Nie zapomnij o patchu dla Weblogic

2010-02-11 10:39

Po prezentacji Davida Litchfielda na konferencji BlackHat wszyscy zaczeli mówić o nowym exploitcie zero-day dla Oracla. Tymczasem 10 lutego Oracle wysłał przypomnienie o konieczności jak najszybszej instalacji poprawki dla Node Managera będącego komponentem WebLogic Server. Poprawka adresuje podatność CVE-2010-0073 (http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html ); alert został opublikowany 4 lutego 2010.

Oczywiście każdej podatności przypisuje się poziom krytyczności. Oracle poszedł nawet krok dalej i w swoich alertach używa klasyfikacji CVSS (http://www.first.org/cvss/ ) co w znaczy sposób ułatwia klasyfikację poprawek po stronie klientów. Jednak gdy media opisują konkretną podatność łatwiej jest zignorować inne. I choć mogą się one wydawać mniej ważne to należy pamiętać, że każda podatność powinna być zaadresowana. Często dopiero „złożenie” serii podatności pozwala na penetrację systemu. Oczywiście taka taktyka jest niedostępna dla osób korzystających tylko ze skanera zabezpieczeń lub framework’ów do testów penetracyjnych. Nie oznacza to jednak że nie można dowolnie ignorować wybrane podatności. Doskonałym przykładem dla poparcia tej tezy niech będą setki podatności, które pierwotnie zostały sklasyfikowane jako odmowa usługi a po dokładnej analizie okazywało się, że zdalne wykonanie kodu jest jak najbardziej możliwe co otwierało furtkę do powstania stabilnie działających exploitów.

Z drugiej strony trzeba przyznać że cześć producentów systemów bazodanowych dokonała wielu pozytywnych zmian w zakresie bezpieczeństwa swoich produktów. Nadal jednak krytyczne podatności będę identyfikowane w tych produktach . Powodem tego jest duża powierzchnia ataku oraz wysoki poziom skomplikowania zarówno na poziomie architektury jak i samego kodu. Z drugiej strony na rynku nadal dostępnych są setki produktów wykorzystujące popularne systemy bazodanowe w sposób niebezpieczny. Cóż z tego, że w na przykład konta „sa" od kilku wersji MS SQL Server ma przypisywane hasło podczas instalacji skoro są aplikacje które wymagają tego konta z pustym hasłem do poprawnego działania…

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej