Lỗi cho phép upload file html lên máy chủ

Nguy cơ: Cao

Cảm ơn bạn Kataro92 thành viên của Bkav Forum đã thông báo lỗ hổng này tới chúng tôi. Theo chương trình Trao thưởng cho việc phát hiện lỗ hổng của Bkav, bạn Kataro92 sẽ nhận được 3.5 triệu VNĐ vì đã thông báo tới Bkav lỗ hổng này. Ngoài ra, bạn Kataro92 cũng sẽ nhận được 01 áo phông Bkav cùng 01 thẻ bản quyền Bkav Pro Internet Security thời hạn một năm.

Xin cảm ơn các bạn.

Trong quá trình thiết kế và phát triển các sản phẩm, Bkav luôn đề cao tính an ninh nhằm đảm bảo sự an toàn của người sử dụng. Tuy nhiên, như một quy luật tự nhiên, mọi sản phẩm đều có thể có lỗ hổng, bất kể nhà sản xuất đã áp dụng các quy trình nghiêm ngặt đến mức nào.

Trong thời gian qua, Bkav đã nhận được một số ý kiến đóng góp quý báu từ cộng đồng, giúp các sản phẩm an toàn hơn. Nhằm khuyến khích hơn nữa sự hợp tác giữa Bkav và cộng đồng nghiên cứu an ninh mạng tại Việt Nam, chúng tôi xin được thông báo về Chương trình Trao thưởng cho việc phát hiện lỗ hổng trong các sản phẩm của Bkav.

Nội dung Chương trình

• Phạm vi áp dụng: Tất cả các sản phẩm phần mềm, website của Công ty Bkav: Bkav Pro Internet Security, Bkav Home, eOffice, eGate…
• Thời gian áp dụng: Kể từ ngày 25/10/2010
• Lỗ hổng: Các lỗ hổng được thông báo tới Bkav phải là lỗ hổng an ninh và chưa từng được công bố. Việc xác định mức độ nguy hiểm của lỗ hổng sẽ do các chuyên gia của Bkav thực hiện (Đánh giá mức nguy hiểm dựa trên mức độ ảnh hưởng đến hệ thống và khách hàng của Bkav). 
• Các lỗi chức năng của phần mềm cũng được khuyến khích thông báo tới chúng tôi, tuy nhiên những lỗi chức năng không nằm trong phạm vi của Chương trình này
• Cùng một lỗ hổng được cảnh báo trên một module được sử dụng trên nhiều website khác nhau sẽ được tính là một lỗ hổng

Giải thưởng

• Giải thưởng có giá trị trong giới hạn từ 500.000 VNĐ đến 5.000.000 VNĐ, tùy theo mức độ nguy hiểm của lỗ hổng và mức độ ảnh hưởng tới hệ thống
• Ngoài ra, người phát hiện lỗ hổng được tặng 01 áo phông Bkav cùng 01 thẻ bản quyền Bkav Pro Internet Security thời hạn một năm

Thông báo tới Bkav

Nếu phát hiện các vấn đề mà bạn thấy đó có thể là lỗ hổng an ninh trong các sản phẩm của Bkav, bạn hãy gửi email thông báo cho chúng tôi theo địa chỉ: security@bkav.com.vn

Email thông báo cần có ít nhất những thông tin được liệt kê ở dưới đây, những thông tin này sẽ giúp chúng tôi xác định được rõ vấn đề mà bạn thông báo:

• Loại vấn đề cần thông báo: Buffer overflow, SQL Injection…
• Tên sản phẩm và phiên bản của phần mềm bị ảnh hưởng
• Từng bước thực hiện để tái lập được vấn đề
• Mã khai thác hoặc mã chứng minh sự tồn tại của vấn đề
• Nguy cơ của vấn đề, bao gồm cả việc hacker sẽ thực hiện như thế nào để tấn công

Thông tin liên hệ:

Công ty An ninh mạng Bkav

Địa chỉ : Toà nhà HH1 - Yên Hoà - Cầu Giấy - Hà Nội

Điện thoại : (04) - 3763 2552

Fax: (04) - 3782 2136

Email: security@bkav.com.vn

Website: www.bkav.com.vn

Thông tin chi tiết về quy trình cảnh báo lỗ hổng tới Bkav xin được xem tại đây.

Cải tiến

• Client hỗ trợ mô hình tham gia vào AD với user quyền bị giới hạn
• Thay đổi cơ chế query database, giảm số lần query
• Thêm công cụ chuyển công văn giữa các đơn vị  và áp dụng chữ ký điện tử, mã hoá, nén các công văn này

Xử lý vấn đề

Xoá mail không focus vào mail đầu tiên

Phiên bản cập nhật ngày: 12/11/2009

Cải tiến

Cải tiến tốc độ update từng phần trong phiên bản BkavPro 2009

Cải tiến tốc độ phân tích trong tính năng nhận diện theo độ tín nhiệm của BkavPro 2009

Xử lý vấn đề

1. Lỗi hiển thị các tab trên giao diện

Nguy cơ: Không

Cảm ơn bạn neo85 (vozforums.com) đã thông báo vấn đề này tới chúng tôi.

2. Lỗi gây crash khi quét file có header dị dạng

Nguy cơ: Thấp

Cảm ơn các bạn

• Nguyễn Duy Mạnh (xichbich/ddth.com)
• Lê Nguyên Dũng (dungcoi/virusvn.com) và Nguyễn Quốc Huy
• Trần Vũ Hùng (4npha/vn-zoom forum)

đã thông báo vấn đề này tới chúng tôi.

3. Lấy thiếu mẫu virus trong trường hợp tên file đặc biệt (module chuẩn đoán và lấy mẫu tự động)

Nguy cơ: Không

Cảm ơn Bkav Test Lab đã thông báo vấn đề này tới chúng tôi.

Tất cả các vấn đề trên đều đã được xử lý và đã được cập nhật từ phiên bản 2613

Cải tiến

• Mã hóa nội dung file account
• Thêm cơ chế cho phép người soạn văn bản có thể nhập thông tin phát hành văn bản
• Phân loại văn bản theo catalog

Xử lý vấn đề:

1. Lỗi tràn bộ đệm khi giải mã các trường From, To trong thư

Nguy cơ: Thấp

Cảm ơn MinhBQ đã thông báo vấn đề này tới chúng tôi

2. Lỗi mất focus khi có notify thông báo có thông tin mới

3. Chặn script, object, applet,..trong hiển thị nội dung HTML

Nguy cơ: Thấp

4. Lỗi Ghost characters

Nguy cơ: Trung bình