Bezpečnostní aktuality
Computer Associates iTechnology iGateway
Verze: 4.x
Riziko: 
(střední)
V řadě softwarových produktů společnosti Computer Associates byla objevena středně kritická zranitelnost, jejíž původ přesněji spočívá ve sdílené komponentě iGateway. Kompletní přehled náchylných aplikací můžete nalézt následováním některého z níže uvedených odkazů.
Služba iGateway standardně naslouchá na portu 5250, určeném pro běžnou HTTP nebo šifrovanou SSL komunikaci. Pokud je hodnota Content-Length u přenášených dat záporná, iGateway se s tímto problémem nedokáže korektně vypořádat a dojde k přetečení zásobníku, potenciálně pak také ke spuštění libovolného útočníkova kódu. Ačkoliv byla chyba oficiálně potvrzena pro iGateway verze 4.0, pravděpodobně postihuje všechny varianty vydané před 4.0.050615 včetně. Doporučené řešení spočívá v přechodu na verzi 4.0.051230.
Další informace: Ca.com, Idefense.com
MyBB
Verze: 1.x
Riziko: (střední)
Ohledně aplikace MyBB se zveřejnění dočkaly hned dvě zranitelnosti, které s sebou přinášejí střední riziko. První z nich spočívá v tom, že jsou chybová hlášení předávána přímo uživateli, což v důsledku může vést k odhalení některých běžně nepřístupných informací. Zranitelnost byla potvrzena v MyBB verze 1.0.2, avšak postiženy mohou být také jiné varianty. Doporučené řešení spočívá v ruční úpravě zdrojového kódu tak, aby chyby z SQL nebyly zobrazovány uživateli.
Také kámen úrazu druhé z publikovaných zranitelností se týká nedostatečného ošetření vstupu. Útočník tak může prostřednictvím speciálně upravených parametrů předávaných HTTP metodou POST docílit XSS (Cross Site Scripting). Doporučeným řešením uvedeného problému je opět ruční editace zdrojového kódu a kontrola předávaných parametrů.
Další informace: Secunia.com, Kapda.ir
Hromadná krádež osobních údajů
Jak na svých stránkách informoval server Computerworld.com, již dříve došlo k odcizení osobních informací, tentokráte v řádu set tisíc. Data „ztratila“ společnost Ameriprise Financial Inc., přesněji se jednalo o informace 158.000 zákazníků a 68.000 finančních poradců. Do nepověřených rukou se tak dostalo nemalé kvantum jmen, čísel účtů a sociálního pojištění.
Podle nejnovějšího prohlášení se všechny tyto údaje nacházely v notebooku, který byl ukraden ze zajištěného vozidla, nicméně podle zástupců z Ameriprise Financial se nejednalo o cílený čin. Inkriminované soubory přitom nebyly šifrovány, jak požadují bezpečnostní nařízení společnosti, také proto již byl odpovědný zaměstnanec propuštěn.
Z nově publikovaných online článků by vaší pozornosti neměly ujít například následující:
MP3s – The Big Security Risk In 2006 (Net-security.com)
Martin Allen ve svém článku diskutuje potenciální nebezpečí použití přenosných MP3 přehrávačů a dalších zařízení.
Symantec warns of notebook dangers (Hackinthebox.com)
Stručné shrnutí výsledků průzkumu společnosti Symantec.
Phishing for your money (Nydailynews.com)
Další z řady článků na téma phishingových podvodů.
Bezpečnostní software zdarma
KGB Archiver
Homepage: Icpnet.pl
Lupa hodnotí: 
Slunečnice hodnotí: 
Pro softwarovou část dnešního sumáře bezpečnosti náš výběr padl na KGB Archiver, zajímavou utilitu pro komprimaci libovolných dat. Během komprimace navíc dochází také k šifrování, a to silným standardem AES-256. KGB Archiver nabízí velké množství komprimačních stupňů (celkem deset), porovnání těch středně výkonných s maximy ostatních kompresorů můžete nalézt na icpnet.pl (podrobněji).
Co se poměru velikosti komprimovaných dat ku původním týká, KGB Archiver zdatně konkuruje ostatním programům své kategorie. Vadou na kráse je menší rychlost, útěchou zase snadná dostupnost z libovolného správce souborů skrze kontextovou nabídku souboru.
ČLÁNKY DO MAILU
