Úvodní stránka » Týden v bezpečnosti » Týden v bezpečnosti - zranitelné superglobální proměnné v PHP

Týden v bezpečnosti - 37. týden

(16. 9. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti za minulý týden.

Zranitelnost superglobálních proměnných v PHP

Logo programovacího jazyka PHPPHP je skriptovací programovací jazyk určený pro tvorbu dynamických webových stránek. Nově zjištěná zranitelnost se týká superglobálních proměnných, což jsou proměnné dostupné v každém skriptu. Detaily zranitelnosti přináší zpráva společnosti Imperva nazvaná Hacker Intelligence Initiative. Zranitelnost může být zneužita ke spuštění kódu na serveru s podporou PHP a může dojít k selhání ochrany proměnných před jejich modifikací.

Superglobální proměnné v PHP

Superglobální proměnné v PHP. Zdroj: thehackernews.com

V uvedené zprávě je zmíněna možnost zneužití populární aplikace phpMyAdmin, která slouží ke správě databází ve webovém rozhraní. Na PHP běží i největší webové aplikace a servery, jako například Facebook či Wikipedia. Autoři zprávy doporučují používat aktuální a záplatované verze PHP a omezení přístupu k phpMyAdmin z vnějších IP adres.

Velká aktualizace Javy 7 a zranitelná verze 6

Logo jazyka JavaOracle vydal velkou aktualizaci pro současnou sedmou verzi Javy, ve které opravuje přes 40 chyb a zranitelností. Dlouhý seznam oprav najdete přímo na webu Oraclu. Nová verze Javy také přichází s novou funkcí - lokální bezpečnostní politikou. Ta umožňuje aplikacím definovat přístupy k jednotlivým verzím Java runtime. 

Český tým CSIRT s odkazem na článek Attacks targeting unsupported Java 6 are on the rise upozorňuje na rostoucí počet útoků na starší verzi 6. Její podpora skončila v únoru a již nebudou vycházet záplaty a opravy. Tuto verzi údajně používá přes 50 % uživatelů, což je bezpečností problém. Útočníci se zaměřují na známé zranitelnosti této starší verze. Uživatelům CSIRT radí vypnutí Javy v prohlížeči, nebo alespoň aktualizaci na současnou opravenou verzi.

Hacker @ItsKahuna odsouzen na hack policejních webů

Hacker známý pod přezdívkou @ItsKahuna byl v Ohiu odsouzen na 3 roky za hackování policejních stránek v několika amerických státech. Občanské jméno dříve anonymního hackera je John Anthony Borell a je mu 22 let.

V článku Anonymous hacker @ItsKahuna sentenced to 3 years for hacking police sites popisuje Naked Security jeho provinění a detaily obžaloby. Krom samotného hackování zveřejnil osobní informace o více než 700 policistech, které nelegálně získal. 

Apple vydal update OS X 10.8.5 a opravuje sudo bug

Logo AppleO zranitelnosti sudo v systému OS X jsme vás informovali v jednom z minulých článků. Apple nyní opravuje tuto chybu v aktualizaci OS X 10.8.5. Aktualizace dle článku Apple ships OS X 10.8.5 security update - fixes "sudo" bug at last opravuje 15 zranitelností. 

Opraveno bylo i padání aplikací při zobrazení určitého Unicode textu; tato poměrně komická záležitost se rozšířila zejména na Facebooku, který v důsledku toho Unicode text blokoval. Kompletní seznam změn najdete ve výše zmíněném článku.

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pondělí.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market