Artykuły dotyczące tematu: luki bezpieczeństwa

dodany: 05.03.2013 | tagi: , , ,

Puk, puk. Kto tam? Java update!

0

Oracle wydało poprawkę adresowaną do najnowszego exploita kierowanego w oprogramowanie. Firma sugeruje użytkownikom jak najszybsze jej zainstalowanie. Jest ona dostępna do pobrania za pośrednictwem strony Oracle lub przez auto-aktualizację oprogramowania na komputerach.

Luka, która wymaga załatania jest wykorzystywana do instalacji trojana zdalnego dostępu McRat. Ataki kierowane są na wersje Javy 1.6  Update 41 i 1.7 Update 15, które są najnowszymi dostępnymi wersjami oprogramowania.

Kolejne aktualizacje Javy powoli przestają śmieszyć. Bezpieczeństwo Javy pozostawia wiele do życzenia. Nie wspominając już o ostatnich atakach na Facebooka, Apple czy Twittera.

Dołączamy się do apelu Oracle – instalujcie aktualizacje najszybciej, jak to możliwe. Albo – jeszcze lepiej – jeśli Java nie jest Wam potrzebna, włączajcie ją tylko w stanie absolutnej konieczności.

dodany: 05.02.2013 | tagi: , ,

Oracle przyspieszyło wydanie aktualizacji Javy

1

Oracle zazwyczaj wydaje aktualizacje koło 17 dnia każdego miesiąca. W tym miesiącu aktualizacja została wydana z ponaddwutygodniowym wyprzedzeniem z powodu znacznej liczby luk w swoim oprogramowaniu. Kto używa Javy wie, że od dziur wolna nigdy nie była, ale 50 luk to dość duża liczba.

java_i_ty

44 z nich wpływa na wykorzystanie z Javy jako plug-inu do przeglądarek internetowych. Jeśli pozostaną niezałatane zostawią otwarte drzwi do przeprowadzania zdalnych ataków.

Eksperci bezpieczeństwa radzą, aby jeśli to możliwe, odinstalować Javę kompletnie lub chociaż wyłączyć i włączać tylko w razie potrzeby i tylko ze wzmocnioną ochroną.

Oracle wydało awaryjną aktualizację 13 stycznia, po której mówiło się, że czas, jaki potrzebny jest na stworzenie bezpiecznej wersji Javy, wynosi minimum 2 lata, co czyni każdą kolejną aktualizację kroplą w morzu potrzeb zapewniających jej bezpieczne używanie.

Java_istalled

Piątkowa aktualizacja była zaplanowana na 19 lutego, jednak Oracle stwierdziło, że przyspieszy publikację po odkryciu, ze jedna z luk wpływająca na JRE jest aktywnie wykorzystywana. Nowa aktualizacja rozwiązuje ten problem. Dodatkowo zawiera poprawki wprowadzone w styczniowej wersji aktualizacji.

Zawiadomienie o nowej nowej aktualizacji Javy powinno wyskoczyć zaraz po jej uruchomieniu. W przypadku braku zawiadomienia aktualizację można pobrać ze strony produktu Oracle.

dodany: 07.11.2012 | tagi: , ,

Plone wypuszcza aktualizacje dla 24 luk

0

W zeszłym tygodniu odkryto, że CMS Plone i toolkit Zope narażone są na 24 luki bezpieczeństwa, które mogły prowadzić do przekroczenia uprawnień i iniekcji kodu. Obiecywano wtedy, że poprawki wyjdą na początku tego tygodnia i, okazuje się, że już są. Poprawki zostały przetestowane na Plone 2.1, 2.5, 3, 4, 4.1, 4.2. Dodatkowo do aktualizacji dołączono FAQ oraz inne informacje na temat znalezionych problemów.

Lista problemów jest, zgodnie z oczekiwaniami, dość rozległa: crafting adresów URL, które mogą wylogowywać użytkowników, możliwość ucieczki z sandboxa Pythona, problemy z XSS, anonimowe manipulacje przy tytułach treści, nieuprawnione zgrywanie zawartości BLOB, ataki czasowe haseł i inne.

