NethSecurity 8.1
Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.
( читать дальше... )
>>> Подробности
Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.
( читать дальше... )
>>> Подробности
Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.
( читать дальше... )
В OpenSSH нашли дыру, позволяющую удалённо выполнить код с правами root без аутентификации. Уязвимости подвержены только сервера на Linux с библиотекой glibc, использующие OpenSSH от версии 8.5p1 до 9.7p1 включительно. Проблема заключается в состоянии гонки в обработчиках сигналов.
Атака продемонстрирована пока что только в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов. 64-битные системы в теории тоже уязвимы, но из-за гораздо большего пространства адресов, используемого для ASLR, эксплуатация пока что не была возможной.
Системы с другими реализациями libc также могут быть подвержены уязвимости. OpenBSD же всё ещё остаётся оплотом безопасности.
>>> Подробный разбор уязвимого кода
>>> Подробности
Агентство по кибербезопасности и защите инфраструктуры (U.S. Cybersecurity and Infrastructure Security Agency (CISA)) добавило в свой каталог активно используемых уязвимостей недавно найденную проблему в ядре Linux: CVE-2024-1086 Linux Kernel Use-After-Free Vulnerability.
Речь идёт о компоненте nf_tables
, внутри встроенного в ядро фаервола netfilter
, которая может быть эксплуатирована для эскалации локальных привилегий. Ошибка связана с неправильным взаимодействием функций nft_verdict_init()
и nf_hook_slow()
, которое приводит к двойному освобождению памяти.
Рекомендовано срочно обновиться или откатить ядро до версии перед коммитом f342de4e2f33e0e39165d8639387aa6c19dff660
>>> Подробности
Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz
) непосредственно в исполняемый файл библиотеки liblzma.
Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.
Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).
По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.
Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.
Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.
Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.
>>> Подробности
В своём бюллетене от 28 февраля NVIDIA раскрыла новые проблемы безопасности драйверов.
Уязвимости, затрагивающие в том числе и Linux-версию драйвера:
Рекомендуется обновиться до версии драйвера, в которой эти уязвимости исправлены: 550.54.14 от 23 февраля, 535.161.07 от 22 февраля или 470.239.06 от 22 февраля, либо до более новой версии в соответствующей ветке. Все более ранние версии подвержены этим уязвимостям.
>>> Весь бюллетень
Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin
. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.
( читать дальше... )
>>> Подробности
Toxic — это клиентское приложение для безопасного протокола обмена сообщениями Tox.
Toxic предоставляет текстовый интерфейс, текстовый чат, аудио- и видеозвонки, передачу и приём файлов, несколько простых игр.
( читать дальше... )
>>> Подробности
Обнаружена уязвимость в подсистеме Netfilter (CVE-2023-6817), которая, в теории, может быть использована локальным пользователем для повышения своих привилегий в системе. Корень проблемы кроется в использовании освобожденной памяти (use-after-free) в модуле nf_tables, ответственном за функциональность пакетного фильтра nftables.
( читать дальше... )
>>> Подробности
Марк Ньюлин (Marc Newlin), который выявил уязвимость MouseJack семь лет назад, раскрыл информацию о аналогичной уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS. Эта уязвимость позволяет осуществить подмену нажатий клавиш путем симуляции активности устройства ввода, подключенного по Bluetooth. Получив доступ к клавиатурному вводу, злоумышленник может выполнять различные действия, такие как выполнение команд в системе, установка приложений и перенаправление сообщений.
( читать дальше... )
>>> Подробности
Состоялся корректирующий выпуск 3.6.2 интерактивной командной оболочки fish с исправлением уязвимости CVE-2023-49284.
fish shell
использует некоторые символы Unicode для внутренней маркировки подстановочных знаков и расширений. Этот неправильный подход позволял читать эти символы в выводе подстановки команд, вместо того чтобы преобразовать их в безопасное внутреннее представление.
Хотя это может вызвать неожиданное поведение при прямом вводе (например, echo \UFDD2HOME
имеет тот же вывод, что и echo $HOME
), это может стать незначительной проблемой безопасности, если вывод подается из внешней программы в подстановку команд, где такой вывод может не ожидаться.
Этот недостаток дизайна появился в самых ранних версиях fish
, ещё до появления системы контроля версий, и, как считается, присутствует в каждой версии fish
, выпущенной за последние 15 лет или более, хотя и с разными символами.
Выполнение кода не представляется возможным, но DoS-атака (через раскрытие большого количества скобок) или раскрытие информации (например, через расширение переменных) потенциально возможны при определенных обстоятельствах.
В версии 3.6.3 исправлены только тесты.
>>> Подробности
В плагине-приложении graphapi обнаружена уязвимость: становится доступен URL: «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php»
( читать дальше... )
>>> Подробности
Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle) на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии.
Злоумышленник выпустил несколько новых TLS-сертификатов с помощью сервиса Let’s Encrypt, которые использовались для перехвата зашифрованных STARTTLS-соединений на порту 5222 с помощью прозрачного MiTM-прокси. Атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM, который не был перевыпущен.
Признаков взлома сервера или спуфинг-атак в сетевом сегменте не обнаружено, скорее наоборот: перенаправление трафика было настроено в сети хостинг-провайдера.
>>> Подробности
Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.
( читать дальше... )
В Mozilla обнаружили, что почтовый клиент Thunderbird стал распространяться на различных сторонних сайтах с вкомпилированным в него вредоносным ПО.
В рекламной сети Google появились объявления с предложением установить «готовые сборки» клиента. После установки такой сборки она начинает собирать конфиденциальную информацию о пользователе и отправлять ее на серверы мошенников, а затем пользователям приходит письмо с предложением заплатить за сохранение конфиденциальности.
( читать дальше... )
>>> Подробности
Согласно опубликованному компанией Canonical сообщению некоторые пользователи столкнулись с наличием в Snap Store вредоносных пакетов. После проверки данные пакеты были удалены, установить их более невозможно.
( читать дальше... )
>>> Подробности
ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.
Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.
В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.
UPD. Похоже, что все не так страшно. Эти уязвимости носят локальный характер. Они не работают, если сервер не использует NTLM и EXTERNAL аутентификации, не закрыт за прокси, не использует потенциально опасные DNS-серверы и не использует spf в acl. Подробнее…
>>> Подробности
следующие → |