Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby v MyBB a šifrovaná komprese

 Autor: 29
Ondřej Bitto 31. 1. 2006

Uplynulý týden s sebou přinesl zveřejnění zranitelností softwaru MyBB, chyba v komponentě iGateway zase nadělala vrásky řadě aplikací společnosti Computer Associates. Sekci bezpečnostního softwaru zdarma jsme tentokráte vyplnili informacemi o velice účinném komprimačním programu KGB Archiver, který data zároveň šifruje.

Bezpečnostní aktuality

Computer Associates iTechnology iGateway

Verze: 4.x
Riziko: střední riziko (střední)
V řadě softwarových produktů společnosti Computer Associates byla objevena středně kritická zranitelnost, jejíž původ přesněji spočívá ve sdílené komponentě iGateway. Kompletní přehled náchylných aplikací můžete nalézt následováním některého z níže uvedených odkazů.

Služba iGateway standardně naslouchá na portu 5250, určeném pro běžnou HTTP nebo šifrovanou SSL komunikaci. Pokud je hodnota Content-Length u přenášených dat záporná, iGateway se s tímto problémem nedokáže korektně vypořádat a dojde k přetečení zásobníku, potenciálně pak také ke spuštění libovolného útočníkova kódu. Ačkoliv byla chyba oficiálně potvrzena pro iGateway verze 4.0, pravděpodobně postihuje všechny varianty vydané před 4.0.050615 včetně. Doporučené řešení spočívá v přechodu na verzi 4.0.051230.
Další informace: Ca.com, Idefense.com

MyBB

Verze: 1.x
Riziko: střední riziko (střední)
Ohledně aplikace MyBB se zveřejnění dočkaly hned dvě zranitelnosti, které s sebou přinášejí střední riziko. První z nich spočívá v tom, že jsou chybová hlášení předávána přímo uživateli, což v důsledku může vést k odhalení některých běžně nepřístupných informací. Zranitelnost byla potvrzena v MyBB verze 1.0.2, avšak postiženy mohou být také jiné varianty. Doporučené řešení spočívá v ruční úpravě zdrojového kódu tak, aby chyby z SQL nebyly zobrazovány uživateli.

Také kámen úrazu druhé z publikovaných zranitelností se týká nedostatečného ošetření vstupu. Útočník tak může prostřednictvím speciálně upravených parametrů předávaných HTTP metodou POST docílit XSS (Cross Site Scripting). Doporučeným řešením uvedeného problému je opět ruční editace zdrojového kódu a kontrola předávaných parametrů.
Další informace: Secunia.com, Kapda.ir

Hromadná krádež osobních údajů

Jak na svých stránkách informoval server Computerworld.com, již dříve došlo k odcizení osobních informací, tentokráte v řádu set tisíc. Data „ztratila“ společnost Ameriprise Financial Inc., přesněji se jednalo o informace 158.000 zákazníků a 68.000 finančních poradců. Do nepověřených rukou se tak dostalo nemalé kvantum jmen, čísel účtů a sociálního pojištění.

Podle nejnovějšího prohlášení se všechny tyto údaje nacházely v notebooku, který byl ukraden ze zajištěného vozidla, nicméně podle zástupců z Ameriprise Financial se nejednalo o cílený čin. Inkriminované soubory přitom nebyly šifrovány, jak požadují bezpečnostní nařízení společnosti, také proto již byl odpovědný zaměstnanec propuštěn.

Z nově publikovaných online článků by vaší pozornosti neměly ujít například následující:

MP3s – The Big Security Risk In 2006 (Net-security.com)
Martin Allen ve svém článku diskutuje potenciální nebezpečí použití přenosných MP3 přehrávačů a dalších zařízení.

Symantec warns of notebook dangers (Hackinthebox­.com)
Stručné shrnutí výsledků průzkumu společnosti Symantec.

Phishing for your money (Nydailynews.com)
Další z řady článků na téma phishingových podvodů.

Bezpečnostní software zdarma

KGB Archiver

Homepage: Icpnet.pl
Lupa hodnotí: 1752
Slunečnice hodnotí: Slunecnice rating 4

EBF16

kgb archiver

Pro softwarovou část dnešního sumáře bezpečnosti náš výběr padl na KGB Archiver, zajímavou utilitu pro komprimaci libovolných dat. Během komprimace navíc dochází také k šifrování, a to silným standardem AES-256. KGB Archiver nabízí velké množství komprimačních stupňů (celkem deset), porovnání těch středně výkonných s maximy ostatních kompresorů můžete nalézt na icpnet.pl (podrobněji).

Co se poměru velikosti komprimovaných dat ku původním týká, KGB Archiver zdatně konkuruje ostatním programům své kategorie. Vadou na kráse je menší rychlost, útěchou zase snadná dostupnost z libovolného správce souborů skrze kontextovou nabídku souboru.

Anketa

Chráníte heslem alespoň některé ze svých komprimovaných archívů?

Našli jste v článku chybu?
Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?