Security Digest (37/2003)
Po týdnu je tady další z pravidelných souhrnů z oblasti bezpečnosti. Jako obvykle začneme
exkurzí do oblasti software (nová verze SNORTu), následuje obvyklý přehled oprav
vydaných pro nejpoužívnější distribuce za uplynulý týden a digest uzavře přehled
vybraných článků z oblasti bezpečnosti, na které jsme narazili během uplynulého týdne.
Bezpečnostní programy
Snort 2.0.2
Homepage: http://www.snort.org/
Platformy:
Populární síťový IDS systém Snort není potřeba nějak zvlášť představovat, minulý týden
vyšla verze 2.0.2, která obsahuje řadu oprav (kromě jiného oprava chyby při manimupaci s
TCP RST pakety).
oc192-bof.c
Homepage: http://www.oc192.us
Platformy: Linux
Nástroj, který testuje spustitelné programy na chyby přetečení bufferu. Hledá chyby, ke
kterým dochází při spouštění z příkazové řádky (vyplývající z nedostatečné kontroly
předávaných argumentů), chyby týkající se nastavení prostředí, ale také chyby formátování
řetezců. Takový nástroj se může hodit při testování předkompilovaných aplikací, k nimž
nemáme k dispozici zdrojový kód. Funguje to tak, že pomocí volání jádra ptrace() sleduje
situaci na zásobníku.
Chyby a opravy v uplynulých dnech
| Balíček: |
MySQL |
| Oprava: |
Debian 3.0 (Woody), Mandrake (8.2, 9.0, 9.1)
CVE: CAN-2003-0780.
|
| Popis: |
Chyba umožní databázovému uživateli, který je oprávněn
spustit příkaz ALTER TABLE na tabulky v systémové databázi mysql, spustit na serveru
libovolný kód pod ID uživatele, který provozuje SQL server.
|
| Balíček: |
OpenSSH |
| Oprava: |
Red Hat (7.1 až 9), Mandrake (8.2, 9.0, 9.1), Debian 3.0 (Woody), Slackware (8.1, 9.0 a -current), SuSE (7.2, 7.3, 8.0, 8.1, 8.2)
CVE: CAN-2003-0682,
CAN-2003-0693,
CAN-2003-0695.
|
| Popis: |
Oprava několika chyb (potenciálně zneužitelné zvenčí a přinejmenším tak
lze vyvolat DoS).
|
| Balíček: |
sendmail |
| Oprava: |
Red Hat (7.1 až 9), Mandrake (8.2, 9.0, 9.1), Debian 3.0 (Woody), Slackware (8.1, 9.0, -current)
CVE: CAN-2003-0681,
CAN-2003-0694.
|
| Popis: |
Oprava několika chyb, zejména chyby vedoucí k přetečení zásobníku nebo haldy,
která je minimálně zneužitelná lokálními uživateli, ale pravděpodobně i zvenčí.
|
Zajímavé články o bezpečnosti
How Network Intrusion Prevention Devices Can--And Can't--Secure Your Network
Zdroj: www.internetweek.com
Zamyšlení na téma, zda se vyplatí při ochraně sítí spoléhat jen na firewally,
nebo používat NIP systémy (Network Intrusion Prevention - označení pro hardwarové
nebo softwarové nástroje, které poskytují ochranu před specifickými typy útoků a detekují
neobvyklý síťový provoz), nebo raději zkombinovat obojí.
Secure transactions with no strings attached
Zdroj: www.fcw.com
Když chceme zaručit autentičnost e-mailu (digitální podpisem) nebo jeho obsah zcela
skrýt před nepovolanými osobami (zašifrováním obsahu), běžně využijeme některý software
fungující na principu PKI (Public Key Infrastructure; tedy pracující s dvojicí klíčů,
každý subjekt má jeden klíč privátní a druhý veřejný). Opravdu masovému rozšíření těchto
technologií ale v praxi brání nutnost pracovat s autoritami, které udržují seznamy
veřejných klíčů či certifkátů, starají se o jejich distribuci, případnou expiraci atd.
Článek nabízí několik alternativ ke klasických systémům postavených na PKI.
Quantum Cryptography Finally Commercialized?
Zdroj: www.geeknewscentral.com
Kvantová kryptografie je technologií budoucnosti - ovšem ne zas tak daleké. Existují
již produkty, které těchto metod používají k distribuci klíčů.
Encrypted Email Cookbook
Zdroj: linux.oreillynet.com
Tutoriál určený začátečníkům, jak pracovat s OpenSSL coby certifikační autoritou a
jak pomocí OpenSSL vygenerovat certifikáty, které lze používat pro zabezpečení
elektronické pošty.
Crypto-Gram September 2003
Zdroj: www.linuxsecurity.com
Vyšlo další číslo webzinu Crypto-Gram, v obsahu najdete:
* Accidents and Security Incidents
* "Beyond Fear" Reactions
* Crypto-Gram Reprints
* Licensing Computer Users
* News
* Counterpane News
* Security Notes from All Over: Hats in Banks
* Benevolent Worms
* California's Security-Breach Disclosure Law
* Correction
* Comments from Readers
A Password Policy Primer
Zdroj: networking.earthweb.com
Bezpečnost systémů do značné míry stojí na tom, jak kvalitní hesla legitimní uživatelé
používají a jak s nimi nakládají.
Fine-Tuning Linux Administration with ACLs
Zdroj: networking.earthweb.com
Přístupové seznamy (ACL, neboli Access Control Lists) nabízí rozšířením standardního
modelu přístupových práv v Un*xových systémech a moderní systémy si už bez nich
nedovedeme představit. Mezi souboroé systémy, které ACL podporují, patří ext2, ext3,
XFS, ReiserFS, a JFS.
In Britain, Spammers Will Pay
Zdroj: www.wired.com
Zřejmě jediný způsob, jak se doopravdy zbavit spamu, je postavení spamu mimo zákon
a stanovení patřičně citelných sankcí. Velká Británie je druhou zemí EU, která
takovou legislativu přijala.
A tímto se pro dnešek rozloučíme...
Další části seriálu:
|
Coolhousing
Anketa
