Linux E X P R E S,

S předstihem několika dnů jsme se dozvěděli, že bude 9. července vydána verze OpenSSL opravující vážnou bezpečnostní chybu. Nyní jsou tu podrobnosti, chyba umožňuje útočníkovi vydávat se za důvěryhodný server.

Koupíte si nový router, nastavíte bezpečné heslo a zapnete vzdálenou správu. Za chvíli máte nezvaného hosta.

Nově objevená zranitelnost v TLS ohrožuje významnou část webových a poštovních serverů. Vědci upozorňují, že přesně k takovýmto problémům může vést úmyslné oslabování bezpečnosti.

Vážná zranitelnost, která umožňuje útočníkovi snadno získat kontrolu nad celou instalací, byla nalezena v populární open-source obchodní platformě Magento.

V implementaci práce s příchozí informace o SSID byla nalezena bezpečnostní chyba. Postižen je Linux i řada dalších systémů.

V šifrovací technologii TLS byly nalezeny další dvě slabiny. Obě se týkají algoritmu RC4, který je sice už delší dobu považován za problematický, stále se ale poměrně dost používá.

Nové verze knihovny OpenSSL opravují dvanáct bezpečnostních chyb, z toho některé závažné. Doporučuje se aktualizovat co nejdřív.

V shellu Bash byla nalezena chyba umožňující prostřednictvím proměnné prostředí zajistit spuštění kódu; přebývala v něm 20 let. První oprava navíc nebyla úspěšná, zranitelnost přetrvala až do druhé opravy.

Izraelští kryptologové ukázali možnost získat soukromý klíč GnuPG prostřednictvím signálů získaných pouhým dotykem kovových částí počítače. Vývojáři již implementaci technologie opravili.

Podle průzkumu firmy Netcraft bylo u mnoha serverů zanedbáno důsledné a správné provedení všech kroků, které bylo potřeba provést po odhalení chyby Heartbleed.

Bezpečnostní chyba ve Flash Playeru, která již byla zneužita útočníky, se týká všech platforem včetně Linuxu. Používáte-li v prohlížeči plugin pro Flash, měli byste si ohlídat aktualizaci.

V knihovně OpenSSL byla objevena závažná chyba, která umožňuje číst z paměti procesu data včetně soukromého klíče. Aktualizujte tedy na opravenou verzi co nejdřív.

Bezpečnostní audit firmy Red Hat odhalil, že knihovna GnuTLS nereaguje správně na některé chyby při ověřování certifikátů a může je považovat za důvěryhodné i v případech, kdy byly podvrženy.

Crowdfundingový server Kickstarter se stal terčem úspěšného útoku a útočníci získali přístup k uživatelským údajům. Uživatelům se doporučuje si co nejdřív změnit heslo.

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.