Bezpečnostní aktuality
IBM HTTP Server
Verze: 1.3.26.2, 1.3.28.1
Riziko: (střední)
V HTTP Server od společnosti IBM bylo podle původního, níže odkazovaného oznámení výrobce opraveno hned několik chybek, a to jmenovitě ve verzích 1.3.26.2 a 1.3.28.1. V případě prvně jmenované varianty se jednalo o dvě možnosti zhroucení aplikace při zpracování certifikátu, jedna z nich se přitom týká také verze 1.3.28.1. O možnosti opravy a potenciálním útoku XSS uplynulý týden nově informoval server Secunia.com.
Další informace: Ibm.com
Clam Anti-Virus
Verze: 0.88.3 a starší
Riziko: (nízké)
Jak nově informoval server Securityfocus.com, je antivirový systém Clam Anti-Virus náchylný na útok typu DoS, který způsobuje přetečení zásobníku. Kámen úrazu představuje chybné zpracování speciálně upraveného komprimovaného souboru UPX, k vyvolání zmiňované zranitelnosti je zapotřebí provést jeho ruční nebo automatickou kontrolu. Chyba byla přímo potvrzena pro Clam Anti-Virus verze 0.88.2 a 0.88.3, nicméně může postihovat také libovolné z předchozích variant tohoto produktu. Doporučené řešení spočívá v přechodu na Clam Anti-Virus 0.88.4.
Další informace: Securityfocus.com
Pravidelné záplaty společnosti Microsoft
Společnost Microsoft vydala další nadílku pravidelných záplat svých softwarových produktů, která tentokráte čítá dvanáct kousků. Devět z tohoto celkového počtu dvanácti oprav je hodnoceno nejvyšším stupněm důležitosti (kritické), zbývající tři si pak našly místo v kategorii důležitých. Jejich základní přehled v původním anglické znění je k nalezení na domovských stránkách společnosti Microsoft, přesněji v Microsoft Security Bulletin Summary for August, 2006.
První security bulletin MS06–040 opravuje zranitelnost služby Server, kvůli které měli potenciální útočníci možnost spuštění vlastního kódu na postižených počítačích se systémy Windows 2000, 2003 i XP. Podobný problém, nyní ovšem ve spojitosti s podpořou Winsock, je rozebrán také v dalším security bulletinu MS06–041. Hromadná kumulativní záplata popsaná v security bulletinu MS06–042 je hodnocena jako kritická a opravuje větší množství postupem času objevených zranitelností tohoto webového prohlížeče. Internetových doplňků systému se týká také oprava MS06–043, která zabraňuje zneužití spuštění vlastního kódu v klientovi Outlook Express. S čistým štítem nevyvázla ani Microsoft Management Console ve Windows 2000 – pro detaily viz MS06–044.
Security Bulletiny MS06–045 až MS06–048 společně řeší opět možnosti spuštění kódu, po řadě v Průzkumníkovi, nápovědě HTML, VBA a Microsoft Office. Již „pouze“ důležitá oprava popsaná v MS06–049 opravuje možnost eskalace uživatelských práv ve Windows 2000 SP4, zbývající MS06–050 a MS06–051 pak opět řeší vzdálené spuštění libovolného kódu.
Samozřejmě ani tento týden nesmí chybět stručný přehled zahraničních online článků, které si své místo v internetovém světě nalezly právě minulý týden:
Can you rely on Microsoft's Network Access Protection? (Computerworld.com)
Zajímavý článek, který analyzuje bezpečnost NAP od společnosti Microsoft.
XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hacking (Informit.com)
Kuchařka na uvaření vražedné hackerské směsi ze tří uvedených ingrediencí.
Printer Security (Schneier.com)
Bruce Schneier se na svém blogu věnuje bezpečnosti síťových tiskáren.
Bezpečnostní software zdarma
Crypt4Free
Homepage: Secureaction.com, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:
Aplikace Crypt4Free představuje velice jednoduchou utilitu pro šifrování libovolných souborů. Uživateli se přitom k dispozici nabízejí dva kryptografické algoritmy, jimiž jsou DESX (128bitový klíč) a Blowfish s délkou klíče 448 bitů. Doplňkově lze soubory ještě před jejich zašifrováním automaticky zkomprimovat, z dalších funkcí se nabízí například možnost bezpečného mazání libovolných dat.