Netfilter — подсистема ядра, более известная по пользовательской утилите iptables, предоставляющей для неё интерфейс командной строки, и используемой для управления правилами брандмауэра.

CVE-2021-22555 при определённых условиях позволяет повышение привилегий. Уязвимость впервые появилась в Linux 2.6.19-rc1, но для её эксплуатации непривилегированному пользователю необходима функциональность user namespaces, появившаяся в 3.8 версии ядра, и которая может быть отключена в зависимости от дистрибутива.

В Arch Linux, Debian и Fedora исправления уже подготовили, а в openSUSE и Ubuntu, где user namespaces по-умолчанию включены, ещё нет.

Уязвимость связана с записью за пределы буфера (write out-of-bounds) и использованием данных в памяти после её освобождения (use-after-free). Она была использована для обхода изоляции контейнеров в kCTF demo cluster, за что Google обещала награду от $5000 до $10 000. Исследователь в сфере безопасности Andy Nguyen, обнаруживший уязвимость, собирается потратить выигранные $10 000 на благотворительность, в этом случае Google удвоит пожертвование.

>>> Подробности

Недавно выявленная уязвимость в ядре Linux (CVE-2021-3609) позволяет получить root-права рядом махинаций, связанных с сетевым протоколом CAN (controller area network) BCM. Затрагивает версии с 2.6.25 до mainline 5.13-rc6 включительно.

Исследователь, выявивший уязвимость, подготовил эксплоит, действующий на ядра версий >=5.4.

( читать дальше... )

>>> Новость на OpenNet

>>> Подробности

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах).

По сравнению с прошлыми версиями, добавлена поддержка внешних файлов фильтрации паролей, в том числе двоичных, которые на данный момент являются реализацией улучшенного кукушкиного фильтра. Такой фильтр гарантированно не пропустит ни один из запрещенных паролей, но может изредка приводить к ложным срабатываниям, вероятность которых при используемых в passwdqc настройках и алгоритме пренебрежимо мала. Проверка пароля на наличие в фильтре требует не более двух доступов случайного чтения с диска, что очень быстро и, как правило, не создает чрезмерной загрузки сервера.

( читать дальше... )

>>> Анонс от Openwall на английском

В реализации системного вызова futex (fast userspace mutex) было обнаружено и устранено использование стековой памяти после освобождения. Это, в свою очередь, позволяло атакующему выполнить свой код в контексте ядра, со всеми вытекающими из этого последствиями, с точки зрения безопасности. Уязвимость находилась в коде обработчика ошибки.

Исправление данной уязвимости появилось в Linux mainline 28 января и позавчера попало в ядра 5.10.12, 5.4.94, 4.19.172, 4.14.218.

Во время обсуждения данного исправления было высказано предположения, что данная уязвимость существует во всех ядрах, начиная с 2008 года:

( читать дальше... )

>>> CVE-2021-3347

28 января была обнаружена 0-day уязвимость в криптографической библиотеке libgcrypt неким Tavis Ormandy из Project Zero (группа специалистов безопасности в Google, которые ищут 0-day уязвимости).

Уязвимости подвержена только версия 1.9.0 (ныне переименованная на апстримном ftp-сервере, чтобы избежать случайного скачивания). Из-за неверных предположений в коде возможно переполнение буфера, потенциально приводящее к удалённому выполнению кода. Переполнение может произойти в ходе расшифровки данных до этапа верификации и проверки подписи, что упрощает эксплуатацию.

Версия 1.9.1 с исправлением была выпущена на следующий день после сообщения об уязвимости. Баг появился в результате неудачной оптимизации функции записи хеша почти 2 года назад.

>>> Подробности

В системной утилите sudo была найдена и исправлена критическая уязвимость, позволяющая абсолютно любому локальному пользователю системы получить права администратора root. Уязвимость использует переполнение буфера в куче и появилась в июле 2011 года (коммит 8255ed69). Нашедшим эту уязвимость удалось написать три работающих эксплоита и успешно испытать их на Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2). Уязвимы все версии sudo, с 1.8.2 до 1.9.5p1 включительно. Исправление появилось в вышедшей сегодня версии 1.9.5p2.

