Bezpečnost v uplynulém týdnu: chyby v MyBB a šifrovaná komprese

Uplynulý týden s sebou přinesl zveřejnění zranitelností softwaru MyBB, chyba v komponentě iGateway zase nadělala vrásky řadě aplikací společnosti Computer Associates. Sekci bezpečnostního softwaru zdarma jsme tentokráte vyplnili informacemi o velice účinném komprimačním programu KGB Archiver, který data zároveň šifruje.

Bezpečnostní aktuality

Computer Associates iTechnology iGateway

Verze: 4.x
Riziko: střední riziko (střední)
V řadě softwarových produktů společnosti Computer Associates byla objevena středně kritická zranitelnost, jejíž původ přesněji spočívá ve sdílené komponentě iGateway. Kompletní přehled náchylných aplikací můžete nalézt následováním některého z níže uvedených odkazů.

Služba iGateway standardně naslouchá na portu 5250, určeném pro běžnou HTTP nebo šifrovanou SSL komunikaci. Pokud je hodnota Content-Length u přenášených dat záporná, iGateway se s tímto problémem nedokáže korektně vypořádat a dojde k přetečení zásobníku, potenciálně pak také ke spuštění libovolného útočníkova kódu. Ačkoliv byla chyba oficiálně potvrzena pro iGateway verze 4.0, pravděpodobně postihuje všechny varianty vydané před 4.0.050615 včetně. Doporučené řešení spočívá v přechodu na verzi 4.0.051230.
Další informace: Ca.com, Idefense.com

MyBB

Verze: 1.x
Riziko: střední riziko (střední)
Ohledně aplikace MyBB se zveřejnění dočkaly hned dvě zranitelnosti, které s sebou přinášejí střední riziko. První z nich spočívá v tom, že jsou chybová hlášení předávána přímo uživateli, což v důsledku může vést k odhalení některých běžně nepřístupných informací. Zranitelnost byla potvrzena v MyBB verze 1.0.2, avšak postiženy mohou být také jiné varianty. Doporučené řešení spočívá v ruční úpravě zdrojového kódu tak, aby chyby z SQL nebyly zobrazovány uživateli.

Také kámen úrazu druhé z publikovaných zranitelností se týká nedostatečného ošetření vstupu. Útočník tak může prostřednictvím speciálně upravených parametrů předávaných HTTP metodou POST docílit XSS (Cross Site Scripting). Doporučeným řešením uvedeného problému je opět ruční editace zdrojového kódu a kontrola předávaných parametrů.
Další informace: Secunia.com, Kapda.ir

Hromadná krádež osobních údajů

Jak na svých stránkách informoval server Computerworld.com, již dříve došlo k odcizení osobních informací, tentokráte v řádu set tisíc. Data „ztratila“ společnost Ameriprise Financial Inc., přesněji se jednalo o informace 158.000 zákazníků a 68.000 finančních poradců. Do nepověřených rukou se tak dostalo nemalé kvantum jmen, čísel účtů a sociálního pojištění.

Podle nejnovějšího prohlášení se všechny tyto údaje nacházely v notebooku, který byl ukraden ze zajištěného vozidla, nicméně podle zástupců z Ameriprise Financial se nejednalo o cílený čin. Inkriminované soubory přitom nebyly šifrovány, jak požadují bezpečnostní nařízení společnosti, také proto již byl odpovědný zaměstnanec propuštěn.

Z nově publikovaných online článků by vaší pozornosti neměly ujít například následující:

MP3s – The Big Security Risk In 2006 (Net-security.com)
Martin Allen ve svém článku diskutuje potenciální nebezpečí použití přenosných MP3 přehrávačů a dalších zařízení.

Symantec warns of notebook dangers (Hackinthebox­.com)
Stručné shrnutí výsledků průzkumu společnosti Symantec.

Phishing for your money (Nydailynews.com)
Další z řady článků na téma phishingových podvodů.

Bezpečnostní software zdarma

KGB Archiver

Homepage: Icpnet.pl
Lupa hodnotí: 1752
Slunečnice hodnotí: Slunecnice rating 4

EBF16

kgb archiver

Pro softwarovou část dnešního sumáře bezpečnosti náš výběr padl na KGB Archiver, zajímavou utilitu pro komprimaci libovolných dat. Během komprimace navíc dochází také k šifrování, a to silným standardem AES-256. KGB Archiver nabízí velké množství komprimačních stupňů (celkem deset), porovnání těch středně výkonných s maximy ostatních kompresorů můžete nalézt na icpnet.pl (podrobněji).

Co se poměru velikosti komprimovaných dat ku původním týká, KGB Archiver zdatně konkuruje ostatním programům své kategorie. Vadou na kráse je menší rychlost, útěchou zase snadná dostupnost z libovolného správce souborů skrze kontextovou nabídku souboru.

Anketa

Chráníte heslem alespoň některé ze svých komprimovaných archívů?

Školení Základy online marketingu - jak přivádět na web návštěvnost

  •  
    Vyhledavače a PPC kampaně - jak fungují
  • Webová analytika - k čemu jí využít
  • Facebook a další sociální sítě - co a jak komunikovat

Detailní informace o školení Základy online marketingu »