Používáte-li některou z mnoha aplikací Computer Associates, pak věnujte pozornost hlášení o zranitelnosti řady produktů této společnosti, jež zveřejnila na svých stránkách. Přesněji se nejedná pouze o jednu chybu, ale hned několik možností zneužití postiženého softwaru, který využívá Message Queuing (CAM/CAFT). CAM TCP port je možné zneužít k DoS útoku zasláním speciálně upravených paketů, podobně může být způsobeno i přetečení zásobníku a spuštění kódu útočníkem. Konečně třetí avizovanou chybu představuje podvržení CAFT a získání vyšších práv. Podrobný postup opravy verzí naleznete na výše odkazovaných webových stránkách výrobce.
Server Secunia přinesl zprávu o chybě v Microsoft IIS verzí 5.x a 6. Zranitelnost je hodnocena jako méně kritická, nicméně může útočníkovi dovolit přístup k některým citlivým datům na serveru. Kámen úrazu představuje použití proměnné SERVER_NAME ve skriptech na straně serveru, útočník totiž může v důsledku chyby vyvolané speciálně upraveným HTTP požadavkem získat část zdrojového kódu. Doporučené řešení spočívá v zamezení zobrazení implicitní chybové stránky 500–100.asp. Prvotní obsáhlé oznámení o objevení zranitelnosti lze nalézt na stránkách Ingeho Henriksena, a to včetně detailních ukázek možnosti zneužití útočníkem.
Server Secunia a podrobněji také autoři na Sans.org (1, 2, 3) informují o možnosti zneužití registru systému Windows pro spuštění libovolného programu. Problém tkví v chybném zpracování dlouhých názvů řetězců, v důsledku čehož odpovídající položky nemusejí být viditelné nejen pro uživatele, ale také některé antivirové či antispyware programy. Přímočaré zneužití se okamžitě nabízí přidáním programu do některé z větví, které obsahují seznam aplikací spouštěných při startu systému. Ze stránek Sans.org si můžete stáhnout jednoúčelovou utilitu LVNSearch a s její pomocí otestovat registr systému.
Závěr dnešního dílu samozřejmě již tradičně patří představení některých článků týkajících se počítačové bezpečnosti, jež byly v uplynulých dvou týdnech zveřejněny prostřednictvím Internetu:
Crypto-Gram Newsletter (Schneier.com)
Bruce Schneier v polovině měsíce vydal další pokračování své pravidelné dávky povídání o bezpečnosti v podobě nového Crypto-Gramu.
Can the phishing war be won? (SCMagazine.com)
Tento článek vyjadřuje názor Jonathana Tulianiho na současné dění kolem tolik diskutovaného phishingu a obranu proti němu. Můžeme válku proti rhybaření vyhrát?
Schooled in security (News.com)
Autor Dawn Kawamoto prostřednictvím řádků svého poměrně rozsáhlého článku informuje o faktech bezpečnosti univerzitních počítačových sítí.
Worm War II (TheRegister.co.uk)
Krátká úvaha protkaná fakty od Johna Leydena na téma počítačových červů a jejich chování.
Where is the True Enemy to Network Security (Infosecwriters.com)
Odkud se bere nebezpečí světa Internetu? V základním rozsahu na tyto otázky odpovídá Michael Hogan z East Carolina University.