LINUX.ORG.RU

50
Всего сообщений: 315

Сжатие + шифрование динамического контента

Дыры в SSL/TLS из-за использования сжатия перед шифрованием:

  • BEAST - 2011 год
  • CRIME - 2012 год
  • BREACH - 2013 год

Но все сайты по-прежнему используют gzip для динамического контента. Даже интернет-банки, даже ЛОР, лол. Всем настолько пофиг?

 , , ,

Pacmu3ka ()

А вы уязвимы?

С последних громких уязвимостей спекулятивного выполнения команд прошло около года. Стало интересно, сколько процентов машин по-прежнему уязвимы?

$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/mds:Not affected
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling

 , ,

Pacmu3ka ()

SimJacker - критическая уязвимость в SIM-картах

Уязвимость, получившая название SimJacker, находится в программном обеспечении SIMalliance Toolbox Browser (S@T Browser), встроенном в большинство SIM-карт, которые используются мобильными операторами как минимум в 30 странах мира. Злоумышленники могут прибегнуть к ней независимо от марки устройства жертвы. По словам специалистов, этот эксплойт успешно используется хакерами последние несколько лет.

S@T Browser представляет собой приложение, которое устанавливается на SIM-карты, в том числе и на eSIM, как часть SIM Tool Kit (STK), и предназначено для того, чтобы мобильные операторы могли предоставлять своим клиентам разные базовые услуги. S@T Browser содержит ряд инструкций STK, таких как отправка сообщений, настройка звонков, запуск браузера, предоставление локальных данных, запуск по команде и отправка настроек, которые могут быть активированы сообщением.

Используя GSM-модем за 10 долларов, злоумышленники могут отправить на аппарат жертвы поддельное сообщение, содержащее вредоносный код. Это позволяет им:

  • Получить местоположение целевого устройства и его IMEI
  • Распространять любую информацию путём отправки поддельных сообщений от имени жертв
  • Совершать звонки на платные номера
  • Шпионить, приказав устройству позвонить по номеру телефона злоумышленника
  • Загружать вредоносные программы, заставляя браузер устройства открывать вредоносные веб-страницы
  • Отключать SIM-карту
  • Получать информацию о языке на устройстве, заряде аккумулятора и т. д.

 , , , ,

Allakka ()

Нужно ли противодействовать зловредному ПО? Как вы это делаете?

И снова здравствуйте, мои дорогие. Как вы боритесь с неблагонадёжным программным обеспечением? Вот, возьмём к примеру браузер. Браузер тащит подсистему печати и следовательно дырявый как ситечко ghostscript. Ни то ни другое мне не нужно (в браузере так точно).

Итак, я создаю заглушку, делаю следующее:

desktop ~ # cat cupsnop.c
void cupsGetOption(void){return;}
void cupsLastError(void){return;}
void cupsFreeDests(void){return;}
void cupsGetDests2(void){return;}
void cupsGetDests(void){return;}
void cupsGetDest(void){return;}
void cupsGetNamedDest(void){return;}
void cupsGetPPD2(void){return;}
void httpError(void){return;}
void cupsGetPPD(void){return;}
void httpConnectEncrypt(void){return;}
void httpClose(void){return;}
void httpBlocking(void){return;}
void ppdOpenFile(void){return;}
void ppdMarkDefaults(void){return;}
void ppdLastError(void){return;}
void ppdErrorString(void){return;}
void cupsParseOptions(void){return;}
void cupsMarkOptions(void){return;}
void cupsFreeOptions(void){return;}
void ppdFindMarkedChoice(void){return;}
void ppdFindOption(void){return;}
void ppdFindChoice(void){return;}
void ppdFindAttr(void){return;}
void ppdClose(void){return;}
desktop ~ # cat make.sh
#!/bin/sh

gcc -s -shared -fpic -march=native -O2 -pipe -fstack-clash-protection -fstack-protector-strong --param=ssp-buffer-size=4 -U_FORTIFY_SOURCE -D_FORTIFY_SOURCE=2 -Wl,-O1 -Wl,--as-needed -Wl,--sort-common -Wl,-z,relro -Wl,-z,now -Wl,--hash-style=gnu -Wl,--no-copy-dt-needed-entries -Wall -Wextra cupsnop.c -olibcups.so.2

mv -v libcups.so.2 /lib64/libcups.so.2
desktop ~ # ./make.sh
renamed 'libcups.so.2' -> '/lib64/libcups.so.2'

И всё хорошо, все довольны и счастливы. Но браузер также тащит кучу дряни вроде gtk, а та в свою очередь тащит atk, at-spi2-atk с at-spi2-core, причём, не найдя любую из зависимостей категорически отказывается собираться. Я считаю, это не дело, так не должно быть.

