Správy - Bezpečnosť
Upozornenia na bezpečnostné chyby.
Bezpečnostné chyby v LastPass
V správcovi prihlasovacích údajov LastPass bolo opravených niekoľko závažných bezpečnostných chýb. Vyjadrenie spoločnosti stojacej za LastPass nájdete v blogu.
Zdroj: Abclinuxu.cz
Ubuntu 15.10 na konci životnosti
Ubuntu 15.10 s označením Wily Werewolf je od včera na konci svojej životnosti. Užívatelia, používajúci túto verziu distribúcie už neobdržia žiadne bezpečnostné aktualizácie, kritické opravy, alebo nové balíčky z oficiálnych repozitárov Ubuntu. Odporúča sa prejsť na LTS verziu 16.04.
Zdroj: Omgubuntu.co.uk
Zraniteľnosti v Xen
Vo virtualizačnom prostredí Xen boli nájdené dve závažné zraniteľnosti XSA-182 a XSA-183, ktoré umožňujú eskaláciu práv a ovládnutie celého systému.
Zdroj: Abclinuxu.cz
Lokálna eskalácia práv v NetBSD
V NetBSD bola opravená bezpečnostná chyba NetBSD-SA2016-006 (CVE-2016-6253), ktorá mohla viesť až k lokálnej eskalácii práv. V OpenBSD bola táto chyba opravená pred 20 rokmi.
Zdroj: Abclinuxu.cz
Aktualizácia Adobe Flash Player opravuje 52 chýb
Bola vydaná nová verzia Adobe Flash Player, ktorá opravuje 52 bezpečnostných chýb.
Zdroj: Abclinuxu.cz
Android malware, ktorý rootne zariadenie
Na androidových repozitároch s aplikáciami, vrátane Google Play bol nájdený malware, ktorý dokáže rootnuť celé zariadenie a následne inštalovať nežiadúce programy. Malware nesie názov Godless a infikuje zariadenia s Android 5.1 a nižšími.
Zdroj: Blog.trendmicro.com
Lokálna eskalácia práv v Linuxe > 4.4.0
V linuxovom jadre vo verzii 4.4.0 a vyšších bola nájdená a opravená bezpečnostná diera v eBPF, umožňujúca lokálnu eskaláciu práv.
Zdroj: Abclinuxu.cz
Zraniteľnosť v ImageMagick
V obľúbenom softvéri na úpravu obrázkov ImageMagick bola objavená zraniteľnosť CVE-2016-3714, ktorá umožňuje vzdialené spustenie kódu pri použití špeciálne upravených obrázkov. Zraniteľnosť je nazvaná ImageTragick a oprava zatiaľ nie je dostupná. Pre ochranu pred zraniteľnosťou je nutné zakázať coders EPHEMERAL, URL, MVG a MSL v policy.xml a kontrolovať vstupné súbory.
Zdroj: Root.cz
Aktualizácia GitLab
Ako sme prednedávnom informovali, v GitLabe bola nájdená závažná bezpečnostná chyba CVE-2016-4340. Podľa plánu boli vydané aktualizácie, ktoré okrem tejto chyby riešia aj ďalšie bezpečnostné diery. Nové verzie nesú označenia 8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 a 8.2.5.
Zdroj: Abclinuxu.cz
Závažné zraniteľnosti v OpenSSL 1.0.2 a 1.0.1
Zajtra, 3. Mája, budú vydané aktualizácie pre knižnice OpenSSL, ktoré opravujú niekoľko závažných bezpečnostných chýb. Nové verzie nesú označenie 1.0.2h a 1.0.1t.
Zdroj: Abclinuxu.cz
Vážna bezpečnostná chyba v GitLab
V GitLabe bola nájdená bezpečnostná chyba CVE-2016-4340. Bezpečnostná aktualizácia bude vydaná 3.5. Odporúča sa vykonať okamžitú aktualizáciu.
Zdroj: Abclinuxu.cz
Nový spôsob využitia Rowhammer
Výzkumníci zo Stony Brook University a Googlu našli spôsob vzdialeného zneužitia zraniteľnosti Rowhammer. Podarilo sa im pomocou memtest v Newlib preklopiť bity v pamäti.
Zdroj: Root.cz
Zverejnené podrobnosti o bezpečnostnej chybe Badlock
Ako bolo sľúbené, boli uverejnené podrobnosti o závažnej bezpečnostnej chybe Windows a protokolu Samba, známej pod názvom Badlock. Chybu opravujú verzie Samby 4.4.2, 4.3.8 a 4.2.11.
Zdroj: Abclinuxu.cz
Kritická zraniteľnosť v Oracle Java
Bola objavená nová kritická zraniteľnosť v Oracle Java s označením CVE-2016-0636. Zraniteľnosť môže viesť až k modifikácii prostredia prehliadača a obsahu vzdialeným útočníkom.
Zdroj: Abclinuxu.cz
Badlock - zraniteľnosť v Samba a SMB
Vývojár Stefan Metzmacher, pracujúci na projekte Samba, odhalil bezpečnostnú chybu označenú ako Badlock. Detaily zraniteľnosti budú odhalené 12. Apríla, aby mali vývojári dosť času na spravenie záplat.
Zdroj: Eweek.com
Bezpečnostné chyby v GITe
V nástroji SCM verzovacieho systému GIT boli objavené vážne bezpečnostné chyby CVE-2016-2324 a CVE-2016-2315, ktoré umožnia útočníkovi vzdialené spúšťanie kódu. Vývojári na opravách intenzívne pracujú, v najnovšom GitLabe 8.5.7 je chyba už opravená.
Zdroj: Abclinuxu.cz
100 000 dolárov za hacknutie Chromebooku
Google zvýšil odmenu za úspešné hacknutie Chromebooku, alebo Chromeboxu. Podmienkou je, že vektor útoku musí prebiehať z prihláseného hosťovského účtu cez webovú stránku a napadnutie musí vydržať aj reštart zariadenia.
Zdroj: Root.cz
Najnovšie zraniteľnosti vo WordPress
Spoločnosť Worfence upozorňuje hneď na tri problémové pluginy pre WordPress, v ktorých sú obsiahnuté nebezpečné zraniteľnosti.
Zdroj: Wordfence.com
Získanie šifrovacích kľúčov z mobilného telefónu
Výskumný tím Telavivskej univerzity demonštroval získanie šifrovacích kľúčov z mobilného telefónu vďaka meraniu elektromagnetického vyžarovania, ktoré je generované počas procesu dešifrovania.
Zdroj: Abclinuxu.cz
Chyba v mikrokóde procesorov AMD Piledriver
Vo verzii 0x06000832 mikrokódu procesorv AMD Piledriver (novšie AMD FX a Opteron 3300/4300/6300) bola nájdená bezpečnostná chyba, vďaka ktorej dokáže neprivilegovaný proces bežiaci vo virtuálnom stroji pod qemu spôsobiť zmenu poradia spúšťania (execution flow) na jadre hosta. Výsledky útoku sa môžu líšiť od typu použitého CPU, bližšie informácie nájdete v správe na portáli Seclists.org.
Zdroj: Abclinuxu.cz
