Вышла новая версия свободного антивируса ClamAV 1.4.0, разрабатываемого Cisco Talos. Официальные сборки доступны для Linux, macOS и Windows. Также ClamAV неофициально собирается под AIX, BSD, HP-UX, OpenVMS, OSF (Tru64), Solaris и Haiku.

Начиная с этой версии официальная сборка для 32-битных дистрибутивов Linux больше не предоставляется, но пользователи таких дистрибутивов могут собрать ClamAV из исходников.

( читать дальше... )

ClamAV 1.4.0 представляет собой значительное обновление с множеством новых функций и улучшений, направленных на повышение безопасности и удобства использования. Пользователям рекомендуется обновиться до последней версии для получения всех преимуществ.

>>> Подробности

Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.

( читать дальше... )

>>> Подробности (audit-it.ru)

В OpenSSH нашли дыру, позволяющую удалённо выполнить код с правами root без аутентификации. Уязвимости подвержены только сервера на Linux с библиотекой glibc, использующие OpenSSH от версии 8.5p1 до 9.7p1 включительно. Проблема заключается в состоянии гонки в обработчиках сигналов.

Атака продемонстрирована пока что только в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов. 64-битные системы в теории тоже уязвимы, но из-за гораздо большего пространства адресов, используемого для ASLR, эксплуатация пока что не была возможной.

Системы с другими реализациями libc также могут быть подвержены уязвимости. OpenBSD же всё ещё остаётся оплотом безопасности.

>>> Подробный разбор уязвимого кода

>>> Подробности

Эксплойт для 0day-уязвимости уже продаётся на соответствующих форумах.

21 июня на одном из форумов появилась информация о продаже эксплойта к уязвимости нулевого дня в GRUB-загрузчике Linux, позволяющей локальное повышение привилегий (LPE).

По данным Dark Web Intelligence, злоумышленник утверждает, что нашёл уязвимость в GRUB, которая позволяет обойти механизмы аутентификации и получить права root на системе.

Согласно сообщению участника тёмного форума под ником «Cas», уязвимость затрагивает GRUB — критический компонент большинства Linux-систем, управляющий процессом загрузки, что позволяет атакующим устанавливать скрытое и устойчивое вредоносное ПО, обнаружить и устранить которое может быть весьма проблематично. Эксплойт продаётся по цене 90 тысяч долларов.

Стоит отметить, что GRUB уже становился целью для атак в прошлом. Так, в 2015 году была обнаружена уязвимость CVE-2015-8370, позволявшая обойти аутентификацию путём нажатия клавиши backspace 28 раз на этапе ввода имени пользователя в GRUB. Эта уязвимость затронула версии GRUB от 1.98 до 2.02 и широко использовалась до выпуска патча. А в 2020 году была выявлена другая уязвимость — CVE-2020-10713, известная также как BootHole и позволявшая устанавливать вредоносное ПО в процессе загрузки.

Основные дистрибутивы Linux, такие как Debian, RedHat и Ubuntu, оперативно выпускали рекомендации и патчи для предыдущих уязвимостей GRUB и, вероятно, поступят аналогично и в этот раз, однако проблема усугубляется тем, что уязвимость обнаружена злоумышленниками, а не этичными хакерами. Это означает, что её обнаружение и исправление исследователями безопасности может существенно затянуться.

>>> Подробности

Агентство по кибербезопасности и защите инфраструктуры (U.S. Cybersecurity and Infrastructure Security Agency (CISA)) добавило в свой каталог активно используемых уязвимостей недавно найденную проблему в ядре Linux: CVE-2024-1086 Linux Kernel Use-After-Free Vulnerability.

Речь идёт о компоненте nf_tables, внутри встроенного в ядро фаервола netfilter, которая может быть эксплуатирована для эскалации локальных привилегий. Ошибка связана с неправильным взаимодействием функций nft_verdict_init() и nf_hook_slow(), которое приводит к двойному освобождению памяти.

Рекомендовано срочно обновиться или откатить ядро до версии перед коммитом f342de4e2f33e0e39165d8639387aa6c19dff660

>>> Подробности

В коде NFS-сервера проектов FreeBSD и OpenBSD обнаружена уязвимость CVE-2024-29937, приводящая к удаленному выполнению кода от произвольного пользователя. Проблема существует с самого первого выпуска и затрагивает актуальные релизы OpenBSD 7.4 и FreeBSD 14.0. Детали будут представлены позже в рамках доклада на конференции по безопасности t2, проходящей в Хельсинки 18-19 апреля.

>>> Демо

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных. Пользователи сообщают о критических ошибках и полной потере данных на своих устройствах.

В сообществе пользователей Linux произошёл инцидент, который вызвал широкий резонанс и обсуждение вопросов безопасности. Речь идёт о ситуации, когда установка глобальной темы привела к удалению всех пользовательских данных, включая данные с монтированных дисков. Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

( читать дальше... )

>>> Подробности

Kiddy – модуль для ядра Linux, разработанный с целью снижения рисков эксплуатации (некоторых) уязвимостей ядра.

В основе механизма защиты, реализованного в данном модуле, лежит простая идея, которая заключается в том, что в процессе атаки так или иначе происходит идентификация объекта атаки. Поэтому, если затруднить такую идентификацию, можно кратно повысить сложность эксплуатации, т.к. во множестве случаев готовые эксплойты содержат в себе таблицы различного рода смещений (оффсетов), соответствующих целевым версиям ядра.

Например, вот как это сделано для CVE-2017-1000112. Там же можно видеть, что идентификация версии ядра осуществляется с использованием uname.

Разработанный модуль является простым в реализации и позволяет:

• менять идентификацию ядра;
• ограничивать доступ к журналу ядра (dmesg);
• ограничивать доступ к некоторым файлам в /proc, также содержащим идентифицирующую информацию;
• ограничивать доступ к файлам и папкам, потенциально содержащим идентифицирующую информацию;
• менять идентификацию версии ядра, доступную через vDSO.

В процессе сборки модуль позволяет использовать т.н. «пресеты», реализующие различную логику изменения идентификации. Например, используя пресет «windows» можно получить следующее поведение:

До загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   2.6.32-754.35.1.el6.x86_64
 - uname -v
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - uname -a
   Linux localhost.localdomain 2.6.32-754.35.1.el6.x86_64 #1 SMP Sat Nov 7 12:42:14 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   ro root=/dev/mapper/VolGroup00-LogVol00 rd_NO_LUKS no_timer_check console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16  rd_LVM_LV=VolGroup00/LogVol01 rd_LVM_LV=VolGroup00/LogVol00  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet
 - /proc/version
   Linux version 2.6.32-754.35.1.el6.x86_64 (mockbuild@x86-02.bsys.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) ) #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/version
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/osrelease
   2.6.32-754.35.1.el6.x86_64
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

После загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   Windows
 - uname -v
   NT 4.0
 - uname -a
   Linux localhost.localdomain Windows NT 4.0 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   \EFI\Microsoft\Boot\bootmgfw.efi
 - /proc/version
   Windows NT 4.0
 - /proc/sys/kernel/version
   NT 4.0
 - /proc/sys/kernel/osrelease
   Windows
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

Скрипт-кидди не пройдут!

>>> Подробности

В своём бюллетене от 28 февраля NVIDIA раскрыла новые проблемы безопасности драйверов.

Уязвимости, затрагивающие в том числе и Linux-версию драйвера:

• CVE‑2024‑0074, серьёзность — высокая. Уязвимость, благодаря которой злоумышленник может получить доступ к ячейке памяти после окончания буфера. Эксплуатация уязвимости может привести к отказу в обслуживании или подмене данных.
• CVE‑2024‑0078, серьёзность — средняя. Уязвимость, благодаря которой пользователь гостевой среды может вызвать разыменование NULL-указателя в хосте и добиться отказа в обслуживании.
• CVE‑2024‑0075, серьёзность — средняя. Уязвимость, благодаря которой пользователь может вызвать разыменование NULL-указателя и получить доступ к переданным параметрам, валидность которых не была проверена. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании и ограниченному раскрытию информации.
• CVE‑2022‑42265, серьёзность — средняя. Уязвимость, благодаря которой непривилегированный пользователь может вызвать целочисленное переполнение и добиться к отказа в обслуживании, раскрытии информации и подмены данных.

