Archiwa tagu: bezpieczeństwo

Ankieta dotycząca przechowywania kopii MASTER w polskich bibliotekach cyfrowych

Zapraszamy wszystkich Państwa do wypełnienia ankiety dotyczącej przechowywania kopii MASTER w tworzonych przez Państwa bibliotekach cyfrowych. Ankieta jest adresowana do instytucji, które tworzą bądź współtworzą biblioteki cyfrowe. Wyniki zostaną wykorzystane w czasie prac realizowanych przez PCSS w ramach projektu SYNAT (http://www.synat.pl) i zostaną opublikowane w formie raportu.

Ankieta będzie dostępna do 12 stycznia 2012 pod tym adresem.

Z góry dziękujemy za pomoc.

Krytyczna luka w Javie załatana

Jakiś czas temu świat obiegła informacja o znalezieniu krytycznej luki bezpieczeństwa w JRE (Java Runtime Environment), która pozwalała za pośrednictwem komponentu Java Web Start uruchomić dowolny kod.

Dla przykładu błąd mógł zadziałać w momencie próby uruchomienia apletu Javy na dowolnej stronie HTML. Problem polegał na tym, iż nie istniał żaden mechanizm walidacji parametrów przekazywanych do wewnętrznie wywoływanej komendy „javaws.exe” tak, że odpowiednio przygotowany kod HTML umożliwiał przeprowadzenie ataku i wywołanie złośliwego kodu. Luka dotyczyła przede wszystkim systemów operacyjnych z rodziny Windows, choć prawdopodobnie było możliwe przeprowadzenie ataku również na systemach Linux.

Początkową reakcję ze strony Oracle trudno byłoby nazwać odpowiedzialną – mimo zanotowanych ataków, łata nie została przygotowana w trybie natychmiastowym; jednak dzięki działaniom i nagłośnieniu sprawy przez testerów bezpieczeństwa, firma zdecydowała się wydać (z lekką zwłoką) poprawkę luki wraz Java 6 Update 20. W samej notce do wydania Update 20 można znaleźć niepozorną informację o poprawie błędu; przetestowano również rozwiązanie i zaproponowany przez m.in. Travisa Ormandy z Google Security Research, sposób na włamanie nie jest już skuteczny.
Równolegle sposób na włam zaproponował także Ruben Santamarta, którego kod proof-of-concept można prześledzić na stronie : http://www.exploit-db.com/download/12122.

Ostatecznie lukę załatano, dzięki czemu po instalacji poprawki korzystanie z rozwiązań Java Web Start Framework powinno być bezpieczne. JWS jest ogólnie znanym i często stosowanym standardem – również w dLibrze, gdy z poziomu aplikacji czytelnika uruchamiamy aplikację administratora/redaktora.
Wszystkim, którzy jeszcze tego nie zrobili polecamy niezwłocznie zainstalować najnowszą poprawkę JRE.

Safe Browsing Diagnostic

Google udostępniło narzędzie do sprawdzania bezpieczeństwa stron WWW, które zamierzamy przeglądać. Opis narzędzia dostępny jest m.in. tutaj.

Jego użycie jest bardzo proste – przygotowując odpowiedni link można sprawdzić bezpieczeństwo dowolnego adresu WWW. Na przykład: http://www.google.com/safebrowsing/diagnostic?site=http://dl.psnc.pl/.

Dostępny jest również raport techniczny opisujący zasady tego działania narzędzia Google.