Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов.

( читать дальше... )

Update Dec 15: Описанные выше меры в ряде случаев не полностью закрывают уязвимость. Рекомендуется обновляться сразу до версии 2.16.0.

>>> Официальная страница Log4j

>>> Log4j RCE Exploitation Detection

>>> JNDIExploit

>>> Как работает JNDI Injection

По отдельным проектам

• Jenkins Сам не подвержен, плагины возможно.

• Atlassian (Jira, Bamboo, Confluence..)

• ElasticSearch Уязвимость есть, но не может быть использована, поскольку используется Java Security Manager.

• VMWare

>>> CVE-2021-44228 (nist.gov)

Обнародованы уязвимости CVE-2021-40823 и CVE-2021-40824 в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования. Уязвимости были найдены в ходе аудита безопасности клиента Element.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. При определенных обстоятельствах можно заставить уязвимых клиентов раскрыть ключи шифрования сообщений, ранее отправленных этим клиентом собеседникам, учётные записи которых впоследствии взломали.

( читать дальше... )

Исправленные версии уже доступны, рекомендуется немедленное обновление.

>>> Подробности (matrix.org)

После трёх лет разработки и 19 тестовых выпусков состоялся релиз библиотеки OpenSSL 3.0.0, в которой реализованы протоколы SSL/TLS и различные алгоритмы шифрования.

По сравнению с веткой OpenSSL 1.1.1 в OpenSSL 3.0.0 сделано более 7500 изменений, подготовленных 350 разработчиками.

( читать дальше... )

>>> Источник (opennet.ru)

>>> Подробности (mail-archive.com)

Netfilter — подсистема ядра, более известная по пользовательской утилите iptables, предоставляющей для неё интерфейс командной строки, и используемой для управления правилами брандмауэра.

CVE-2021-22555 при определённых условиях позволяет повышение привилегий. Уязвимость впервые появилась в Linux 2.6.19-rc1, но для её эксплуатации непривилегированному пользователю необходима функциональность user namespaces, появившаяся в 3.8 версии ядра, и которая может быть отключена в зависимости от дистрибутива.

В Arch Linux, Debian и Fedora исправления уже подготовили, а в openSUSE и Ubuntu, где user namespaces по-умолчанию включены, ещё нет.

Уязвимость связана с записью за пределы буфера (write out-of-bounds) и использованием данных в памяти после её освобождения (use-after-free). Она была использована для обхода изоляции контейнеров в kCTF demo cluster, за что Google обещала награду от $5000 до $10 000. Исследователь в сфере безопасности Andy Nguyen, обнаруживший уязвимость, собирается потратить выигранные $10 000 на благотворительность, в этом случае Google удвоит пожертвование.

>>> Подробности (google.github.io)

Недавно выявленная уязвимость в ядре Linux (CVE-2021-3609) позволяет получить root-права рядом махинаций, связанных с сетевым протоколом CAN (controller area network) BCM. Затрагивает версии с 2.6.25 до mainline 5.13-rc6 включительно.

Исследователь, выявивший уязвимость, подготовил эксплоит, действующий на ядра версий >=5.4.

( читать дальше... )

>>> Новость на OpenNet

>>> Подробности (openwall.com)

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности (github.blog)

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах).

По сравнению с прошлыми версиями, добавлена поддержка внешних файлов фильтрации паролей, в том числе двоичных, которые на данный момент являются реализацией улучшенного кукушкиного фильтра. Такой фильтр гарантированно не пропустит ни один из запрещенных паролей, но может изредка приводить к ложным срабатываниям, вероятность которых при используемых в passwdqc настройках и алгоритме пренебрежимо мала. Проверка пароля на наличие в фильтре требует не более двух доступов случайного чтения с диска, что очень быстро и, как правило, не создает чрезмерной загрузки сервера.

( читать дальше... )

>>> Анонс от Openwall на английском (openwall.com)

В реализации системного вызова futex (fast userspace mutex) было обнаружено и устранено использование стековой памяти после освобождения. Это, в свою очередь, позволяло атакующему выполнить свой код в контексте ядра, со всеми вытекающими из этого последствиями, с точки зрения безопасности. Уязвимость находилась в коде обработчика ошибки.

Исправление данной уязвимости появилось в Linux mainline 28 января и позавчера попало в ядра 5.10.12, 5.4.94, 4.19.172, 4.14.218.

Во время обсуждения данного исправления было высказано предположения, что данная уязвимость существует во всех ядрах, начиная с 2008 года:

( читать дальше... )

>>> CVE-2021-3347 (mitre.org)

28 января была обнаружена 0-day уязвимость в криптографической библиотеке libgcrypt неким Tavis Ormandy из Project Zero (группа специалистов безопасности в Google, которые ищут 0-day уязвимости).

Уязвимости подвержена только версия 1.9.0 (ныне переименованная на апстримном ftp-сервере, чтобы избежать случайного скачивания). Из-за неверных предположений в коде возможно переполнение буфера, потенциально приводящее к удалённому выполнению кода. Переполнение может произойти в ходе расшифровки данных до этапа верификации и проверки подписи, что упрощает эксплуатацию.

Версия 1.9.1 с исправлением была выпущена на следующий день после сообщения об уязвимости. Баг появился в результате неудачной оптимизации функции записи хеша почти 2 года назад.

>>> Подробности (thehackernews.com)

В системной утилите sudo была найдена и исправлена критическая уязвимость, позволяющая абсолютно любому локальному пользователю системы получить права администратора root. Уязвимость использует переполнение буфера в куче и появилась в июле 2011 года (коммит 8255ed69). Нашедшим эту уязвимость удалось написать три работающих эксплоита и успешно испытать их на Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2). Уязвимы все версии sudo, с 1.8.2 до 1.9.5p1 включительно. Исправление появилось в вышедшей сегодня версии 1.9.5p2.

По ссылке ниже есть детальный разбор уязвимого кода.

>>> Подробности (qualys.com)

Специалисты из JSOF research labs сообщили о семи новых уязвимостях в DNS/DHCP сервере dnsmasq. Сервер dnsmasq весьма популярен и используется по умолчанию во многих дистрибутивах linux, а также в сетевом оборудовании Cisco, Ubiquiti и прочих. Уязвимости Dnspooq включают в себя отравление DNS-кэша, а также удаленное выполнение кода. Уязвимости исправлены в dnsmasq 2.83.

( читать дальше... )

>>> Подробности (jsof-tech.com)