Týden v bezpečnosti - 37. týden

(16. 9. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti za minulý týden.

Zranitelnost superglobálních proměnných v PHP

PHP je skriptovací programovací jazyk určený pro tvorbu dynamických webových stránek. Nově zjištěná zranitelnost se týká superglobálních proměnných, což jsou proměnné dostupné v každém skriptu. Detaily zranitelnosti přináší zpráva společnosti Imperva nazvaná Hacker Intelligence Initiative. Zranitelnost může být zneužita ke spuštění kódu na serveru s podporou PHP a může dojít k selhání ochrany proměnných před jejich modifikací.

Superglobální proměnné v PHP. Zdroj: thehackernews.com

V uvedené zprávě je zmíněna možnost zneužití populární aplikace phpMyAdmin, která slouží ke správě databází ve webovém rozhraní. Na PHP běží i největší webové aplikace a servery, jako například Facebook či Wikipedia. Autoři zprávy doporučují používat aktuální a záplatované verze PHP a omezení přístupu k phpMyAdmin z vnějších IP adres.

Velká aktualizace Javy 7 a zranitelná verze 6

Oracle vydal velkou aktualizaci pro současnou sedmou verzi Javy, ve které opravuje přes 40 chyb a zranitelností. Dlouhý seznam oprav najdete přímo na webu Oraclu. Nová verze Javy také přichází s novou funkcí - lokální bezpečnostní politikou. Ta umožňuje aplikacím definovat přístupy k jednotlivým verzím Java runtime. 

Český tým CSIRT s odkazem na článek Attacks targeting unsupported Java 6 are on the rise upozorňuje na rostoucí počet útoků na starší verzi 6. Její podpora skončila v únoru a již nebudou vycházet záplaty a opravy. Tuto verzi údajně používá přes 50 % uživatelů, což je bezpečností problém. Útočníci se zaměřují na známé zranitelnosti této starší verze. Uživatelům CSIRT radí vypnutí Javy v prohlížeči, nebo alespoň aktualizaci na současnou opravenou verzi.

Hacker @ItsKahuna odsouzen na hack policejních webů

Hacker známý pod přezdívkou @ItsKahuna byl v Ohiu odsouzen na 3 roky za hackování policejních stránek v několika amerických státech. Občanské jméno dříve anonymního hackera je John Anthony Borell a je mu 22 let.

V článku Anonymous hacker @ItsKahuna sentenced to 3 years for hacking police sites popisuje Naked Security jeho provinění a detaily obžaloby. Krom samotného hackování zveřejnil osobní informace o více než 700 policistech, které nelegálně získal. 

Apple vydal update OS X 10.8.5 a opravuje sudo bug

O zranitelnosti sudo v systému OS X jsme vás informovali v jednom z minulých článků. Apple nyní opravuje tuto chybu v aktualizaci OS X 10.8.5. Aktualizace dle článku Apple ships OS X 10.8.5 security update - fixes "sudo" bug at last opravuje 15 zranitelností. 

Opraveno bylo i padání aplikací při zobrazení určitého Unicode textu; tato poměrně komická záležitost se rozšířila zejména na Facebooku, který v důsledku toho Unicode text blokoval. Kompletní seznam změn najdete ve výše zmíněném článku.

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pondělí.