Postřehy z bezpečnosti: pět zranitelnosti ve web serveru Apache

Lukáš Malý 21. 7. 2014

Webserver Apache opravil pět zranitelností. Boj proti spamu podpořil Národní CSIRT České republiky, informuje správce mail serverů jak na SPF a DKIM. ASUS routery mají slabinu v AiCloud. Vzniká projekt SSL Blacklist pro šíření seznamu otisků škodlivých SSL certifikátů. Mladý Nor byl zatčen pro podezření z DDoS útoků.

Pět zranitelnosti v nejnovější verzi webového serveru Apache objevil Marek Kroemeke. Chyby postihují přetečení vyrovnávací paměti a další umoňují denial-of-service zranitelnosti. Opravy těchto chyb byly realizovány prozatím ve vývojové verzi 2.4.10-dev. Buffer overflow chyba spočívá ve způsobu, jakým Apache zpracovává aktualizace modulu mod_status.

Národní CSIRT České republiky zavedl na svém webu sekci „Rady a návody“, kde se nově objevily rady, jak bojovat proti spamu. Rady, jak zprovoznit SPF (Spender Policy Framework) a DKIM (Domain Keys Identified Mail) jsou vhodné pro správce poštovních serverů. Vlastníci domén se často dotazují CSIRT ohledné zneužití domén ve spamových kampaních.

Kritické zranitelnosti na mnoha routerech společnosti ASUS. Podle informací od bezpečnostního experta Kyla Lovettiho existují další kritické chyby zabezpečení u mnoha routerů společnosti ASUS. Vzdáleně může dojít ke zneužití a následně převzetí úplné kontroly u těchto routerů. Slabinou je služba AiCloud.

Švýcarský bezpečnostní tým Abuse.ch zahájil nový projekt SSL Blacklist. Cílem projektu je poskytnout seznam otisků SHA1 škodlivých SSL certifikátů, které jsou spojeny s malwarem nebo botnetem. V současné době Abuse.ch poskytuje tento blacklist otisků SHA1 ve formátu CSV a Suricata.

Za masivní DDoS zatčen sedmnáctiletý Nor. Norská policie zatkla sedmnáctiletého mladíka pro podezření, že stál za masivním útokem, který minulý týden ochromil weby norských bank a dalších společností. Pachatel zřejmě zneužil známou zranitelnost “pingback“ redakčního systému WordPress. Útok byl obtížně kontrolovatelný, protože kromě síťové a transportní útočil i na aplikační vrstvu.

OpenVPN varuje své zákazníky před CSRF chybou v produktu Client Access Server. OpenVPN doporučuje uživatelům Desktop klienta upgradovat, aby se zabránilo potencionálním útokům využívajícího CSRF zranitelnosti, které mohou umožnit vzdálené spuštění kódu. Výzkumníci SEC Consult v Rakousku objevili chybu a hlásil ji OpenVPN již v květnu. Tato chyba zabezpečení je pouze ve verzích systému Windows.

widgety

Oracle poskytl 113 aktualizací. Čtvrtletní Critical Patch Update Oraclu (CPU) není nikdy menší akce. V dubnu bylo představeno 104 bezpečnostních aktualizací, v lednu potom 144. Tentokrát se jedná o 113 aktualizací. Tyto aktualizace pokrývají celé portfolio softwaru Oracle včetně JRE, Solaris, Oracle databáze, MySQL a mnoho webových a middlewarových produktů.

Ve zkratce

Závěr


Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup