AJPES z varnostno luknjo

Pred dnevi je bilo na portalu Slotech videti, da so prejeli anonimno obvestilo, ki opozarja na varnostno luknjo v Agenciji RS za javnopravne evidence in storitve (AJPES). S pomočjo t.i. SQL vrivanja (SQL Injection) je (bilo) namreč iz zalednega sistema dosegljivo 59 baz z imeni CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP itd. Gre torej za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva itd. Baze so morda le testne, vendar vsebujejo realne podatke. Zaenkrat ni dokazov, da bi bili dosegljivi podatki kakorkoli odtujeni in zlorabljeni; SI-CERT pravi, da bo to dokončno potrdila ali ovrgla analiza podatkov na AJPESu.

Varnostno luknjo so pri AJPESu že zakrpali.

Slo-Tech: Najdena resna varnostna ranljivost v AJPES-ovi podpisni komponenti


GUTE-URLS

Wordpress is loading infos from slo-tech

Please wait for API server guteurls.de to collect data from
slo-tech.com/novice/t694978

Danes je bilo na Slo-Tech objavljeno, da je bila najdena varnostna ranljivost v AJPES-ovi podpisni komponenti.

Delček iz Slo-Tech:

“V nedeljo popoldan se je na nas (in na SI-CERT) preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.”

Več pa si lahko preberete na njihovi spletni strani: