Správy - Bezpečnosť
Upozornenia na bezpečnostné chyby.
Bezpečnostná chyba SWEET32
Boli zverejnené informácie o bezpečnostnej chybe SWEET32, vďaka ktorej je možné zaútočiť na 64bit bezpečnostné šifry v TLS (CVE-2016-2183) a OpenVPN (CVE-2016-6329). Jedná sa o narodeninový útok.
GnuPG a Libgcrypt opravujú kritickú chybu
Boli vydané nové verzie GnuPG 1.4.21 a knižnice Libcrypt vo verziách 1.7.3, 1.6.6 a 1.5.6. Nové verzie opravujú závažnú bezpečnostnú chybu CVE-2016-6313.
Linux pod Windows 10 – nová potencionálna vstupná brána pre škodlivý softvér
Linuxový subsystém vo Windows 10 je možným cieľom útoku pre škodlivý softvér. Pritom nebezpečenstvo ani tak neprichádza od chybných linuxových programov ako od Windows-malware, ktorý by mohol ovládať nainštalované linuxové aplikácie.....
Zraniteľnosť Androidu QuadRooter
Telefóny a tablety s Androidom a čipom od Qualcommu obsahujú zraniteľnosť QuadRooter. Jedná sa o štyri chyby CVE-2016–2503, CVE-2016–2504, CVE-2016–2059 a CVE-2016–5340, ktoré umožňujú eskaláciu práv. Je ohrozených približne 900 miliónov zariadení s LTE.
Útoky na WordPress
Za posledný týždeň začali masívne pribúdať útoky na zraniteľnost vo WP inštaláciách. Jedna z IP adries pochádzajúcich z Ruska pritom spravila vyše dva milióny pokusov, ktorým bolo zabránené vďaka bezpečnostnému pluginu.
KeySniffer - odchytávanie vstupu z bezdrôtových klávesníc
Ku zraniteľnosti bezdrôtových myší MouseJack, pribudla nová zraniteľnosť bezdrôtových periférií, tentokrát klávesníc, pri ktorej niektorí výrobcovia nešifrujú komunikáciu medzi klávesnicou a prijímačom, vďaka čomu je možné odchytávať všetky tlačítka stlačené na danej klávesnici pomocou špeciálneho softvéru. Zraniteľnosť dostala prilihavý názov KeySniffer.
Bezpečnostné chyby v LastPass
V správcovi prihlasovacích údajov LastPass bolo opravených niekoľko závažných bezpečnostných chýb. Vyjadrenie spoločnosti stojacej za LastPass nájdete v blogu.
Ubuntu 15.10 na konci životnosti
Ubuntu 15.10 s označením Wily Werewolf je od včera na konci svojej životnosti. Užívatelia, používajúci túto verziu distribúcie už neobdržia žiadne bezpečnostné aktualizácie, kritické opravy, alebo nové balíčky z oficiálnych repozitárov Ubuntu. Odporúča sa prejsť na LTS verziu 16.04.
Zraniteľnosti v Xen
Vo virtualizačnom prostredí Xen boli nájdené dve závažné zraniteľnosti XSA-182 a XSA-183, ktoré umožňujú eskaláciu práv a ovládnutie celého systému.
Lokálna eskalácia práv v NetBSD
V NetBSD bola opravená bezpečnostná chyba NetBSD-SA2016-006 (CVE-2016-6253), ktorá mohla viesť až k lokálnej eskalácii práv. V OpenBSD bola táto chyba opravená pred 20 rokmi.
Aktualizácia Adobe Flash Player opravuje 52 chýb
Bola vydaná nová verzia Adobe Flash Player, ktorá opravuje 52 bezpečnostných chýb.
Android malware, ktorý rootne zariadenie
Na androidových repozitároch s aplikáciami, vrátane Google Play bol nájdený malware, ktorý dokáže rootnuť celé zariadenie a následne inštalovať nežiadúce programy. Malware nesie názov Godless a infikuje zariadenia s Android 5.1 a nižšími.
Lokálna eskalácia práv v Linuxe > 4.4.0
V linuxovom jadre vo verzii 4.4.0 a vyšších bola nájdená a opravená bezpečnostná diera v eBPF, umožňujúca lokálnu eskaláciu práv.
Zraniteľnosť v ImageMagick
V obľúbenom softvéri na úpravu obrázkov ImageMagick bola objavená zraniteľnosť CVE-2016-3714, ktorá umožňuje vzdialené spustenie kódu pri použití špeciálne upravených obrázkov. Zraniteľnosť je nazvaná ImageTragick a oprava zatiaľ nie je dostupná. Pre ochranu pred zraniteľnosťou je nutné zakázať coders EPHEMERAL, URL, MVG a MSL v policy.xml a kontrolovať vstupné súbory.
Aktualizácia GitLab
Ako sme prednedávnom informovali, v GitLabe bola nájdená závažná bezpečnostná chyba CVE-2016-4340. Podľa plánu boli vydané aktualizácie, ktoré okrem tejto chyby riešia aj ďalšie bezpečnostné diery. Nové verzie nesú označenia 8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 a 8.2.5.
Závažné zraniteľnosti v OpenSSL 1.0.2 a 1.0.1
Zajtra, 3. Mája, budú vydané aktualizácie pre knižnice OpenSSL, ktoré opravujú niekoľko závažných bezpečnostných chýb. Nové verzie nesú označenie 1.0.2h a 1.0.1t.
Vážna bezpečnostná chyba v GitLab
V GitLabe bola nájdená bezpečnostná chyba CVE-2016-4340. Bezpečnostná aktualizácia bude vydaná 3.5. Odporúča sa vykonať okamžitú aktualizáciu.
Nový spôsob využitia Rowhammer
Výzkumníci zo Stony Brook University a Googlu našli spôsob vzdialeného zneužitia zraniteľnosti Rowhammer. Podarilo sa im pomocou memtest v Newlib preklopiť bity v pamäti.
Zverejnené podrobnosti o bezpečnostnej chybe Badlock
Ako bolo sľúbené, boli uverejnené podrobnosti o závažnej bezpečnostnej chybe Windows a protokolu Samba, známej pod názvom Badlock. Chybu opravujú verzie Samby 4.4.2, 4.3.8 a 4.2.11.
Kritická zraniteľnosť v Oracle Java
Bola objavená nová kritická zraniteľnosť v Oracle Java s označením CVE-2016-0636. Zraniteľnosť môže viesť až k modifikácii prostredia prehliadača a obsahu vzdialeným útočníkom.