В браузерах есть огромная беда с файловыми диалогами на гтк – они неудобные, выглядят очень инородно, и сразу затирают иксовый буфер выделения среди прочего. Это ужасно. Как мне рассказывали старшие товарищи, в opensuse файловые диалоги как-то патчили, чтобы сделать те человеческими. Можно ли такое же сделать, например, с хромом?

И ещё, браузер запускается без ffmpeg (выдаёт libffmpeg.so => not found), при этом с видео даже проблем нет. Ну или они есть, это не важно (их нет). А вот с cups так не работает, приложение отказывается запускаться, если библиотека не найдена. Что это такое? Пробовал patchelf или что-то подобное для удаления зависимостей, так программа молча зависала при попытке её запустить.

 , , , ,

linuxnewb13 ()

В КДЕ залатали всем известный баг

Вот этот вот выпустив KDE Frameworks 5.61.0

 ,

Freiheits-Sender ()

Прослушивание разговоров пользователей сотрудниками Гугла

Согласно публикации одного нидерландского издания (ссылка ниже), Гугл сохраняет все записи запросов к Google Assistant, и многие из этих записей прослушиваются его сотрудниками. (Относительное количество «прослушек» невелико — всего 0,2%, но прикиньте количество запросов, и в абсолютном выражении эта доля процентов окажется не такой уж малой).

Прослушивание осуществляется с целью улучшения качества распознавания речи, однако во многих записях нет ничего и близко похожего на «ОК, Гугл», т.е. запись включается по ошибке, в ситуации, которую не предполагалось записывать.

Также во многих записях есть чувствительная информация (адреса говорящих, медицинская информация и т.п.). Кроме того, согласно инструкции для сотрудников, имеющих дело с этими записями, чувствительной информацией считаются только пароли и номера аккаунтов.

https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-ev...

 , ,

Kzer-Za ()

Взлом NASA через Raspberry Pi

Взлом был произведён в Лаборатории реактивного движения, при помощи платы Raspberry Pi, подключённой без разрешения.

Данная плата использовалась сотрудниками в качестве точки входа в локальную сеть. В ходе взлома внешней пользовательской системы, имеющей доступ к шлюзу, атакующие смогли получить доступ к плате и через неё ко всей внутренней сети Лаборатории реактивного движения.

https://oig.nasa.gov/docs/IG-19-022.pdf

 ,

Miha ()

Тысячи уязвимостей, почти все без CVE: обсуждение OSS-Fuzz в oss-security

Тихо и незаметно, в одном из самых известных списков рассылки на тему безопасности, развивается драма – на найденные проектом по фаззингу OSS-Fuzz уязвимости не пишутся патчи и не закрепляются идентификаторы уязвимостей CVE, тем самым оставляя десятки ошибок без исправлений.

https://seclists.org/oss-sec/2019/q2/165

 , , , ,

Deleted ()

MDS, Meltdown, Spectrev2 on Intel - дыры и последствия

https://www.phoronix.com/scan.php?page=article&item=mds-zombieload-mit&am...

Переключение контекста больше, мягко говоря, не является сильным местом интеловских CPU. В виртуализации просадка получится очень серьёзная.

Причём, судя по всему, многоядерники страдают сильнее малоядерников - видимо, для сброса буферов нужен полный останов всех потоков исполнения.

Такие дела.

 , , ,

AlexAT ()

Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета

В ядре Linux выявлена уязвимость (CVE-2019-11683), позволяющая удалённо вызвать отказ в обслуживании через отправку специально оформленных UDP-пакетов (packet-of-death). Проблема вызвана ошибкой в обработчике udp_gro_receive_segment (net/ipv4/udp_offload.c) с реализацией технологии GRO (Generic Receive Оffload) и может привести к повреждению содержимого областей памяти ядра при обработке UDP-пакетов с нулевым заполнением (пустой payload).

Проблема затрагивает только ядро 5.0, так как поддержка GRO для UDP-сокетов была реализована в ноябре прошлого года и успела попасть только в последний стабильный выпуск ядра. Технология GRO позволяет ускорить обработку большого числа входящих пакетов, благодаря агрегированию нескольких пакетов в более крупные блоки, не требующие отдельной обработки каждого пакета. Для TCP проблема не проявляется, так как для данного протокола не поддерживается агрегирование пакетов без payload.

Уязвимость пока исправлена только в виде патча, корректирующее обновление ещё не опубликовано (во вчерашнее обновление 5.0.11 исправление не вошло). Из дистрибутивов ядро 5.0 успело войти в состав Fedora 30, Ubuntu 19.04, Arch Linux, Gentoo и других непрерывно обновляемых дистрибутивов. Debian, Ubuntu 18.10 и младше, RHEL/CentOS и SUSE/openSUSE проблема не затрагивает.

