Wszystko o podatność | Webinsider - Internet widziany od środka ™

Tag: podatność

Krótka historia o tym, jak Rosjanie złamali Signala… w niektórych mediach i na Twitterze, a wystarczyło kilka sekund, by zweryfikować tę informację

Przeglądając Twittera natknąłem się na tweety Piotra Woyciechowskiego, który nie jest na pewno postacią anonimową, a i raczej coś tam „o świecie” chyba powinien wiedzieć, bo jak podaje Wikipedia, to: „polski urzędnik, ekspert ds. służb specjalnych, publicysta, działacz gospodarczy”. Wiele z tego można pominąć, ale „ekspert ds. służb specjalnych” pasuje do kontekstu chyba jak znalazł. A ów kontekst to już wspomniane tweety, z których dowiedziałem się, że „jak podaje The New York Times, Rosjanie posiadają narzędzia umożliwiające skuteczne hakowanie WhatsAppa i Signala”. Z racji tego, że sam korzystam z Signala, i choć „branża” jakby przegapiła tę „podatność Signala”, postanowiłem przyjrzeć się bliżej tematowi.

Hosting przyjazny dla WordPressa, czyli na co zwracać uwagę wybierając hosting dla strony na WordPressie

Panel WordPress jest wygodny w obsłudze, a przy tym oferuje bardzo duże możliwości. Jednak, żeby stworzyć stronę w oparciu o taki silnik, konieczne jest jej umieszczenie na serwerze. Wybierając hosting dla strony opartej na silniku WordPress zwróć uwagę na kilka szczegółów. Dowiedz się, co powinno zwrócić Twoją uwagę.

Potencjalnie groźna podatność w popularnej wtyczce Contact Form 7 do WordPressa, choć to chyba „z dużej chmury mały deszcz”

Wczoraj wieczorem na moim telefonie pojawiła się informacja, która sprawiła, że natychmiast odpaliłem system automatycznie aktualizujący wszystkie strony, którymi się opiekuję. Informacja dotyczyła Contact Form 7, czyli jednej z najpopularniejszych wtyczek do formularzy kontaktowych w WordPressie (ponad 5 milionów aktywnych instalacji, i to tylko tych z repozytorium WordPress.org). Nagłówki kolejnych alertów (i informacji) grzmiały o możliwości podrzucenia na serwer np. pliku PHP, a tym samym – przynajmniej potencjalnie, jeśli ktoś nie używa PHP Pools i/lub open_basedir – przejęcia całego serwera. Brzmiało groźnie, więc na szybko, w międzyczasie jak prewencyjnie aktualizowały się strony, postanowiłem przeczytać, co o tej podatności w internetach piszą… Podwójne znaczenie.

Usługa powiadomień o (nowych) podatnościach WPScan Vulnerability Email Alerts (tylko) z płatną subskrypcją

Wprawdzie serwis WPScan Vulnerability Database przewinął się na łamach Webisndier.pl „tylko” kilka razy, to jest to chyba jedyny serwis, na którego „newslettery” zawsze patrzę. Może dlatego, że zazwyczaj są to informacje o podatnościach w WordPressie, czy też wtyczkach i motywach do niego. I choć każdy takie e-mail potencjalnie może oznaczać, że na którejś ze stron, które mam pod opieką jest jakaś podatność, to zdecydowanie wolę to wiedzieć, zanim dowiedzą się ci, co nie powinni…

Pobieranie (płatnych) wtyczek i motywów do WordPressa z „nieoficjalnych stron” (nie tylko) w kontekście bezpieczeństwa

Kilka dni temu, podczas rozmowy ze znajomymi pojawił się temat płatnych motywów i wtyczek do WordPressa, które – w pewnym uproszczeniu – często „muszą” być wydawane na licencji jak WordPress, czyli GPL. Ma to takie znaczenie, że teoretycznie tak zakupiony produkt (wtyczka, motyw) może być dalej legalnie dystrybuowany. Korzystają z tego (trochę, bo często tam i tak nikt licencjami się nie przejmuje) różne serwisy, z których można pobrać bezpłatnie płatne wersje motywów i wtyczek. Ale jak to w życiu bywa – na koniec dnia każdy biznes musi (na czymś) zarabiać, również ten „piracki”.

Poważna podatność we wtyczce WP Live Chat Support (również w wersji „pro”) do WordPressa, którą należy pilnie zaktualizować

Nie będę leciał tzw. „clickbaitami”, czyli tytułami, które mają nakłonić jak największą liczbę osób do odwiedzenia danej strony w stylu „trwają masowe ataki na strony oparte na WordPressie”, czy też nie mniej alarmistycznie: „strony na WordPress zagrożone – wymagane działanie”, z których niczego konkretnego się nie dowiecie. Ale faktem jest, że jeśli korzystacie ze wtyczki WP Live Chat Support (również w wersji płatnej, czyli „pro”) do WordPressa, to czym prędzej dokonajcie aktualizacji, bo zagrożenie faktycznie jest dość poważne.

Aktualizacja phpMyAdmin, czyli oprogramowania wspomagającego zarządzanie bazami danych

Choć często pracuje na bazie danych bezpośrednio z konsoli (np. import i eksport), to czasami korzystam z oprogramowania phpMyAdmin, które w pewnym sensie upraszcza codziennie operacje na bazach danych. Dziś pojawiła się wersja oznaczona 4.8.4, w której załatano 3 podatności. Pomyślałem, że przy tej okazji warto napisać jak dokonać aktualizacji phpMyAdmin do nowszej wersji.