По ссылке ниже есть детальный разбор уязвимого кода.

>>> Подробности

Специалисты из JSOF research labs сообщили о семи новых уязвимостях в DNS/DHCP сервере dnsmasq. Сервер dnsmasq весьма популярен и используется по умолчанию во многих дистрибутивах linux, а также в сетевом оборудовании Cisco, Ubiquiti и прочих. Уязвимости Dnspooq включают в себя отравление DNS-кэша, а также удаленное выполнение кода. Уязвимости исправлены в dnsmasq 2.83.

( читать дальше... )

>>> Подробности

Google предупреждает о серьезной уязвимости типа удаленного выполнения кода (Zero-click) в стеке Bluetooth Linux.

Zero-click –– это удаленная атака на устройство, не требующая от пользователя никаких дополнительных действий. Она может быть проведена по воздуху (OTA, over-the-air): достаточно, чтобы жертва была в радиусе действия нужного беспроводного канала связи.

Intel Security Advisory рекомендует обновить ядро до версии 5.9.

Видео демонстрирующее использование уязвимости (осторожно музыка).

>>> Подробности

Анонсирован выпуск Suricata 6.0, который стал результатом года работы команды разработчиков OISF и сообщества Suricata. Разработчики сфокусировались на стабильности, надежности, производительности, поддержки новых протоколов (HTTP/2, MQTT и RFB), улучшении поддержки DCERPC, SSH, расширяемости. Некоторые части были переписаны на Rust’е.

Suricata – это система обнаружения и предупреждения вторжения (IDS/IPS) с открытым исходным кодом. Система разрабатывается Open Security Foundation. Она совместима с некоторыми системами, которые поддерживают Snort (в настоящее время принадлежит Cisco).

>>> Подробности

Компания IBM анонсировала тулкит для реализации технологии полностью гомоморфного шифрования (FHE) для операционных систем на базе Linux (для архитектур IBM Z и x86).

Ранее доступный для macOS и iOS, FHE тулкит от IBM теперь выпущен и для Linux. Поставка осуществляется в виде Docker-контейнеров для трех дистрибутивов: CentOS, Fedora и Ubuntu Linux.

Что особенного в технологии полностью гомоморфного шифрования? Данная технология позволяет зашифровывать как статические данные, так и изменяемые (шифрование «на лету») с помощью «повсеместного» шифрования (pervasive encryption). Таким образом, FHE позволяет работать с данными даже не расшифровывая их.

Кроме того, система Data Privacy Passports (консолидированная система защиты информации) позволяет клиентам IBM Z устанавливать разрешения на работу с данными для конкретных лиц посредством использования механизма контроля за правами доступа и отзывать доступ к данным даже в процессе их передачи.

Как сообщает IBM в своем пресс-релизе: «Изначально предложенная математиками в 1970-х годах, а затем впервые продемонстрированная в 2009 году, технология полностью гомоморфного шифрования стала уникальным способом защиты конфиденциальности информации. Идея проста: теперь вы можете обрабатывать конфиденциальные данные без их предварительной расшифровки. Короче говоря, вы не можете украсть информацию, если не можете ее понять».

Для клиентов IBM Z (s390x) первый выпуск FHE тулкита для Linux поддерживает только Ubuntu и Fedora, тогда как для платформ x86 этот инструментарий работает также и на CentOS.

Между тем IBM выразила уверенность, что опытные разработчики, хорошо знакомые с Docker, смогут легко портировать FHE инструментарий от IBM в другие дистрибутивы GNU/Linux. Каждая версия тулкита предоставляет пользователям доступ к встроенной среде IDE (Integrated Development Environment) через веб-браузер, установленный в их операционной системе.

Перед началом работы с FHE тулкитом для Linux рекомендуется ознакомиться с документацией на странице проекта на GitHub. Кроме версии на GitHub доступен контейнер на Docker Hub.

Для лучшего понимания работы системы полностью гомоморфного шифрования от IBM предлагается ознакомиться с официальным видео-анонсом.

>>> Подробности