Новости «Безопасность»

Разработчики библиотеки libssh, предназначенной для интеграции поддержки SSH в программы на языке C, сообщили об устранении недоработки в механизме аутентификации.

Сервер успешно авторизовал злоумышленника, если тот вместо ожидаемого сервером сообщения SSH2_MSG_USERAUTH_REQUEST отправлял SSH2_MSG_USERAUTH_SUCCESS. Таким образом, злоумышленник мог полностью обойти этап аутентификации.

Уязвимости (CVE-2018-10933) подвержены все выпуски libssh, начиная с версии 0.6, выпущенной в январе 2014 года.

Проблема исправлена в выпусках 0.8.4 и 0.7.6.

>>> Подробности

Проект носит название CLIP OS, разрабатывается с 2005 года. Основной целью было создать создать ОС, отвечающую требованиям к безопасности, предъявляемым во Франции.

Проект создан на основе Gentoo Hardened с заимствованием некоторых решений из Chromium OS и Yocto. Все открытые компоненты опубликованы под лицензией LGPLv2.1+.

Для установки приложений используются портажи Gentoo.

В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.

>>> Подробности

Как сообщает компания ESET в репозиториях проекта Kodi (в прошлом XBMC) были обнаружены вредоносные дополнения для скрытого майнинга криптовалюты.

( читать дальше... )

>>> Подробности

В apk, стандартном пакетном менеджере Alpine Linux, были обнаружены несколько уязвимостей. Наиболее серьезная из них позволяет произвести исполнение вредоносного кода на машине пользователя.

( читать дальше... )

>>> Подробности

Linux Kernel Runtime Guard (LKRG) ― это экспериментальный модуль ядра, обеспечивающий контроль целостности и обнаружение работы эксплоитов, направленных на пространство ядра.

Изменения с предыдущей версии:

• Исправлена ошибка первого рода, вызванная потенциальным состоянием гонки, когда дочерний процесс может быть быстрее чем родительский процесс во время вызова fork().
• Изменена логика и уровень протоколирования для сообщений, выводящихся в случае описанного состояния гонки в fork().
• Измененены значения вероятностей во время запуска процедуры контроля целостности.

Как и ранее, этот релиз разработан Адамом «pi3» Заброцки. На этот раз это своего рода стабильный релиз. Также, недавно Адам рассказал о внутренней работе LKRG на конференции CONFidence в Кракове, Польша.

>>> Слайды с презентации

>>> Подробности

Группа исследователей из нескольких университетов обнаружила новые варианты эксплуатации уязвимости Rowhammer в подсистеме ION (драйвер памяти) являющейся частью ОС Android, используемом в Android-устройствах начиная с версии 4.0 «Ice Cream Sandwich» (устройства. выпущенные с 2012 года).

RAMpage схожа с уже известной атакой DRammer, воздействующей на аппаратную уязвимость Rowhammer и заключается в вынужденном переключении состояния ячеек DRAM — из-за высокой плотности компоновки ячеек становится возможно спровоцировать переключение соседних ячеек постоянной перезаписью памяти, доступной атакующему процессу. Атака RAMpage r0 заставляет ION путем исчерпания области highmem размещать страницы памяти непрерывно и поместить страницу памяти атакующего приложения в область lowmem, где после может быть расположена таблица страниц ядра. На этом этапе осуществляется поиск уязвимых к bit flip областей и после этого память освобождается обратно, что косвенным образом заставляет ION поместить системную память на уязвимую область физической памяти, где и осуществляется атака. По мнению специалистов проведение атаки возможно выполнить на большинстве современных устройств с памятью LPDDR2, LPDDR3 и LPDDR4.

Для снижения риска эксплуатации был опубликован инструмент GuardION, суть которого заключается в добавлении промежутков в памяти между страницами, не позволяющими исполнить такой вариант атаки.

>>> PDF с описанием атаки и описанием механизма работы GuardION

>>> Подробности

Организация Electronic Frontier Foundation предоставила новую инициативу - STARTTLS Everywhere, в рамках которой они предлагают повсеместное использование шифрования для серверов электронной почты. Эта инициатива дополняет предыдущую - HTTPS Everywhere, запущенную ещё в 2011 году и направленную на защиту трафика между браузером и веб-сервером.

Так же EFF запустила сервис, позволяющий проверить, поддерживает ли сервер STARTTLS, и какие алгоритмы он поддерживает (устаревшие и небезопасные SSLv2/SSLv3 или TLS). Сервис проверяет валидность используемого сертификата - многие сервера используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

В рамках инициативы представлен инструмент Certbot для автоматического получения сертификата Let's Encrypt и быстрого конфигурирования сервера для его использования. Помимо этого, создана утилита для обновления списка серверов, уже поддерживающих STARTTLS, которая поможет избежать атак, связанных с использованием устаревшего ПО.

>>> Подробности

Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

>>> Далее...

В пакете procps-ng версии 3.3.15, используемом многими дистрибутивами предоставляющими традиционные программы free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w, watch, а также библиотеку libprocps, было обнаружено несколько уязвимостей, худшая из которых позволяет непривелигированному пользователю исполнить код с правами пользователя, запускающего одну из уязвимых утилит (утилиты pgrep, pidof, pkill и w уязвимы с параметрами по умолчанию).

Уязвимости устранены разработчиками, исправления доступны в основных дистрибутивах.

>>> Qualys Security Advisory - Procps-ng Audit Report

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

1. Статья озаглавлена неверно.
2. Атака направлена на забагованные почтовые клиенты.
3. Авторы составили список таковых клиентов.

( читать дальше... )

>>> gnupg-users@gnupg.org

Авторитетный специалист в области компьютерной безопасности Себастиан Шинцель (Sebastian Schinzel) сообщил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME.

Проблемы настолько серьезны, что позволяют полностью дешифровать текст писем, в том числе и отправленных ранее писем.

Был создан специальный сайт посвящённый данной уязвимости, где описаны методы противодействия возможным атакам.

>>> https://efail.de/

>>> Подробности

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Подробности:

https://www.kb.cert.org/vuls/id/631579

>>> Источник