Aplikacja Signal Desktop (Windows i Mac) z jawnym hasłem do zaszyfrowanej lokalnej bazy danych (SQLite)

Z racji tego, że korzystam z komunikatora Signal, kolega – który też z niego korzysta – podesłał mi link do artykułu, w którym opisana jest pewna „podatność” w desktopowej (Windows i Mac) komunikatora, która pozwala na relatywnie łatwe odczytanie zaszyfrowanej bazy danych, w której znajdują się m.in. odebrane i wysłane wiadomości. Nie zdziwiło mnie to, gdyż… sam jakiś czas temu, szukając pewnej informacji postanowiłem dobrać się do pliku SQLite wykorzystywanego przez aplikację Signal, i nie było to trudne…

Sprawdź, czy ostatnie naruszenie bezpieczeństwa na Facebooku (nie) dotyczy (również) Twojego konta

Facebook nie ma ostatnio dobrej passy – jak nie jakiś skandal z wykorzystywaniem danych użytkowników, to problem(y) z bezpieczeństwem. Ostatnio Facebook musiał zresetować tokeny dostępu do prawie 90 milionów kont, co od strony użytkownika objawiło się koniecznością ponownego logowania do serwisu. Przynajmniej u tych użytkowników, których (potencjalnie) dotknął problem…

WordPress i CVE-2018-6389, czyli prosty sposób na atak DoS (Denial-of-Service, czyli odmowa dostępu) na Twoją stronę

Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od Cloudflare).

Elegant Themes Security Update, czyli wyciekająca „zajawka” chronionego hasłem posta

Wczoraj, z powodu błędu (podatności XSS)  w flashowym module do wgrywania mediów aktualizowaliśmy WordPressa do wersji 4.9.2, dziś z kolei aktualizujemy motywy (Divi, Extra) i wtyczki (Page Builder) od Elegant Themes, zwłaszcza, jeśli korzystacie ze stron zabezpieczonych hasłem (jedna z natywnych funkcji WordPressa).

Meltdown i Spectre, czyli podatności na właściwie wszystkie współczesne procesory Intel, ARM i (częściowo) AMD

Rok 2017 pod względem zagrożeń i (kolejnych) luk w oprogramowaniu i sprzęcie na pewno nie był nudny. Wystarczy wspomnieć choćby podatność w WordPressie związaną z REST API, Cloudbleed, czyli podatność w usłudze Cloudflare, błąd CVE-2016-10229, pozwalający na wykonanie w Linuksie kodu z uprawnieniami jądra, ataki oprogramowania typu WannaCry (szyfrowanie danych), możliwość zdalnego wykonania kodu na komputerze za pomocą… napisów do filmu, „bonusowe oprogramowanie” w aplikacji CCleaner, podatność w protokole Bluetooth (BlueBorne), podatność w Intel Managment Engine, czy też KRAK, czyli zbiorze podatności w protokole WPA2 (WiFi), o czym wprawdzie „nie zdążyłem” napisać, ale na szczęście świat się nie zawalił… ;-)
Ale już wygląda na to, że to była tylko rozgrzewka, bo początek roku to właściwie globalna podatność w procesorach – głównie Intela, ale też i AMD, oraz ARM (urządzenia mobilne).

Intel-SA-00086 Detection Tool, czyli szybki test na podatność związaną z Intel Management Engine

Ostatnio po necie hulają informacje o podatności w Intel Management Engine, co pozwala – w pewnych okolicznościach – przejąc kontrolę nad komputerem. Jest to o tyle niebezpieczne, że IME działa niezależnie od głównego systemu operacyjnego, BIOSu/UEFI, za co odpowiada układ PCH. Z założenia rzecz przydatna – choć raczej w większych firmach, ale jak widać, w końcu, po kilku latach i tu znaleziono podatności.

BlueBorne, czyli miliardy urządzeń z Bluetooth mogą stać się (ewentualnie) potencjalnym celem ataków

Z tematem „wyłącz natychmiast bluetooth, bo otworzył on w miliardach urządzeń drzwi hakerom” miałem poczekać, aż zostaną opublikowane pełne szczegóły ataku/zagrożenia, tak by móc choćby w przybliżeniu ocenić na ile jest to faktyczne zagrożenie (w takiej skali), a na ile „marketing” firmy stojącej za odkryciem. Zdanie zmieniłem, bo już kilka osób podesłało mi dziś linki do serwisów, które opisują jakąś apokalipsę, i jeszcze chwila i ludzie zaczną masowo palić urządzenia z tym interfejsem (Bluetooth).

Raspbian Stretch, czyli Debian 9 oficjalnie wylądował na Raspberry Pi

W czerwcu mieliśmy oficjalną premierę systemu Debian 9 „Stretch” (ale nadal jeszcze większość serwerów/VPSów trzymam na Jessie), a dziś na oficjalnym blogu Raspberry Pi pojawiła się informacja, że najnowsza odsłona Debiana pojawiła się również na Malinie.

Loading

Wesprzyj nas!

Postaw nam kawę!

Promocja własna

Wdrożenie Omnibusa w sklepie na WooCommerce

Promocja własna

LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly

Promocja własna

Jak (legalnie) latać dronem w Kategorii Otwartej

Pin It on Pinterest