Проблема была найдена в результате использования созданных компанией Google автоматизированной системы fuzzing-тестирования syzbot и анализатора KASAN (KernelAddressSanitizer), нацеленного на выявление ошибок при работе с памятью и фактов некорректного обращения к памяти, таких как обращения к освобождённым областям памяти и помещение кода в области памяти, не предназначенные для подобных манипуляций.

 , ,

vasya_pupkin ()

Киберпанк который мы заслужили

https://nplus1.ru/news/2019/03/23/critical-flaws Ъ:

Два десятка моделей кардиовертеров-дефибрилляторов компании Medtronic, одного из крупнейших производителей медицинских приборов, не требуют аутентификации при беспроводном подключении. Это позволяет злоумышленнику нарушить сердечный ритм пациента, изменив настройки прибора или подав прямую команду на дефибриллятор.

#ИНТЕРНЕТВЕЩЕЙ #ГЛОБАЛЬНОИНАДЁЖНО

 , ,

thunar ()

Новый день, новая дыра

https://www.securitylab.ru/news/498218.php
Интел, спекулятивное выполнение, чтение данных по анализу времени задержек или что-то около того. На АМД всё норм.
Ну что, режем javascript, пацаны.

 , , ,

crutch_master ()

Apple протекает видео-звонками

В работе сервиса FaceTime для видео- и аудиозвонков от компании Apple нашли серьезную уязвимость, позволяющую владельцам iPhone получить доступ к микрофону и фронтальной камере на смартфоне другого человека. Как сообщает 9to5Mac, если позвонить кому-либо в FaceTime, то можно услышать звук, поступающий с устройства этого человека, до того, как он ответит или отклонит звонок. Ошибка возникает, если во время набора номера провести пальцем вверх по экрану и добавить свой контакт к групповому вызову.

Подробности

А вы говорите, секурный Unix, секурный Unix.

 ,

kirk_johnson ()

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет.

В пакетном менеджере APT выявлена уязвимость (CVE-2019-3462), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблему выявил исследователь безопасности Max Justicz, известный обнаружением уязвимостей в пакетном менеджере APK (Alpine) и репозиториях Packagist, NPM и RubyGems.

Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая, что достаточно цифровой подписи метаданных и проверки соответствия размера пакета).

Выявленная уязвимость позволяет подменить передаваемый пакет, после чего APT воспримет его как полученный с официального зеркала и инициирует процесс установки. Через включение во вредоносный пакет скриптов, запускаемых во время установки, атакующий может добиться выполнения своего кода в системе с правами root.

Для загрузки данных из репозитория APT запускает дочерний процесс с реализацией конкретного транспорта и организует взаимодействие с этим процессом при помощи простого текстового протокола с разделением команд пустой строкой. Суть проблемы в том, что обработчик транспорта HTTP при получении от HTTP-сервера ответа с заголовком «Location:» запрашивает у родительского процесса подтверждение редиректа, целиком передавая содержимое этого заголовка. Из-за отсутствия чистки передаваемых спецсимволов, атакующий может указать в поле «Location:» значение, содержащее перевод строки (например, «Location: /payload%0A%0A201%20URI%20Done...»).

Так как данное значение будет декодировано и передано через канал связи с родительским процессом, атакующий имеет возможность симулировать иной ответ от обработчика транспорта HTTP и после блока «103 Redirect» подставить фиктивный блок «201 URI Done» с сопутствующими фиктивными метаданными. Например, если при запросе пакета «cowsay_3.03+dfsg2-3_all.deb» атакующий подставит ответ с «Location: /payload%0A%0A201%20URI%20Done%0AURI%3A%20http%3A//deb.debian.org ... Checksum-FileSize-Hash%3A%2020070%0A», такая подстановка приведёт к передаче родительскому процессу следующего блока данных:


Взято из группы *GNU/Linux Arch|Debian|Antergos|Ubuntu|Mint* в vk
Ссылки на первоисточники смотрите там.
Новость на opennet
И ещё: Майкл Библь Systemd

П.С. мало того что deb.debian.org перенаправляет на автоматически определяемые зеркала, так ещё и security.debian.org при попытке указать https выдаёт сообщение о ошибке.
(Это я сейчас у себя apt-transport-https поставил и запустил обновление системы)

 , ,

torvn77 ()

Я просто оставлю это здесь

System Down Vulnerability: Qualys discloses three locally-exploitable vulnerabilities in systemd-journald, which is in every modern Linux distro

https://twitter.com/qualys/status/1083077354967117824
https://www.qualys.com/2019/01/09/system-down/system-down.txt

 ,

TheAnonymous ()

В UEFI нашли первый руткит

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks

 , ,

maiden ()

Chrome - решето, Firefox - наше всё

http://www.opennet.ru/opennews/art.shtml?num=49784

Во встраиваемой СУБД SQLite выявлена критическая уязвимость, которую можно использовать для совершения удалённой атаки на приложения для выполнения кода злоумышленника. Уязвимость может быть эксплуатирована в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite (например, когда файл с базой используется как формат для переноса данных).

Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium.

Firefox удалённой уязвимости не подвержен так как разработчики Mozilla в своё время отказались от реализации WebSQL в пользу API IndexedDB. SQLite используется в Firefox для хранения внутренних БД на диске, которые недоступны для отправки в них произвольных SQL-запросов из Web. Эксплуатации уязвимости в Firefox можно добиться только через замену этих БД или внесения повреждений на низком уровне, но подобная атака бессмысленна, так как должна быть совершена пользователем, уже имеющим доступ на запись к локальной файловой системе.

Детали уязвимости и метод эксплуатации пока не раскрываются чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home. Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26. Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

Судя по недавним изменениям в SQLite предполагается (подтверждено создателем SQLite), что уязвимость вызвана устранённым в выпуске 3.25.3 целочисленным переполнением в реализации движка полнотекстового поиска FTS3, которое могло привести к переполнению буфера в случае повреждения индекса. Для повреждения индекса могли использоваться манипуляции с теневыми таблицами (shadow tables), особым видом виртуальных таблиц с возможностью записи. В SQLite 3.26.0 обеспечен запрет на запись в теневые таблицы, действующий при включении режима SQLITE_DBCONFIG_DEFENSIVE (запрещает возможности, которые могут привести к повреждению БД через SQL, и рекомендуется для включения в случае, если SQLite должен обрабатывать непроверенные внешние SQL-запросы).

 , , , ,

bbk123 ()

Systemd решето

CVE-2018-15688 — удаленная атака через подконтрольный DHCP сервер. Шерето во встроенном клиенте DHCPv6.

Проблема вызвана ошибкой в коде встроенного клиента DHCPv6, в котором неверно проверялся размер временного буфера, используемого для формирования пакета, отправляемого на сервер DHCPv6. При обработке DHCP-опции server-id, размером больше 493 байт, в функции dhcp6_option_append_ia() возникает целочисленное переполнение, которое можно использовать для контролируемой перезаписи данных за границей буфера.

CVE-2018-15687 - состояние гонки (race condition) при разыменовании символических ссылок в функции chown_one() можно использовать для смены прав доступа на любой файл в системе через манипуляцию символическими ссылками

CVE-2018-15686 - некорректное использование функции fgets() в функции unit_deserialize() при выполнении вызова daemon-reexec позволяет поднять свои привилегии через запуск специально оформленного сервиса

https://www.opennet.ru/opennews/art.shtml?num=49508

 ,

mandala ()

Уязвимость в X.org XServer позволяет получить привилегированный доступ

Не Ъ: https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html

https://lists.x.org/archives/xorg-announce/2018-October/002927.html

Ъ: Так как в некоторых системах бинарь Xorg имеет setuid флаг(как sudo, например), то можно задав путь к логу переписать любой файл, например /etc/shadow. Более того, можно задать путь к шрифтам, который логгируется всегда и записать что угодно.

Регрессия появилась в Xorg 1.19.0.

Попробуйте сами:

$ Xorg -fp "root::16431:0:99999:7:::"  -logfile shadow  :1
$ su

А какой вывод? Лучше не делать suid лишний раз.

 ,

a1batross ()

Компрометация репозитория проекта VestaCP

Официальный репозиторий панели управления для VPS VestaCP некоторое время назад был взломан. Неизвестные злоумышленники внесли изменения в главный скрипт, который выполняет установку панели и вследствие этого, в данных телеметрии, которые отправлялись на сервер проекта после установки панели, содержалось не только имя дистрибутива, но также и пароль администратора, и IP хоста, где была установлена ПУ.

Проверить свой хост на наличие уязвимости можно по ссылке

После успешного получения данных аутентификации злоумышленники устанавливали мультифункциональный бэкдор (командный сервер для совершения DoS атак и скрытый shell), содержащийся в файле /usr/bin/dhcprenew. После загрузки в память этот бэкдор скрывается в списке процессов под именем [kworker/1:1]

По предварительным данным выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта.

Взлом стал возможен из-за ранее неизвестной уязвимости в API проекта, которая появилась в апрельском выпуске 0.9.8-20.

Всем пользователям настоятельно рекомендуется сменить пароль администратора к панели управления.

Уязвимости уже устранены в новом релизе 0.9.8-23

Дополнительные подробности пока не сообщаются.

Подробности

Перемещено Shaman007 из security

 , , , ,

Twissel ()