Zranitelnost PHP Superglobální proměnné představuje hrozbu pro mnoho webových prezentací na internetu, včetně velkých jako je např. Facebook nebo Wikipedie. Společnost Imperva vydala „Hacker Intelligence Initiative Report“ se zvláštním zaměřením na dvě zranitelnosti, které mohou být použity ke spuštění kódu na serveru s podporou PHP a k selhání ochrany proměnných PHP před jejich modifikací z externích zdrojů. PHP má několik předdefinovaných globálních proměnných, kterým se říká Superglobální proměnné. Jsou to například $_POST, $_GET, $_FILES, $_COOKIES, $_SESSIONS apod. Superglobální proměnné byly poprvé představeny ve verzi PHP 4.1.0.
Report např. zmiňuje zneužití web aplikace phpMyAdmin (PMA) – Arbitrary Code Execution v kombinaci slabin CVE-2010–3065 a CVE-2011–2505. V případě, že aktivně používáte web aplikace phpMyAdmin, phpPgAdmin nebo phpLDAPadmin, je vhodné omezit jejich přístup jen z vybraných IP adres, pokud to je tedy možné (web hosteři toto omezení nemohou použít). Velmi doporučené je provozovat aktuální a opravené verze PHP.
Společnost Apple 18. září přichází s novým modelem chytrého telefonu iPhone 5s (produktové video), který po dlouhé době přináší funkcionalitu Touch ID. Tlačítko „Home“ okolo kterého je nový kroužek, který snímá s vysokým rozlišením obraz otisku prstu a dílčí epidermální vrstvy kůže. Obraz pak inteligentně analyzuje nový 64-bitový procesor A7. Tuto informaci má provádět s pozoruhodnou mírou přesnosti a detailů. Stejně jako odemknutí telefonu, bude snímač schopen schválit nákup v obchodě Apple. Jak těžké bude prolomit tento systém rozpoznávání otisků prstů? Crypto guru Bruce Schneier poukázal, že je tu velké nebezpečí v používání otisků prstů pro přístup k online službám. Na rozdíl od hesel je užití daktyloskopických údajů, převzatých z databáze hackerů mnohem složitější. Není uplně jednoduché ukradený otisk vyrobit a posléze podvrhnout při ověření.
Forenzní analýza paměti je schopnost nalézt artefakty v paměti, která je přítomna v běžícím počítači. Je to zajímavá metoda, jak nalézt běžící procesy, otevřená síťová připojení, přístupy do registrů, moduly jádra atd. Volatility je jeden z Open Source nástrojů psaný v Pythonu pro analýzu infikované paměti.
Linus Torvalds odmítl odstranit Rdrand z kódu pro generování náhodných čísel v linuxovém jádře. Jeden z algoritmů Dual_EC_DRBG použítý v NIST Special Publication 800–90 by mohl obsahovat zadní vrátka.
Oracle vydal ve středu Java Standard Edition verze 7 aktualizace 40. Java 7u40 obsahuje dlouhý seznam oprav a řadu nových funkcí. Nejzajímavější je oprava zabezpečení chyby použití Plug-inu při zpracování zastaralých certifikátů.
Nová verze přichází s lokální bezpečnostní politikou, která může definovat aplikacím přistupy k jednotlivým verzím Java runtime.
Hádání hesel mailboxů
Snad každý administrátor poštovního serveru, jakéhokoliv dodavatele se musel setkat s pokusy o uhádnutí hesel k emailovým schránkám. Tyto útoky jsou často robotického původu a pravděpodobně je provádí nějaký botnet či automat procházející databázi poštovních serverů. Jaká je úspěšnost uhádnutí hesla se moc zjistit nedá. V článku Fail2ban: konec hádání hesel na serveru, bylo nedávno podrobně popsáno, jak použít aplikaci Fail2ban, která má velmi široké použití. Nutno dodat, že lze nasadit Fail2ban i pro jine typy firewalů. Např. na FreeBSD s firewalem Packet Filter. Někdo může namítat, že tato metoda nic moc neřeší. Důležité je že útok detekujeme a alespoň zabráníme přetěžování serveru, který velmi intenzívně ověřuje špatného uživatele nebo heslo.
Ve zkratce
- Vodafone Německo, útočník odcizil bankovní záznamy dvou milionů zákazníků.
- Je bezpečné platit mobilním telefonem?
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