Według członka zespołu ds. bezpieczeństwa w Plone, Matthew Wilkesa, niektóre luki wpływają tylko na Plone 3 lub Plone 4, inne znajdują się tylko w Zope lub innych bibliotekach.

Większość z luk nie jest szkodliwa, ale poważne problemy występują w przypadku 24 dziur. Programiści nie opublikowali jaka luka działa w jakiej wersji CMS czy jej dokładnej lokalizacji, ale zapewniają, że zastosowanie poprawki do jakiejkolwiek podatnej wersji Plone usunie wszelkie ryzyko.

Wiele problemów z bezpieczeństwem zostało znalezionych przez Zespół ds. Bezpieczeństwa Plone, który prowadzi audyt kodu. Warto dodać, że niektóre błędy zgłosili użytkownicy. Jeśli ktokolwiek używa Plone, radzimy jak najszybciej pobrać i zainstalować aktualizację.

dodany: 07.11.2012 | tagi: ,

Sophos naprawia krytyczne luki bezpieczeństwa

0

Ekspert ds. bezpieczeństwa Tavis Ormandy ujawnił krytyczne luki w oprogramowaniu Sophos Anti – Virus. Publikacja obejmuje dowód koncepcji (z ang. Proof of Concept, w skr. PoC) dla głównego exploita dla Sophos 8.0.6 na systemy Mac OS X, który wykorzystuje przepełnienie bufora stosu podczas przeszukiwania plików PDF. Luka podobno wpływać może również na Linuksa i Windowsa.

Ormandy opublikował pełną analizę dotyczącą deficytów bezpieczeństwa w oprogramowaniu Sophos na SecLists.org. Jest ona szczególnie krytyczne nastawiona do podejścia produktu do mechanizmu adress space layout randomisation (w skr. ASLR). Publikacja opisuje także możliwość korzystania z szyfrowania plików PDF, która wywołuje przepełnienie bufora stosu, co pozwala atakującemu na używanie spreparowanych adresów URL czy e-mail do uruchomienia złośliwego kodu na danym komputerze.

Sophos w wydanym przez siebie oświadczeniu podało, że wszystkie wymienione deficyty bezpieczeństwa zostały naprawione przed 5 listopada oraz, że nie są im znane żadne usterki, które zostały kiedykolwiek wykorzystane. Grzecznie podziękowali Ormandy’emu za pracę jaką włożył w analizę oraz za poczucie odpowiedzialności przy ujawnianiu problemów i dodali, że błędy z pełnej, zidentyfikowanej przez Ormandy’ego listy zostaną naprawione najpóźniej do 28 listopada.

Ormandy pracuje jako inżynier zabezpieczeń dla Google i podkreśla, że opublikowana przez niego analiza nie ma żadnego związku z jego pracodawcą. Prawdziwy altruista można by rzec.

W swojej analizie Ormandy zawarł również najlepsze praktyki, które pomogą użytkownikom produktów Sophos na zachowanie bezpieczeństwa:

  • Wdrożenie i przetestowanie planów awaryjnych dla żywych scenariuszy eksploatacyjnych, bo Sophos nie reaguje w szybkim czasie na doniesienia o lukach w swoich produktach.
  • Wyłączenie produktów Sophos ze zmian dla sieci o wysokiej wartości i aktywów, bo Sophos nie nadaje się do wysokiego bezpieczeństwa, krytycznych czy o dużej wartości wdrożeń. Dodatkowo, aby uniemożliwić dostęp atakującym, administratorzy nie powinni używać produktów Sophos na urządzeniach, które wykorzystują do wykonywania zadań administrujących sieci.
  • Nigdy nie wdrażaj produktów Sophos do urządzeń, których nie da się łatwo zaktualizować. Duża liczba luk obecnych w kodzie ich produktów oznacza, że regularne ich łatanie jest koniecznością.

Czyli ogólnie mówiąc, dopóki Sophos nie załata wszystkich swoich luk, lepiej nie korzystać z tego produktu na żadnym z dostępnych nam urządzeń.