Dzisiaj ukazała się nowa wersja OpenSSH oznaczona jako 4.0. Dostępny jest także Portable – 4.0p1. Zaleca się aktualizację jak również zapoznanie się z ChangeLog.
Wszystkie posty
hoaxer
Dziś w Hanowerze rozpoczęły się największe na świecie targi branży teleinformatycznej – CeBIT.
Według szacunków organizatorów imprezę, która potrwa do 16 marca, odwiedzi ponad 500 tys. osób. W 27 halach o łącznej powierzchni blisko 309 tys. metrów kwadratowych swoje produkty zaprezentuje ponad 6 tys. firm z 69 krajów. Oprócz Niemiec najliczniej reprezentowane są Tajwan (777 firm), Chiny (310), Stany Zjednoczone (209), Korea Południowa (202), Wielka Brytania (193) i Hong Kong (176). Z Europy Wschodniej – w tym Polski – przyjechało 292 wystawców.
Źródło informacji: CeBIT News
We Francji zakończył się proces Guillaume Tena, który w 2002 roku opublikował informacje o lukach w oprogramowaniu antywirusowym Viguard, pozyskane drogą reverse-engineeringu.
Sąd skazał Tena na grzywnę 5.000 euro za złamanie prawa dotyczącego ochrony własności intelektualnej. Wyrok jest precedensem sprawiającym, że we Francji nie będzie można legalnie badać zamkniętego kodu aplikacji w celu wyszukiwania słabości, w szczególności jeśli informacje takie miałyby być udostępniane publicznie.
Przeciwko Tena toczy się także proces cywilny, w którym autorzy Viguard domagają się 900.000 euro tytułem rekompensaty poniesionych strat.
Źródło informacji: CERT Polska | CNET News
Rosyjscy analitycy ds. bezpieczeństwa IT wykryli lukę w systemie operacyjnym Microsoft Windows, która powoduje zawieszenie się systemu.
Luka znajduje się w obszarze przetwarzania pakietów SYN. Zdalny użytkownik może wysłać dużą ilość pakietów SYN na otwarty port systemu i spowodować stu procentowe użycie procesora.
Lukę mają Windows XP oraz Windows 2003. W rankingu bezpieczeństwa określona jest jako bardzo groźna. W celu jej wykorzystania został stworzony exploit. Przypominamy o regularnej aktualizacji programów antywirusowych oraz o stosowaniu zapór ogniowych (firewalls).
Źródło informacji: Labolatorium DrWeb
Rosyjscy hakerzy wykryli lukę w popularnym forum UBB.threads, pozwalającą zdalnemu użytkownikowi na wykonywanie dowolnych komend w zaatakowanym systemie.
Luka jest spowodowana nieprawidłową filtracją danych przychodzących w plikach includepollresults.php oraz ubbt.inc.php. Zdalny użytkownik może zmodyfikować wartość zmiennych thispath, tempstyle i configdir, a następnie wykonywać dowolne komendy w atakowanym systemie z prawami serwera web.
Luka została wykryta w wersji UBB.threads 6.5.1 i jest sklasyfikowana jako „groźna”. W celu jej wykorzystania stworzono exploit. Na dzień dzisiejszy nie znane są sposoby jej usunięcia.
Źródło informacji: Labolatorium DrWeb
Od pewnego czasu w sieci można zaobserwować wzrost skanowania w poszukiwaniu luk w popularnej aplikacji służącej do analizy logów WWW AWStats oraz w serwerze licencji Computer Associates.
W ubiegłym miesiącu opublikowano luki związane z AWStats, umożliwiające zdalne wykonanie dowolnego kodu z przywilejami użytkownika uruchamiającego serwer WWW za pomocą skryptu awstats.pl lub uzyskanie dostępu do wrażliwych danych. Opublikowano szereg narzędzi umożliwiających przeprowadzenie ataku i obecnie trwają zautomatyzowane skanowania mające na celu wykorzystanie luk. Podatne na atak są wszystkie wersje AWStats starsze od wersji 6.4. Zalecane jest uaktualnienie AWStats co najmniej do wersji 6.4.
Nowym trendem w sieci są także ataki na serwer licencji Computer Associates, który jest instalowany razem z wieloma produktami tej firmy. Luki (przepełnienia bufora) w serwerze umożliwiają zdalne wykonanie kodu z przywilejami SYSTEM/root. Serwery licencji w wersji od 1.53 do 1.61.8 są podatne na atak. Łaty są dostępne na stronie Computer Associates. Ataki związane z CA można obserwować na porcie 10202/TCP i 10203/TCP.
Więcej o lukach w AWStats można przeczytać tutaj oraz tutaj. Informacje o lukach w CA LM dostępne są pod tym adresem.
Źródło informacji: CERT Polska
Uważasz się za eksperta w zakresie bezpieczeństwa systemów informatycznych?. Od dzisiejszego dnia masz możliwość to sprawdzić.
Indyjska firma Linuxense udostępniła w Internecie serwer oparty o system Linux. Serwer działa od dnia dzisejszego przez następne 96 godzin.
Linuxense zapewnia iż system nie jest honeypotem a wszystkie uruchomione usługi dostępne są w każdej dystrybucji Linuxa. W wypadku, gdy nie dojdzie do naruszenie bezpieczeństwa serwera w ciągu 48 godzin udostępniony zostanie dostęp do shella.
Należy pamiętać iż zabronione jest atakowanie innych serwerów Linuxense oraz przeprowadzanie ataków typu DoS (Denial of Service).
Adres IP serwera: 202.88.234.250
Źródło informacji: Linuxense.com
W związku z wykryciem przez Georgi Guninski kolejnej luki w jądrze Linux serii 2.6, CPL 0 kernel root exploit autorstwa ‚sd’ zmienia charakter na publiczny.
Błąd dotyczy serii 2.6 do wersji 2.6.11 włącznie. W wyniku przepełnienia w sys_epoll_wait oraz niewłaściwym użyciu __put_user w ep_send_events możliwe jest uzyskanie w systemie praw root. Zaleca się aktualizację kernela do wersji 2.6.11.2.
Unijna Rada Ministrów oficjalnie zatwierdziła w poniedziałek projekt kontrowersyjnej dyrektywy finansowej. Polska złożyła pisemne zastrzeżenie, ale w niczym to nie zmieniło sytuacji. Teraz dyrektywę, której boi się wielu polskich informatyków, może zablokować chyba już tylko Parlament Europejski.
Polska przez wiele miesięcy blokowała kontrowersyjny projekt dyrektywy patentowej, ale w poniedziałek przewodzący pracom UE Luksemburczycy doprowadzili w końcu do jego przegłosowania. Prowadzący obrady minister Jeannot Krecke nie dopuścił do merytorycznej dyskusji, której chciały Dania, Polska i Portugalia nad dyrektywą o patentowaniu wynalazków przy użyciu komputera. Ta trójka nie zdecydowała się jednak otwarcie zagłosować przeciw dyrektywie (ograniczono się jedynie do pisemnych zastrzeżeń), bo wcześniej też nie głosowały przeciw (wyraźne „nie” powiedziała wtedy tylko Hiszpania).
Patenty dla bogatych
Dyrektywy obawiają się przede wszystkim małe i średnie firmy oraz niezależni informatycy – dopuszcza ona bowiem według nich patentowanie algorytmów, czyli schematów działania programów komputerowych. Zastrzeganie patentów jest kosztowne i stać na nie tylko duże firmy. A opatentowanie np. kliknięcia myszką przez któryś z wielkich koncernów może sprawić, że aby wykorzystać w jakimś programie tę prostą czyność inne firmy będą musiały kupować licencje od właściciela patentu (i wcale nie jest to przesada – w USA, gdzie patentowanie algorytmów jest dopuszczalne, internetowy sklep Amazon.com zastrzegł sobie prawa do dokonywania e-zakupów za pomocą jednego kliknięcia myszką).
Rozczarowania decyzją Rady nie kryją przedstawiciele organizacji sprzeciwiających się patentom. – To niedobry dzień dla europejskich małych i średnich spółek informatycznych. Bo w normalnych warunkach, wspólne stanowisko Rady staje się prawem. Na szczęście to nie są normalne okoliczności, i tę dyrektywę można jeszcze zablokować – powiedział „Gazecie” Florian Müller, organizator kampanii „Nie patentom software’owym” (zaangażowały się m.in. takie firmy jak Red Hat – znany dystrybutor systemu Linux, MySQL, GMX). Müller podkreśla, że jego organizacja (podobnie jak inne) nie sprzeciwia się samemu pomysłowi uporządkowania unijnego systemu patentowego. Chcą jedynie gwarancji, że nie można patentować algorytmów informatycznych.
Całego zamieszania nie byłoby, gdyby wcześniej Komisja Europejska spełniła prośbę Parlamentu Europejskiego sprzed kilku tygodni i cofnęła dyrektywę do pierwszego czytania. Jednak szef Komisji Jose Manuel Barroso nie posłuchał próśb eurdeputowanych i dyrektywy nie cofnął, dając Radzie Ministrów UE możliwość ostatecznego potwierdzenia jej stanowiska. Przedstawiciele Komisji Europejskiej niechętnie wyjaśniają, dlaczego. – Decyzję podjął przewodniczący Barroso – ucina Danuta Hübner, polska komisarz ds. polityki regionalnej.
Jeśli tylko Parlament coś zmieni…
Polski rząd zapewnia jednak, że walka o patenty wcale się nie kończy. Teraz projekt trafia do drugiego czytania – najpierw w Parlamencie Europejskim, a potem, ewentualnie, w Radzie Ministrów UE.
– Jeżeli Parlament zgłosi do dyrektywy poprawki, to znów dojdzie do dyskusji na forum Rady Ministrów UE. I wówczas będziemy mogli coś zrobić – wyjaśnia „Gazecie” wiceminister nauki Włodzimierz Marciński. Jeżeli jednak PE nie zgłosi poprawek, to wówczas dyrektywa staje się prawem. A trudno przewidzieć co postanowią eurodeputowani. Żeby zgłosić poprawki do dyrektywy, w PE musi pojawić się większość 367 deputowanych (na 732). Na rozpatrzenie tekstu mają cztery miesiące.
I przez ten czas lobbyści takich koncernów jak Nokia, Siemens, Alcatel i Microsoft nie będą próżnowali. Trzeba pamiętać, że lobbying w Brukseli to potężna machina, roczne dochody ponad 2,5 tys. związanych z nim firm szacuje się na 90 mln euro.
– Chyba lepiej tę dyrektywę w ogóle odrzucić, niż przyjmować ją w obecnym kształcie – uważa wiceminister Marciński. To jednak oznaczałoby, że europejskie prawo patentowe zostanie uporządkowane najwcześniej za 2-3 lata.
…zgłosimy mnóstwo poprawek i zablokujemy?
Jeżeli Parlament zdoła wprowadzić poprawki, to wówczas II czytanie dyrektywy odbędzie się także w Radzie UE, gdzie każde państwo ma prawo zgłosić dowolne poprawki. Już wczoraj zapowiedziały to Polska, Dania, Cypr, Łotwa, Węgry i Holandia. To wystarczy, by dyrektywę zablokować. Najdłuższa jest nasza lista zastrzeżeń. Według ministra nauki Michała Kleibera chcemy:
wyjaśnić sprzeczne zapisy w art. 4 i 5, które w rzeczywistości dopuszczają możliwość patentowania programów komputerowych, choć teoretycznie nie było to celem dyrektywy; zabronić z całą pewnością patentowania programu komputerowego w oderwaniu od przedmiotu, którego dotyczy (np. programu działania pralki), wprowadzić do dyrektywy przykłady tego, co można i czego nie wolno byłoby patentować; skłonić Komisję Europejską, by dołączyła szacunki skutków finansowych wprowadzenia dyrektywy.
Jeśliby jednak uwzględnić wszystkie polskie wnioski to niemal na pewno nie dojdzie w ogóle do przyjęcia dyrektywy. – Kontrowersje są bardzo poważne. Nie wiem czy uda się uzgodnić stanowisko między Parlamentem, Komisją i Radą UE w przewidywanym terminie, czyli do wiosny 2006 r. – mówił minister Kleiber. Komisarz ds. jednolitego rynku Charlie McCreevy ma tego pełną świadomość, dlatego zapowiedział, że Bruksela szukać będzie kompromisu.
Źródło informacji: Gazeta Wyborcza