Рекомендуется обновиться до версии драйвера, в которой эти уязвимости исправлены: 550.54.14 от 23 февраля, 535.161.07 от 22 февраля или 470.239.06 от 22 февраля, либо до более новой версии в соответствующей ветке. Все более ранние версии подвержены этим уязвимостям.

>>> Весь бюллетень

Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.

( читать дальше... )

>>> Подробности

Обнаружена уязвимость в подсистеме Netfilter (CVE-2023-6817), которая, в теории, может быть использована локальным пользователем для повышения своих привилегий в системе. Корень проблемы кроется в использовании освобожденной памяти (use-after-free) в модуле nf_tables, ответственном за функциональность пакетного фильтра nftables.

( читать дальше... )

>>> Подробности

Марк Ньюлин (Marc Newlin), который выявил уязвимость MouseJack семь лет назад, раскрыл информацию о аналогичной уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS. Эта уязвимость позволяет осуществить подмену нажатий клавиш путем симуляции активности устройства ввода, подключенного по Bluetooth. Получив доступ к клавиатурному вводу, злоумышленник может выполнять различные действия, такие как выполнение команд в системе, установка приложений и перенаправление сообщений.

( читать дальше... )

>>> Подробности

В плагине-приложении graphapi обнаружена уязвимость: становится доступен URL: «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php»

( читать дальше... )

>>> Подробности

Вышел GNOME 45.1, стабильный багфикс-релиз.

Этот выпуск содержит критическое обновление стабильности и незначительное обновление безопасности, которое затрагивает приложения Electron, использующие уведомления Portal (например, через Flatpak). Всем пользователям libnotify 0.8.x настоятельно рекомендуется обновиться до этого выпуска.

>>> Подробности

Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.

( читать дальше... )

>>> Подробности (securitylab.ru)

Состоялся очередной выпуск curl, утилиты и библиотеки для передачи данных по сети. За 25 лет развития проекта в curl была реализована поддержка множества сетевых протоколов, таких как HTTP, Gopher, FTP, SMTP, IMAP, POP3, SMB и MQTT. Библиотеку libcurl используют такие важные для сообщества проекты как Git и LibreOffice. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).

Выпуск примечателен сразу по двум причинам:

• добавлена поддержка протокола IPFS;
• исправлена опасная уязвимость в реализации протокола SOCKS5;

( читать дальше... )

>>> Подробности

В Mozilla обнаружили, что почтовый клиент Thunderbird стал распространяться на различных сторонних сайтах с вкомпилированным в него вредоносным ПО.

В рекламной сети Google появились объявления с предложением установить «готовые сборки» клиента. После установки такой сборки она начинает собирать конфиденциальную информацию о пользователе и отправлять ее на серверы мошенников, а затем пользователям приходит письмо с предложением заплатить за сохранение конфиденциальности.

( читать дальше... )

>>> Подробности

Согласно опубликованному компанией Canonical сообщению некоторые пользователи столкнулись с наличием в Snap Store вредоносных пакетов. После проверки данные пакеты были удалены, установить их более невозможно.

( читать дальше... )

>>> Подробности

ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.

1. CVE-2023-42115 — позволяет добиться записи своих данных за границами выделенного буфера. Вызвана ошибкой проверки входных данных в сервисе SMTP.
2. CVE-2023-42116 – вызвана копированием данных от пользователя в буфер фиксированного размера без проверки необходимого размера.
3. CVE-2023-42117 – также вызвана отсутствие проверки входных данных на 25 порту SMTP-сервиса.

Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.

В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.

UPD. Похоже, что все не так страшно. Эти уязвимости носят локальный характер. Они не работают, если сервер не использует NTLM и EXTERNAL аутентификации, не закрыт за прокси, не использует потенциально опасные DNS-серверы и не использует spf в acl. Подробнее…

>>> Подробности

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности