Open source webové aplikácie častým zdrojom zraniteľností

Spoločnosť Qualys zameraná na počítačovú bezpečnosť vydala varovanie týkajúce sa zraniteľnosti populárnych open source webových aplikácií, ktoré tak pre mnoho organizácií prinášajú vysoké riziko. A to často úplne zbytočne, pretože by stačilo ich pravidelne aktualizovať na najnovšie verzie.

Zraniteľnosti v číslach
Podľa aktuálnych údajov zverejnených spoločnosťou Qualys vykazuje kritickú zraniteľnosť konkrétne 91 % webov využívajúcich open source blogovací nástroj Movable Type, ďalej 92 % webov používajúcich systém na správu obsahu Joomla!, 95 % tých, ktorých prevádzkovatelia sa rozhodli pre wiki systém MediaWiki, a 85 % webov využívajúcich softvér na správu databázy phpMyAdmin.

Úplne najhorší výsledok z hľadiska kritických zraniteľností potom podľa Qualysu vykazuje systém pre diskusné fóra phpBB, ktorý vo všetkých prípadoch (100 %) preukázal nedostatočnú bezpečnosť. Trochu lepšia je situácia pri Moodle (74 % zraniteľných webov), pri Drupale (70 %) a pri publikačnom systéme SPIP (65 %). Jedinou svetlou výnimkou bol WordPress, ktorý vykazoval zraniteľnosť len na 4 % všetkých sledovaných lokalít, čo je podľa zástupcov Qualysu dané dobre zvládnutým systémom aktualizácií, ktorým WordPress disponuje.

CTO spoločnosti Qualys Wolfgang Kandek hovorí, že štandardné webové aplikácie sú obľúbeným cieľom útočníkov, ktorí ich zneužívajú na distribúciu malwaru. Práve staré verzie aplikácií sú podľa neho „chorobou“ súčasného internetu a vo veľa prípadoch by na vyriešenie problémov stačilo, aby správcovia príslušných lokalít boli na zastaranosť upozornení.

Zisťovanie aktuálnosti
Prezentované údaje pochádzajú zo vzorky 1 084 152 webov, ktoré sleduje nástroj BlindElephant, čo je open source nástroj, šírený pod licenciou LGPL, ktorý Qualys vydal práve na účel hľadania zastaraného softvéru. Cieľom je „neinvazívne“ overovať verzie webových aplikácií na základe porovnávania hashov (odtlačkov) súborov s predpočítanými hashmi v databáze. Netestujú sa teda priamo zraniteľnosti, ale primárne verzie používanej aplikácie, z ktorej potom možno ľahko odvodiť riziká, ktoré prináša. Kandek dodáva, že pre mnoho administrátorov je ťažké neustále sledovať dostupnosť posledných verzií nimi používaných aplikácií a cieľom je uľahčiť im túto činnosť.

Tento nekomerčný nástroj totiž môžu organizácie využívať na sledovanie verzií aplikácií využívaných na beh vlastných webov a podľa Qualysu je potrebné, aby sa spoločnosti o bezpečnosť svojich webových aplikácií začali aktívne zaujímať a urobili maximum na odstránenie zraniteľností. Vývojári by však takisto mali začať rozširovať svoje produkty o systémy automatickej aktualizácie, tak ako je to napríklad pri internetových browseroch.

Komunita združená okolo vývoja nástroja BlindElephant sa teraz chce sústrediť na zvyšovanie počtu hashov dostupných webových aplikácií, ktoré sa môžu následne porovnávať. Tieto odtlačky sú vytvárané pre všetky súbory spojené so sledovanými aplikáciami, čím sa má dosiahnuť čo najväčšia precíznosť pri identifikácii ich verzií.

Zdroj: computerworld.cz


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter