|
|
| Новости - Галерея - Форум - Трекер - Wiki - Поиск |
| Новости - Security | [Добавить] [Архив] [RSS] |
Утилита lppasswd, из пакета cups, оказалась уязвима к атаке типа format string, связанной с некорректой обработкой переменных окружения. Уязвимость позволяет злоумышленнику, имеющему доступ к серверу печати, выполнить код с правами суперпользователя.
Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian
>>> Подробности
Чешские исследователи обнаружили появление в сети нового ботнета, распространение которого осуществляется через Linux-роутеры и DSL-модемы.
Об инциденте сообщил Ян Выкопал (Jan Vykopal), возглавляющий отделение сетевой безопасности в институте информационных технологий Университета им. Масарика (Брно, Чехия). Ботнет окрестили «ботнетом Чака Норриса», поскольку в распространяемом исходном коде содержится комментарий на итальянском языке, который переводится как «во имя Чака Норриса».
Новый ботнет распространяется через Linux-устройства с архитектурой MIPS, владельцы которых не позаботились о том, чтобы установить сложную комбинацию из имени пользователя и пароля на управление (панель администрирования доступна через веб-интерфейс). Помимо роутеров и DSL-модемов ботнет заражает и спутниковые ТВ-ресиверы. Сообщается, что география ботнета уже весьма широка: зараженные устройства найдены и в Южной Америке, и в Европе, и в Азии.
Сам бот помещается в оперативную память и начинает сканировать сеть на наличие других уязвимых устройств. Его управление осуществляется через IRC. Чтобы избавиться от бота, достаточно просто перезагрузить устройство.
Вышла финальная версия OpenDNSSEC - открытого инструмента обеспечения безопасности DNS.
OpenDNSSEC охватывает весь процесс DNSSEC, включая управление ключами безопасности, и значительно упрощает процедуру подписания зон. Программа представляет собой единое расширяемое решение, которое может быть легко интегрировано в существующую систему без необходимости в больших изменениях в инфраструктуре.
Особенности:
Программа доступна для всех Unix-подобных операционных систем и подходит для работы как с большими зонами (например, домены верхнего уровня), так и с множеством малых (хостинг, ISP).
К созданию OpenDNSSEC причастны такие организации, как .SE, NLnet Labs, Nominet, SIDN и SURFNet.
>>> Подробности
Canonical анонсировала несколько часов назад появление обновления ядер для Ubuntu 6.06 LTS (Dapper Drake), Ubuntu 8.04 LTS (Hardy Heron), Ubuntu 8.10 (Intrepid Ibex), Ubuntu 9.04 (Jaunty Jackalope) а так же для последней стабильной версии Ubuntu 9.10 (Karmic Koala). Обновление так же доступно для Kubuntu, Xubuntu, Edubuntu. Обновление включает в себя 10 патчей, закрывающих различные уязвимости, в том числе патчи для : Ext4 и HFS, FUSE, Jumbo Frames и др.
В серверной части популярной реализации SMB/CIFS для *nix-систем Samba обнаружена уязвимость, позволяющая удаленному пользователю выйти за пределы каталога ресурса (share) и получить доступ к корневому каталогу системы.
Для успешной эксплуатации данной уязвимости злоумышленнику необходим доступ на запись в какой-либо ресурс на атакуемой системе. Используя специально модифицированный smbclient (см. ниже), он может создать символьную ссылку на каталог, находящийся одним или нескольким уровнями выше (../../.. и т.п.), после чего перейти по этой ссылке. Полученный им доступ будет ограничиваться полномочиями того пользователя, из-под которого осуществляется доступ к ресурсу (например, при анонимном доступе этот пользователь определяется параметром guest account).
Таким образом, на большинстве конфигураций злоумышленник сможет, к примеру, залить свои файлы в /tmp или стянуть /etc/passwd, но у него не получится утащить /etc/shadow.
В качестве workaround рекомендуется запрещать следование по символьным ссылкам (follow symlinks = no), разрешенное по умолчанию.
Ниже представлен патч, превращающий обычный smbclient3 в орудие для атаки:
--- samba-3.4.5/source3/client/client.c 2010-01-18 14:38:09.000000000 +0300
+++ samba-3.4.5/source3/client/client.c 2010-01-18 14:38:09.000000000 +0300
@@ -2754,15 +2754,13 @@
return 1;
}
oldname = talloc_asprintf(ctx,
- "%s%s",
- client_get_cur_dir(),
+ "%s",
buf);
if (!oldname) {
return 1;
}
newname = talloc_asprintf(ctx,
- "%s%s",
- client_get_cur_dir(),
+ "%s",
buf2);
if (!newname) {
return 1;
Патч подготовлен для клиента из комплекта Samba 3.4.5.
Также доступно видео с подробной демонстрацией атаки.
>>> Подробности
Google практически закончила переговоры с американским Агентством Национальной Безопасности (NSA). В дальнейшем стороны подпишут соглашение о тесном сотрудничестве в совместной борьбе с киберпреступностью.
Инсайдеры в Google утверждают, что это соглашение вовсе не подразумевает, что правительство США получит доступ к любым данным пользователей, работающих со службами интернет-гиганта. Источники подчеркивают, что Агентство национальной безопасности не сможет просматривать поисковые запросы и электронную почту пользователей.
Договор подпишут под предлогом расследования обстоятельств последней атаки хакеров на Google, а также создание эффективной защиты интернет-гиганта и его пользователей от будущих нападений.
>>> Подробности
Lighttpd версий до 1.4.26 и 1.5.x, выделяет буфер памяти для каждой операции чтения во время запроса. Это позволяет вызвать отказ в обслуживании (lighttpd начинает кушать всю доступную память), если разбить запрос на множество кусочков, отправляемых через большие промежутки времени. Принцип атаки: разбиваем запрос на байты и после каждого отправленного байта делается относительно небольшая пауза, например, в десятые доли секунды.
Баг трекер (код для атаки + патч)
Пререлиз 1.4.26 (исправленный)
>>> Подробности
iSecur1ty анонсировала первую версию iScanner 0.1. iScanner - это бесплатный инструмент с открытым исходным кодом, который позволяет легко и автоматически обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.
iScanner разработан iSecur1ty на языке программирования Ruby, текущая версия программы 0.1 была выпущена 31.01.2010 под лицензией GNU Affero General Public License 3.0.
Функции iScanner:
Получить iScanner 0.1 можно здесь.
Nikto - мощный сканер web-серверов на предмет наличия уже известных или потенциальных уязвимостей в используемом ПО, и неправильных конфигураций. Nikto также ищет устарелое программное обеспечение и модули, поддерживает просмотры через прокси, аутентификацию хоста и SSL, легко обновляется через интернет.
В новой версии:
Полный список изменений смотрите в файле CHANGELOG.txt
Скачать .bz2: http://cirt.net/nikto/nikto-2.1.1.tar...
>>> Оф.сайт
Google собирается выплачивать вознаграждение за каждую найденную уязвимость в браузерах Chrome и открытой кодовой базе Chromium. Для рассмотрения будут приниматься уведомления об ошибках во всех ветках разработки (Stable, Beta и Dev), а также в библиотеках, интегрированных в кодовую базу браузера (WebKit, libxml, библиотеки сжатия и обработки изображений).
Размер денежной премии варьируется от 500 до 1337 долларов и зависит от степени опасности найденной уязвимости. Соискателям на вознаграждение желательно указать не только на проблемное место и описать концепцию проведения атаки, но и продемонстрировать работающий эксплоит. Наиболее активных участников поблагодарят на специальной странице сайта google.com.
Практика оплаты за обнаружения уязвимостей уже несколько лет применяется организацией Mozilla Foundation и по мнению Google демонстрирует отличные результаты.
>>> Подробности
Известная сеть для анонимизации трафика Tor подверглась взлому. В инфраструктуре проекта злоумышленники получили контроль над двумя из семи серверов директорий и над сервером накопления статистики metrics.torproject.org. После обнаружения факта вторжения, администраторы проекта вывели пораженные машины из сети и выполнили полную переустановку программного обеспечения, вместе с обновлением идентификационных ключей.
На одном из взломанных хостов находились GIT и SVN репозитории проекта. Взломщики успели только настроить вход по SSH ключам и использовали захваченные серверы для организации атаки на другие хосты. Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.
Атакующие не получили доступ к ключам шифрования сети Tor, но на всякий случай данные ключи были перегенерированы. Пользователям и администраторам узлов рекомендуется срочно обновить программное обеспечения Tor до версии Tor 0.2.1.22 или 0.2.2.7-alpha, в которых устранена приводящая к утечке информации уязвимость и обновлены v3-ключи идентификации.
В Tor и ранее фиксировались случаи получения злоумышленниками контроля за пограничными узлами (точками выхода) через которые осуществляется непосредственное обращение к запрошенным пользователями ресурсам. Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.
>>> Подробности
В библиотеке OpenSSL была обнаружена уязвимость, позволяющая злоумышленнику провести DoS атаку через исчерпание доступной памяти. Уязвимая функция CRYPTO_free_all_ex_data() используется в таких приложениях как Apache с модулем PHP.
>>> Подробности
После того, как Microsoft подтвердила использование уязвимости в IE во время декабрьских атак на Google и на ещё 33 организации, правительства Германии, Франции и Австралии решили предостеречь своих граждан от использования IE. Это привело к неожиданному эффекту: количество загрузок альтернативных браузеров Firefox и Opera резко возросло. Например количество загрузок Opera из Германии увеличилось более чем в два раза, а из Австралии - на 37%. Firefox наблюдает такой же эффект.
При этом сама Google отказалась предоставить статистику скачивания их собственного браузера Chrome.
>>> Подробности
Вышел первый стабильный релиз nmap с июля прошлого года, включающий в себя более 150 улучшений и исправлений, таких как:
Nmap — свободная утилита, предназначенная сканирования IP-сетей, определения состояния объектов сканируемой сети (портов и соответствующих им служб).
>>> Полный changelog
Завтра, 12 января, Oracle выпускает пакет из 24 критических обновлений безопасности для своих продуктов. Обновления исправляют известные уязвимости в таких продуктах Oracle как: Oracle Database (11g, 10g, 9i), Oracle Application Server 10g, Oracle WebLogic Server (10.0, 9.0, 8.1, 7.0), Oracle JRockit, Oracle Access Manager, Oracle E-Business Suite (12, 11i), PeopleSoft Enterprise HCM (9.0, 8.9), Primavera P6 (7.0SP1, 7.0, 6.2.1).
Согласно статье в The Register некоторые из этих уязвимостей позволяют получить удалённый контроль над системой, без необходимости знать какой либо пароль. В связи с этим Oracle настойчиво рекомендует установить данный пакет с обновлениями всем своим клиентам.
>>> Подробности
Компания FRISK Software, обновила свой антивирусный продукт - F-PROT для Linux. В новой версии был улучшен движок сканера, увеличен процент обнаружения и уменьшено количество ложных срабатываний.
Основные особенности антивируса:
Как пишет Джеффри Голдберг:
"Обычно утилиты для фильтрации спама, такие как, например, SpamAssasin задают правила, которые пытаются определить сообщения, датированные "далёким будущим". В то время, когда задавались некоторые из этих правил, 2010-й, по сути, был будущим. Но будущее уже наступило и сообщения с абсолюто честной и законной информацией о дате некорректно помечаются как спам"
>>> Ссылка на полную версию записи и способ решения проблемы
На днях в рассылке разработчиков netfilter/iptables появилось сообщение, рассказывающее об угрозах, создаваемых корректной обработкой активного режима FTP на примере Linux-фаервола netfilter (nf_conntrack_ftp и nf_nat_ftp).
