Bezpečnost v uplynulém týdnu: slabiny publikačních systémů

8. 8. 2007

Doba čtení: 2 minuty

Během dnů posledního týdne byly publikovány informace o zranitelnostech v publikačním systému WordPress nebo Joomla, přinášíme také podrobnosti o sadě oprav pro operační systém Mac OS X. V části věnované bezpečnostnímu softwaru zdarma si představíme antivirový systém ClamWin.

Bezpečnostní aktuality

WordPress

Verze: 2.2.1
Riziko: (vysoké)
Jak bylo uvedeno přímo na domovských stránkách projektu, je publikační systém WordPress náchylný na novu zranitelnost, která úspěšnému útočníkovi dovoluje provést XSS útok. Základem chyby je nekorektní zpracování v rámci souboru upload.php, na níže odkazovaných stránkách můžete najít jak vzor útoku, tak obranu v podobě ručního ošetření kódu. Chyba byla přímo potvrzena pro WordPress verze 2.2.1, nicméně není vyloučeno, že mohou být postiženy také jiné varianty.
Další informace: Wordpress.org

Mac OS X

Verze: viz původní ohlášení
Riziko: (vysoké)
Na odkazovaných stránkách bezpečnostního serveru Secunia můžete nalézt kompletní souhrn nově vydaných záplat pro operační systém Mac OS X. Jedná se celkem o 23 různých záplat, které v krajních případech dovolují například spuštění útočníkova vlastního kódu nebo provedení útoku XSS. Původní sumář chyb a jejich stručných komentářů se nachází také na těchto webových stránkách společnosti Apple.
Další informace: Secunia.com

Joomla

Verze: starší než 1.0.13
Riziko: (nízké)
Na účet poměrně populárního CMS systému Joomla byly publikovány informace o nových zranitelnostech, které postihují verze tohoto programu starší než 1.0.13. První z trablů spočívá v nedostatečném ošetření vstupu dále předávaného com_search, com_content a mod_login, výsledkem může být spuštění HTML kódu nebo vložení skriptu. Základem další chyby je neošetření vstupů předávaných parametru URL a konečně poslední mezera se zakládá na podstrčení a uživatelově následování speciálně upraveného odkazu.
Další informace: Secunia.com

Bezpečnost na Lupě

Během uplynulého týdne jste na Lupě mohli ze světa bezpečnosti prolistovat například pravidelným bezpečnostním sumářem, a to pod názvem Bezpečnost v uplynulém týdnu: postižené Windows a antiviry. Kromě toho ale například také článkem o PDF spamu, který se stal nešvarem poslední doby, název má Dokumenty PDF, o které nikdo nestojí. Z krátkých zpráviček stojí za pozornost například Thunderbird 2.0.0.6 a Flock 0.9.0.2 opravují bezpečnostní chyby nebo Phishing je stále zhoubný a ztráty jím způsobené rostou.

Zahraniční servery se za poslední týden mohou pochlubit například následujícími články s bezpečnostní tematikou:

Malware hunts down and deletes MP3 files (Computerworld.com)
Červ, který si brousí zuby na MP3 soubory.

Scan This Guy's E-Passport and Watch Your System Cash (Theregister.co.uk)
Odborník na RFID k elektronickým pasům.

Firefox update fixes bug brace (Theregister.co.uk)
Nová verze Firefoxu napravuje dřívější bezpečnostní chyby.

Bezpečnostní software zdarma

ClamWin Antivirus

Homepage: Clamwin.com, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:

V minulém díle bezpečnostního sumáře byla řeč o antivirovém programu AOL Active Virus Shield, tentokráte se podíváme na ClamWin Antivirus. Jedná se o velice jednoduchou aplikaci pro boj s viry, v základním grafickém rozhraní získáte možnost spuštění kontrol na vyžádání nebo jejich plánování, nechybí ani kontrola pošty e-mailového klienta Microsoft Outlook.