»

Odkrit resen hrošč v PHP 5.3.7

Slashdot - V prejšnji teden izdani novi verziji skriptnega jezika PHP 5.3.7 so odkrili resno ranljivost, zaradi katere avtorji priporočajo, da z nadgradnjo počakamo. Čeprav je bila inačica 5.3.7 izdana prav z namenom počistiti zalego hroščev, kar ji je dobro uspelo, je prinesla novega.

Odkrili so namreč napako v kriptografski funkciji crypt(). Kadar ta uporablja kodirni algoritem MD5, potem vrača enostavno le vrednost uporabljenega salta. Pri uporabi drugih algoritmov, recimo Blowfish ali DES, težav ni. Napaka je bila odkrita in javljena v sredo, dan pred izidom nove verzije. Razvijalci so problem že diagnosticirali in izdelali popravek, ki bo vključen v PHP 5.3.8, ki bo izšel kmalu. Do takrat pa uporabnikom priporočajo uporabo PHP 5.3.6.

50 komentarjev

Skupina se opravičuje oboževalcem zaradi zaščite proti presnemavanju

The inquirer - Glasbena skupina Switchfoot, za katero osebno sicer še nisem slišal, se je na svojih koncertih in na Sony-evem glasbenem forumu opravičila svojim oboževalcem za zaščito, ki jim onemogoča, da bi si presneli njihovo glasbo na svoj računalnik in gizme, kot so ipod in podobna moderna čudesa.

Na forumu Tim Foreman, eden od članov skupine celo navaja več načinov kako zaobiti tole zaščito, ter jih tudi podrobno opiše.

Zanimivo je videti, da se celo glasbeniki ne strinjajo s trenutnimi določili o zaščitah avtorskih pravic, ki so, kot izgleda založbam precej bolj pomembne, kot ljudje, ki avtorska dela ustvarjajo..

17 komentarjev

80 odstotkov domačih računalnikov okuženih

The Register - Pred kratkim sta se AOL in National Cyber Security Agency malce poglobila v zaščito računalnikov povprečnega Janeza pred ZloKodo™ in to namreč z anketo.

In rezultati? Katastrofalni. Pri skoraj vsakem anketirancu so na računalniku našli vsaj en kos ZleKode™ in kar je še huje, večina uporabnikov ni bila seznanjena niti z osnovami varnosti, kot so razlika med antivirusom in požarnim zidom. Sicer je večina uporabnikov imela nameščen proti-virusni program, toda le-ta je bil pogosto naložen že ob nalaganju operacijskega sistema in večinoma od takrat nikoli ni bil posodobljen. Eden izmed anketirancev je celo imel 92 različnih virusev na enem računalniku, drugi pa neverjetnih 1.059 spyware in adware programov.

Še več, dve tretjini uporabnikov nista imeli niti požarnega zidu, od tistih ki pa so ga imeli, pa jih je bilo 14 odstotkov napačno nastavljenih. Ne glede na vse, pa je skoraj tričetrt uporabnikov vseeno izjavilo, da misli da je njih računalnik dovolj oz. zelo varen.

National Cyber...

53 komentarjev

FrontPage kleparji, pozor!

Vnunet - Velik in širok je razred onih, ki uporabljajo Microsoftovo orodje za hiter razvoj spletnih strani, FrontPage. Kakorkoli, v strežniškem pogonu, ki skrbi za delovanje 'obogatenih strani', pa se je z-našel Lukenj™, ki se nahaja v skripti za obdelavo obrazcev.

SmartHTML, kakor se skript imenuje, namreč trpi za travmo, ki bi Zlikovcu omogočila izvršitev ZleKode™ ter posledično DoS napad. Bolečine se nahajajo v verzijah 2000 in 2002 FrontPage Extensions, popravek pa je že na voljo. Klik!

3 komentarji

Lukenj™: Mozilla in JavaScript

Vnunet - V javnost so priculjali podatki o že nekaj mesecev starem koščku zgnile slame v Mozilli (ter na njej temelječih derivatih -- Galeon, Netscape...): ta namreč spletni strani, ki jo obiskovalec zapušča, posreduje URI strani, na katero se preusmerja. Klik!

Kakor se to morda ne sliši nevem kako nevarno, pa gre pri tem 'le' za t.i. 'privacy bug'. Namreč, ne smemo pozabiti, kaj URI predstavlja v primeru, da uporabnik obišče neko zasebno stran, ali pa recimo v URI-ju posreduje razne podatke (aktivne strani, '?userID='). Popravek še ni na voljo.

2 komentarja

Prosim, preglej ta dokument. Mimogrede mi...

Vnunet - ... lepo pošlji še zahtevani dokument, ki ga sam sicer nikakor ne bi smel dobiti. Pa saj sva kolega, kajneda?

Dotični zlobnež bo seveda imel kolega, če bo na drugi strani sedelo računalo z nameščenim Wordom (po možnosti 97 -- obseg Luknja™ še raziskujejo). Tega namreč heker zna s pravilno sestavljenim dokumentom, ki ga kolegu pošlje s prošnjo za revizijo (ter jo ta tudi odobri) prepričati, da poleg ključnega dokumenta priloži še kakšen drug dokument (ki ga heker zahteva). Microsoft slame še ni izdal -- ko jo bo, boste obveščeni. Klik!

Do takrat pa ne uporabljajte Worda. [:O]

4 komentarji

Lukenj™: PGP Corporate Desktop 7.1.x

The Register - Za vse, ki uporabljate to staromodno sredstvo zaščite ter ga v bližnji prihodnosti ne kanite odstraniti, priporočam namestitev nedavno izdanega popravka.

Odkrita je bila namreč težava pri obravnavanju datotek z imenom, daljšim od 200 znakov. 'Ustrezno' poimenovan zakriptiran filetek bi namreč znal izkoristiti buffer-overflow nemarnost, ki predstavlja potencialno nevarnost izvršitve ZleKode™. ♥, ni kaj.

3 komentarji

PGP: reinkarnacija ali reverzibilnost smrti?

The Register - Network Associates so končno pr[e/o]dali lastninske pravice na PGPju zainteresiranemu razvijalcu. Zimmermannov otročiček bo tako kaj kmalu ogledal naša okna ter jablane v obliki PGP Desktopa ver. 8, ki bi pravzaprav moral (mogel) že iziti, pa so ga tik pred tem popa(p)cali pri NAI-ju. 77c27c4b5007437de2385fb1e6aa5e04

Vsekakor upam, da to pomeni vrnitev kriptografskega sistema na stara pota (slave), saj razen PGPja svet ni ogledal noben konkurenčen sistem, ki bi osvojil množice v takem pomenu, kot je to storil dotični. Pa še končno bom lahko odkriptiral onih 20 slikic, ki sem jih 2 leti nazaj zakodiral...

0 komentarjev

PGP?

The Register - V Network Associates so se odločili, da razvijanje palete izdelkov za PGP šifriranje ni več v njihovem interesu, ter so praktično zelo okrnjen in vprašljiv paket patentov ponudili drugim podjetjem -- nepresenetljivo, tako osiromašen portfelj ni bil prav privlačen. Klik!

Verjetno se še spomnite govoričenja v ameriškem Kon-gresu, kjer so volilce iščoči senatorji pozivali k sprejetju novega zakona, ki bi tovrstne šifrirne postopke označil za nelegalne. No, če bi do tega dejansko prišlo, bi se tovrstna podjetja oz. izdelki znašli v težavah oz. bi njih razvoj postal kratkomalo nerentabilen.

0 komentarjev

Hecno - nevarni napajalniki

The Register - Se spomnite, kakšen vik in krik so zagnali vrli VIP-ovci (brez Pamele), ko so odkrili potencialno nevarnost napajalnikov pri zvočnikih, ki jih je (med drugimi) prodajalo podjetje Jerovšek Computers? No, žal je ostalo pri 'potencialni nevarnosti', medtem ko dejanskih napak oz. pomanjkljivosti sploh niso (dosledno) omenjali (kar se vsaj meni osebno zdi jako sporno ob dejstvu, kakšen medijski pomp so iz tega naredili).

Današnjemu Prometeju pa je ime CISCO. Namreč, podobno kot Compaq, se tudi proizvajalec predvsem mrežne opreme (usmerjevalniki...) spopada z težavnimi napajalniki, ki grozijo z nenapovedanim () staljenjem ter grožnjo električnega šoka - do sedaj naj bi bil znan 1 primerek nesreče, brez žrtev. Svojeglavi napajalniki (95.000 jih je) nosijo številko '34-0949-02', priloženi pa so bili ADSL usmerjevalnikom 827, 827-4V, 826, SOHO77, SOHO77-50 in 827-EUR. V kolikor kakšen primerek posedujete, se brž obrnite na Ciscovo spletno stran ali pa na 'brezplačni' telefon +1 (800)...

1 komentar