Активный режим FTP работает следующим образом: сначала FTP-клиент инициирует TCP-соединение на FTP-сервер (обычно на порт 21) и регистрируется на нем (выполняет команды USER и PASS). При возникновении необходимости передать какие-либо данные, не являющиеся командами, клиент открывает один из своих портов на прослушивание и передает номер этого порта серверу в команде PORT, после чего сервер открывает на этот порт второе соединение (соединение данных, в отличие от первого — управляющего) и передает необходимые данные (например, файл или листинг каталога).
Так как номер клиентского порта для прослушивания обычно выбирается случайно, корректная обработка таких сеансов межсетевыми экранами и NAT представляет определенные трудности, которые разработчики фаерволов пытаются решить.
Например, в фаерволе netfilter, встроенном в ядро Linux, данная проблема решается путем использования специальных модулей ядра (так называемых conntrack helpers и NAT helpers), которые сканируют трафик, по специальным шаблонам выделяют передаваемые номера портов и обеспечивают их своевременное открытие, а также корректный проброс соединений через NAT.
В системе OpenBSD эта задача решается во многом аналогичным образом, однако вместо модулей ядра используется userspace-демон ftp-proxy, который добавляет соответствующие правила к нужным якорям (anchors) фаервола pf.
Важно отметить, что в любом случае корректная обработка активного режима FTP-связана с открытием на доступ извне порта на клиентском хосте.
Угроза, создаваемая подобными техническими средствами, обусловлена невозможностью отличить, инициируется ли соединение обычным FTP-клиентом на обычный FTP-сервер, или такое поведение имитируется злонамеренным ПО (malware). Например, используя технологии XMLHTTPRequest, Adobe Flash или Java-апплеты, злоумышленник может подготовить специальную web-страницу, при открытии которой на клиентском хосте может быть использована данная узвимость. Злонамеренный код, исполняемый на клиентском хосте, имитирует работу обычного FTP-клиента в активном режиме, отправляя на сервер злоумышленника команду PORT. В том случае, если межсетевой экран настроен на корректную обработку активного режима FTP, это приведет к открытию заданного клиенского порта для доступа с сервера злоумышленника.
Автор сообщения приводит также ссылку на git-репозитарий с комплектом ПО, разработанного специально для демонстрации этой уязвимости (проще говоря, эксплойтом).
Заметим, что к данной угрозе чувствительны не только персональные (работающие на клиентском хосте) фаерволы, но и традиционные межсетевые экраны, работающие на шлюзах и NAT. В последнем случае фаервол не только разрешит доступ к порту клиента в локальной сети, но и обеспечит проброс на этот порт соединения извне.
Ну и наконец, стоит заметить, что причины возникновения обсуждаемой проблемы лежат не в каких-либо ошибках при разработке фаерволов, а в изначальной некорректности (defective by design) принципов работы некоторых протоколов прикладного уровня, в частности, активного режима FTP.
>>> Подробности
С 28 по 30 декабря с 13:00 по 19:00 в здании математического факультета МПГУ будет проходить московское отделение 26-й конференции Chaos Communication Congress.
В рамках московского отделения планируется просмотр трансляций отдельных выступлений в Германии (как записей, так и realtime), живое общение, и, при желании участников выступить с докладом, проведение оных.
Для участия в московском отделении необходимо зарегистрироваться.
Chaos Communication Congress — ежегодная конференция по информационной безопасности, проводящаяся в Германии уже более 25 лет. 26c3 означает 26th CCC, 26-я конференция Chaos Communication Congress.
Контактная информация (организаторы):
Ссылки:
>>> Подробности
В сети уже свободно доступен exploit для критической уязвимости в Adobe Acrobat Reader, которая позволяет получить злоумышленнику полный доступ к системе пользователя в случая открытия специально подготовленного PDF документа, содержащего JavaScript код.
Компания Adobe подтвердила наличие уязвимости в Adobe Acrobat Reader для Windows, Macintosh и Linux, но обновление выйдет только через месяц, 12 января 2010 года. Тем временем, вы можете защитить свой компьютер несколькими способами:
Source: opennet.ru.
>>> Подробности
| ← предыдущие |
