Security Digest (8/2003)
Je to už týden, co jsme vám přinesli poslední ohlédnutí po novinkách
ve světě linuxové bezpečnosti. Nastává tedy ta správná chvíle, abychom
vám přinesli aktuální přehled zajímavých programů, oprav bezpečnostních
chyb a samozřejmě i odkazy na zajímavé články o bezpečnosti, které se
na světovém Internetu v posledním týdnu objevily.
Bezpečnostní programy
YAPH 0.91
Homepage: http://www.proxylabs.com/yaph/
Platformy: Linux
Na úvod si představíme trošku zvláštní program - Yet Another Proxy Hunter neboli YAPH. Jeho účel je velmi prozaický, slouží k nalezení funkčních proxy serverů na Internetu. Jistě se může občas hodit. :-)
Gobbler 1.8
Homepage: http://www.networkpenetration.com/
Platformy: Linux
Tento nástroj slouží k analýze a auditu DHCP sítí. Je schopen odhalit některé bezpečnostní problémy a dokáže je patřičně využít. Podrobný popis činnosti programu naleznete v přehledné dokumentaci.
Chyby a opravy v uplynulých dnech
| Balíček: | VNC |
| Oprava: |
Red Hat:
viz https://rhn.redhat.com/errata/RHSA-2003-041.html |
| Popis: | Problém je ve špatném použití generátoru náhodných čísel, který se uplatňuje v mechanismu autentizace. Za určitých okolností tak může útočník neoprávněně získat přístup k VNC. |
Zajímavé články o bezpečnosti
Attack Exposes ATM Vulnerabilities
Zdroj: www.eweek.com
O tom, že ani bankomaty nejsou zcela bezpečné nás informuje tento
článek. Dávejte si pozor na svůj PIN.
Password Interception in a SSL/TLS Channel
Zdroj: lasecwww.epfl.ch
V posledních dnech se stala velmi diskutovanou chyba v SSL/TLS
komunikaci. Jestliže se o ní chcete dozvědět více, přečtěte si
tento článek. (Pozn. red: byly vydány opravené verze OpenSSL,
které tuto chybu řeší.)
Open Source security manual and training for ethical hacking
Zdroj: www.theregister.co.uk
Pele Herzog, autor OSSTMM, popisuje v tomto manuálu OpenSource
software a jeho myšlenky pro vývoj otevřených standardů a bezpečnosti.
Linux code is gloriously defect-free
Zdroj: www.silicon.com
O tom, že zdrojový kód jádra Linuxu je čistší a kvalitnější než kód
"konkurence" (bohužel není uvedena), nás přesvědčí tento článek.
(Pokud patříte mezi uživatele *BSD, zkuste být tolerantní :-))
Crackers gain sight of up to 5m credit cards
Zdroj: theregister.co.uk
Když už jsme si pověděli o chybě v bankomatech, neměli bychom
opomenout horkou novinku ze světových agentur - crackerům se podařilo
napadnout systém pro on-line transakce a zcizit informace o asi pěti
milionech kreditních karet.
'Mad Dog' Hall spreads Linux word in South Africa
Zdroj: www.tectonic.co.za
O tom, jak se Linux šíří do všech koutů jižní Afriky, se dočteme
v tomto článku. Ukazuje také na řadu předností Linuxu v porovnání
s MS Windows, avšak vcelku rozumnou formou.
Peter Cochrane's Uncommon Sense: Insecure thinking
Zdroj: www.silicon.com
Často slyšíme o bezpečnostní politice, nejrůznějších doporučeních,
apod. Každý svá data šifruje, komunikuje přes SSL, ale to
nejzákladnější si ošetřit nedokáže - dva studenti MIT prozkoumali
celkem 150 disků nakoupených v bazaru a nestačili se divit, jaká
firemní tajemství na nich objevili...
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0
Zdroj: www.php.cz
O chybě ve starších verzích PHP, nás podrobně informuje toto oznámení.
Chyba v PHP 4.3.0 umožňuje útočníkovi přístup k souborům, ke kterým
má přístup uživatel, pod nímž proces webserveru běží.
A to je konec, přátelé. :-) Už za týden jsme tu ale zas.
Další části seriálu:
| 
Coolhousing
Anketa
