Hlavní navigace

Postřehy z bezpečnosti: pět zranitelnosti ve web serveru Apache

Lukáš Malý 21. 7. 2014

Webserver Apache opravil pět zranitelností. Boj proti spamu podpořil Národní CSIRT České republiky, informuje správce mail serverů jak na SPF a DKIM. ASUS routery mají slabinu v AiCloud. Vzniká projekt SSL Blacklist pro šíření seznamu otisků škodlivých SSL certifikátů. Mladý Nor byl zatčen pro podezření z DDoS útoků.

Pět zranitelnosti v nejnovější verzi webového serveru Apache objevil Marek Kroemeke. Chyby postihují přetečení vyrovnávací paměti a další umoňují denial-of-service zranitelnosti. Opravy těchto chyb byly realizovány prozatím ve vývojové verzi 2.4.10-dev. Buffer overflow chyba spočívá ve způsobu, jakým Apache zpracovává aktualizace modulu mod_status.

Národní CSIRT České republiky zavedl na svém webu sekci „Rady a návody“, kde se nově objevily rady, jak bojovat proti spamu. Rady, jak zprovoznit SPF (Spender Policy Framework) a DKIM (Domain Keys Identified Mail) jsou vhodné pro správce poštovních serverů. Vlastníci domén se často dotazují CSIRT ohledné zneužití domén ve spamových kampaních.

Kritické zranitelnosti na mnoha routerech společnosti ASUS. Podle informací od bezpečnostního experta Kyla Lovettiho existují další kritické chyby zabezpečení u mnoha routerů společnosti ASUS. Vzdáleně může dojít ke zneužití a následně převzetí úplné kontroly u těchto routerů. Slabinou je služba AiCloud.

Švýcarský bezpečnostní tým Abuse.ch zahájil nový projekt SSL Blacklist. Cílem projektu je poskytnout seznam otisků SHA1 škodlivých SSL certifikátů, které jsou spojeny s malwarem nebo botnetem. V současné době Abuse.ch poskytuje tento blacklist otisků SHA1 ve formátu CSV a Suricata.

Za masivní DDoS zatčen sedmnáctiletý Nor. Norská policie zatkla sedmnáctiletého mladíka pro podezření, že stál za masivním útokem, který minulý týden ochromil weby norských bank a dalších společností. Pachatel zřejmě zneužil známou zranitelnost “pingback“ redakčního systému WordPress. Útok byl obtížně kontrolovatelný, protože kromě síťové a transportní útočil i na aplikační vrstvu.

OpenVPN varuje své zákazníky před CSRF chybou v produktu Client Access Server. OpenVPN doporučuje uživatelům Desktop klienta upgradovat, aby se zabránilo potencionálním útokům využívajícího CSRF zranitelnosti, které mohou umožnit vzdálené spuštění kódu. Výzkumníci SEC Consult v Rakousku objevili chybu a hlásil ji OpenVPN již v květnu. Tato chyba zabezpečení je pouze ve verzích systému Windows.

Oracle poskytl 113 aktualizací. Čtvrtletní Critical Patch Update Oraclu (CPU) není nikdy menší akce. V dubnu bylo představeno 104 bezpečnostních aktualizací, v lednu potom 144. Tentokrát se jedná o 113 aktualizací. Tyto aktualizace pokrývají celé portfolio softwaru Oracle včetně JRE, Solaris, Oracle databáze, MySQL a mnoho webových a middlewarových produktů.

Ve zkratce

Závěr


Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

22. 7. 2014 18:02

Pulsedriver (neregistrovaný)

vytře si s tím řiť :-)

21. 7. 2014 23:29

qqqqqqqqq (neregistrovaný)

ach taketo cosi... :-) a popis teamu podla RFC2350 je dokonca len v anglictine... copak s tim udela treba skladnik ve sroubarne :-)

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami