluginu pro Sun ONE a Java System Application Server, a to za použití s některým z podporovaných webových serverů (Apache, IIS apod.) Pro platformu Windows řešení spočívá v přechodu na verze Sun ONE Application Server 7 Update 7 a Sun Java System Application Server 7 2004Q2 Update 3 nebo vyšší. Pro opravy v rámci dalších systémů viz stránky společnosti Sun.

Další informace: Sun.com, Secunia.com

phpMyAdmin

Verze: 2.7.0
Riziko: střední riziko (střední)
V aplikaci phpMyAdmin verze 2.7.0 byla objevena zranitelnost dovolující provedení cross-site-scripting útoku. Základním problémem se stala možnost modifikace globální proměnné import_blacklist a doporučené řešení spočívá v aktualizaci produktu na verzi 2.7.0-pl1 nebo novější.

Další informace: Phpmyadmin.net, Hardened-php.net

Total Commander

Verze: 6.53 a starší
Riziko: střední riziko (střední)
Oblíbený správce souborů Total Commander dovoluje ukládat uživatelská jména a hesla FTP serverů do svého konfiguračního souboru s názvem wcx_ftp.ini. K jejich utajení sice využívá šifrování, nicméně to je velice slabé a obnovení původních informací je otázkou okamžiku – viz například snadno použitelná utilita Windows Commander FTP Password Ripper. Internetem se začal šířit červ W32.Gudeb, který využívá právě tohoto slabého šifrovacího algoritmu a sbírá platné přihlašovací údaje. Pokud narazí na fungující kombinaci uživatelského jména a hesla, dokáže se sám nahrát na daný FTP server. Doporučené prozatímní řešení spočívá v zamezení ukládání přihlašovacích údajů, ruku v ruce s pravidelnou aktualizací antivirové databáze.

Další informace: Securitytracker­.com, Networksecuri­ty.fi

Microsoft Internet Explorer

Verze: 6.x
Riziko: nizke riziko (nízké)
V populárním webovém prohlížeči Internet Explorer byla objevena zranitelnost, které může útočník zneužít k odhalení některých citlivých informací. Chyba je způsobena při importu kaskádových stylů, přesněji se jedná o vlastnost cssText. Zranitelnost byla potvrzena pro plně záplatovaný systém Windows XP SP2 s Internet Explorerem 6.0 a doporučené prozatímní řešení spočívá ve vypnutí skriptování pro nedůvěryhodné servery.

Další informace: Secunia.com

Z nových a zároveň zajímavých online článků naše volba tentokráte padla na následující:

Unlocking Security with Biometrics (It-observer.com)
Biometrické systémy jako prostředek autentizace ve větších sítích.

Protecting Applications From Hackers (Informationwe­ek.com)
Pár slov o ochraně a testování aplikací s ohledem na zranitelnosti.

Nový bezpečnostní software zdarma

V uplynulém týdnu na download serverech přibyl například následující zajímavý trezor na hesla.

EBF16

Aurora Password Manager

Homepage: Animabilis.com
Lupa hodnotí: 1749

aurora

Aplikace Aurora Password Manager ze softwarových dílen společnosti Animabilis Software představuje další z řady správců hesel. Ke svému bytí využívá šifrovacího standardu AES s délkou klíče 256 bitů a snaží se zaujmout především snadností použití ruku v ruce s příjemným grafickým rozhraním.
Strukturou a ovládáním se drží na vyšlapané cestičce programů své kategorie, takže zde uživatel nalezne několik předdefinovaných skupin hesel (např. WWW, kreditní karty, obecné), samozřejmě však není problém přidat vlastní a přiřadit k ní některou z více jak dvou stovek dodávaných ikon. Součástí aplikace Aurora Password Manager je také jednoduchý generátor, který podle zadaných parametrů vytvoří heslo požadované délky.

Anketa

Používáte pravidelně bezdrátové připojení?

Našli jste v článku chybu?
Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty