LINUX.ORG.RU

50
Всего сообщений: 307

Тысячи уязвимостей, почти все без CVE: обсуждение OSS-Fuzz в oss-security

Тихо и незаметно, в одном из самых известных списков рассылки на тему безопасности, развивается драма – на найденные проектом по фаззингу OSS-Fuzz уязвимости не пишутся патчи и не закрепляются идентификаторы уязвимостей CVE, тем самым оставляя десятки ошибок без исправлений.

https://seclists.org/oss-sec/2019/q2/165

 , , , ,

jollheef ()

MDS, Meltdown, Spectrev2 on Intel - дыры и последствия

https://www.phoronix.com/scan.php?page=article&item=mds-zombieload-mit&am...

Переключение контекста больше, мягко говоря, не является сильным местом интеловских CPU. В виртуализации просадка получится очень серьёзная.

Причём, судя по всему, многоядерники страдают сильнее малоядерников - видимо, для сброса буферов нужен полный останов всех потоков исполнения.

Такие дела.

 , , ,

AlexAT ()

Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета

В ядре Linux выявлена уязвимость (CVE-2019-11683), позволяющая удалённо вызвать отказ в обслуживании через отправку специально оформленных UDP-пакетов (packet-of-death). Проблема вызвана ошибкой в обработчике udp_gro_receive_segment (net/ipv4/udp_offload.c) с реализацией технологии GRO (Generic Receive Оffload) и может привести к повреждению содержимого областей памяти ядра при обработке UDP-пакетов с нулевым заполнением (пустой payload).

Проблема затрагивает только ядро 5.0, так как поддержка GRO для UDP-сокетов была реализована в ноябре прошлого года и успела попасть только в последний стабильный выпуск ядра. Технология GRO позволяет ускорить обработку большого числа входящих пакетов, благодаря агрегированию нескольких пакетов в более крупные блоки, не требующие отдельной обработки каждого пакета. Для TCP проблема не проявляется, так как для данного протокола не поддерживается агрегирование пакетов без payload.

Уязвимость пока исправлена только в виде патча, корректирующее обновление ещё не опубликовано (во вчерашнее обновление 5.0.11 исправление не вошло). Из дистрибутивов ядро 5.0 успело войти в состав Fedora 30, Ubuntu 19.04, Arch Linux, Gentoo и других непрерывно обновляемых дистрибутивов. Debian, Ubuntu 18.10 и младше, RHEL/CentOS и SUSE/openSUSE проблема не затрагивает.

Проблема была найдена в результате использования созданных компанией Google автоматизированной системы fuzzing-тестирования syzbot и анализатора KASAN (KernelAddressSanitizer), нацеленного на выявление ошибок при работе с памятью и фактов некорректного обращения к памяти, таких как обращения к освобождённым областям памяти и помещение кода в области памяти, не предназначенные для подобных манипуляций.

 , ,

vasya_pupkin ()

Киберпанк который мы заслужили

https://nplus1.ru/news/2019/03/23/critical-flaws Ъ:

Два десятка моделей кардиовертеров-дефибрилляторов компании Medtronic, одного из крупнейших производителей медицинских приборов, не требуют аутентификации при беспроводном подключении. Это позволяет злоумышленнику нарушить сердечный ритм пациента, изменив настройки прибора или подав прямую команду на дефибриллятор.

#ИНТЕРНЕТВЕЩЕЙ #ГЛОБАЛЬНОИНАДЁЖНО

 , ,

thunar ()

Новый день, новая дыра

https://www.securitylab.ru/news/498218.php
Интел, спекулятивное выполнение, чтение данных по анализу времени задержек или что-то около того. На АМД всё норм.
Ну что, режем javascript, пацаны.

 , , ,

crutch_master ()

Apple протекает видео-звонками

В работе сервиса FaceTime для видео- и аудиозвонков от компании Apple нашли серьезную уязвимость, позволяющую владельцам iPhone получить доступ к микрофону и фронтальной камере на смартфоне другого человека. Как сообщает 9to5Mac, если позвонить кому-либо в FaceTime, то можно услышать звук, поступающий с устройства этого человека, до того, как он ответит или отклонит звонок. Ошибка возникает, если во время набора номера провести пальцем вверх по экрану и добавить свой контакт к групповому вызову.

Подробности

А вы говорите, секурный Unix, секурный Unix.

 ,

kirk_johnson ()

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет.

В пакетном менеджере APT выявлена уязвимость (CVE-2019-3462), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблему выявил исследователь безопасности Max Justicz, известный обнаружением уязвимостей в пакетном менеджере APK (Alpine) и репозиториях Packagist, NPM и RubyGems.

Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая, что достаточно цифровой подписи метаданных и проверки соответствия размера пакета).

Выявленная уязвимость позволяет подменить передаваемый пакет, после чего APT воспримет его как полученный с официального зеркала и инициирует процесс установки. Через включение во вредоносный пакет скриптов, запускаемых во время установки, атакующий может добиться выполнения своего кода в системе с правами root.

Для загрузки данных из репозитория APT запускает дочерний процесс с реализацией конкретного транспорта и организует взаимодействие с этим процессом при помощи простого текстового протокола с разделением команд пустой строкой. Суть проблемы в том, что обработчик транспорта HTTP при получении от HTTP-сервера ответа с заголовком «Location:» запрашивает у родительского процесса подтверждение редиректа, целиком передавая содержимое этого заголовка. Из-за отсутствия чистки передаваемых спецсимволов, атакующий может указать в поле «Location:» значение, содержащее перевод строки (например, «Location: /payload%0A%0A201%20URI%20Done...»).

Так как данное значение будет декодировано и передано через канал связи с родительским процессом, атакующий имеет возможность симулировать иной ответ от обработчика транспорта HTTP и после блока «103 Redirect» подставить фиктивный блок «201 URI Done» с сопутствующими фиктивными метаданными. Например, если при запросе пакета «cowsay_3.03+dfsg2-3_all.deb» атакующий подставит ответ с «Location: /payload%0A%0A201%20URI%20Done%0AURI%3A%20http%3A//deb.debian.org ... Checksum-FileSize-Hash%3A%2020070%0A», такая подстановка приведёт к передаче родительскому процессу следующего блока данных:


Взято из группы *GNU/Linux Arch|Debian|Antergos|Ubuntu|Mint* в vk
Ссылки на первоисточники смотрите там.
Новость на opennet
И ещё: Майкл Библь Systemd

П.С. мало того что deb.debian.org перенаправляет на автоматически определяемые зеркала, так ещё и security.debian.org при попытке указать https выдаёт сообщение о ошибке.
(Это я сейчас у себя apt-transport-https поставил и запустил обновление системы)

 , ,

torvn77 ()

Я просто оставлю это здесь

System Down Vulnerability: Qualys discloses three locally-exploitable vulnerabilities in systemd-journald, which is in every modern Linux distro

https://twitter.com/qualys/status/1083077354967117824
https://www.qualys.com/2019/01/09/system-down/system-down.txt

 ,

TheAnonymous ()

В UEFI нашли первый руткит

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks

 , ,

maiden ()

Chrome - решето, Firefox - наше всё

http://www.opennet.ru/opennews/art.shtml?num=49784

Во встраиваемой СУБД SQLite выявлена критическая уязвимость, которую можно использовать для совершения удалённой атаки на приложения для выполнения кода злоумышленника. Уязвимость может быть эксплуатирована в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite (например, когда файл с базой используется как формат для переноса данных).

Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium.

Firefox удалённой уязвимости не подвержен так как разработчики Mozilla в своё время отказались от реализации WebSQL в пользу API IndexedDB. SQLite используется в Firefox для хранения внутренних БД на диске, которые недоступны для отправки в них произвольных SQL-запросов из Web. Эксплуатации уязвимости в Firefox можно добиться только через замену этих БД или внесения повреждений на низком уровне, но подобная атака бессмысленна, так как должна быть совершена пользователем, уже имеющим доступ на запись к локальной файловой системе.

Детали уязвимости и метод эксплуатации пока не раскрываются чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home. Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26. Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

Судя по недавним изменениям в SQLite предполагается (подтверждено создателем SQLite), что уязвимость вызвана устранённым в выпуске 3.25.3 целочисленным переполнением в реализации движка полнотекстового поиска FTS3, которое могло привести к переполнению буфера в случае повреждения индекса. Для повреждения индекса могли использоваться манипуляции с теневыми таблицами (shadow tables), особым видом виртуальных таблиц с возможностью записи. В SQLite 3.26.0 обеспечен запрет на запись в теневые таблицы, действующий при включении режима SQLITE_DBCONFIG_DEFENSIVE (запрещает возможности, которые могут привести к повреждению БД через SQL, и рекомендуется для включения в случае, если SQLite должен обрабатывать непроверенные внешние SQL-запросы).

 , , , ,

bbk123 ()

Systemd решето

CVE-2018-15688 — удаленная атака через подконтрольный DHCP сервер. Шерето во встроенном клиенте DHCPv6.

Проблема вызвана ошибкой в коде встроенного клиента DHCPv6, в котором неверно проверялся размер временного буфера, используемого для формирования пакета, отправляемого на сервер DHCPv6. При обработке DHCP-опции server-id, размером больше 493 байт, в функции dhcp6_option_append_ia() возникает целочисленное переполнение, которое можно использовать для контролируемой перезаписи данных за границей буфера.

CVE-2018-15687 - состояние гонки (race condition) при разыменовании символических ссылок в функции chown_one() можно использовать для смены прав доступа на любой файл в системе через манипуляцию символическими ссылками

CVE-2018-15686 - некорректное использование функции fgets() в функции unit_deserialize() при выполнении вызова daemon-reexec позволяет поднять свои привилегии через запуск специально оформленного сервиса

https://www.opennet.ru/opennews/art.shtml?num=49508

 ,

mandala ()

Уязвимость в X.org XServer позволяет получить привилегированный доступ

Не Ъ: https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html

https://lists.x.org/archives/xorg-announce/2018-October/002927.html

Ъ: Так как в некоторых системах бинарь Xorg имеет setuid флаг(как sudo, например), то можно задав путь к логу переписать любой файл, например /etc/shadow. Более того, можно задать путь к шрифтам, который логгируется всегда и записать что угодно.

Регрессия появилась в Xorg 1.19.0.

Попробуйте сами:

$ Xorg -fp "root::16431:0:99999:7:::"  -logfile shadow  :1
$ su

А какой вывод? Лучше не делать suid лишний раз.

 ,

a1batross ()

Компрометация репозитория проекта VestaCP

Официальный репозиторий панели управления для VPS VestaCP некоторое время назад был взломан. Неизвестные злоумышленники внесли изменения в главный скрипт, который выполняет установку панели и вследствие этого, в данных телеметрии, которые отправлялись на сервер проекта после установки панели, содержалось не только имя дистрибутива, но также и пароль администратора, и IP хоста, где была установлена ПУ.

Проверить свой хост на наличие уязвимости можно по ссылке

После успешного получения данных аутентификации злоумышленники устанавливали мультифункциональный бэкдор (командный сервер для совершения DoS атак и скрытый shell), содержащийся в файле /usr/bin/dhcprenew. После загрузки в память этот бэкдор скрывается в списке процессов под именем [kworker/1:1]

По предварительным данным выяснилось, что код удалось изменить в результате взлома некоторых серверов инфраструктуры проекта.

Взлом стал возможен из-за ранее неизвестной уязвимости в API проекта, которая появилась в апрельском выпуске 0.9.8-20.

Всем пользователям настоятельно рекомендуется сменить пароль администратора к панели управления.

Уязвимости уже устранены в новом релизе 0.9.8-23

Дополнительные подробности пока не сообщаются.

Подробности

Перемещено Shaman007 из security

 , , , ,

Twissel ()

Новый Mozilla Firefox с новыми расширениями

Стильно, модно, молодёжно.

Mozilla Foundation публикует победную запись в блоге: Make your Firefox browser a privacy superpower with these extensions.

И внезапно выясняется, что

With this extension, I see that for every page you load in your browser, there is a POST to http://136.243.163.73/. The posted data is garbled, maybe someone will have the time to investigate further.

Ну и развязка: Firefox Add-On With 220,000+ Installs Caught Collecting Users' Browsing History.

Где там было сравнение производительности движков? «Servo ворует ваши личные данные вдвое быстрее, чем Gecko и XUL».

Ну и, для тех, кто забыл, 2 года назад вся эта ахинея начиналась так:

More Secure Extensions

Because extensions built with the Add-on SDK can request XPCOM privileges, they could still introduce unintentional security and stability issues into Firefox. Even add-ons written by well-meaning developers can accidentally introduce vulnerabilities that could allow malicious code to execute with the full privileges of the browser. WebExtensions uses its manifest.json to mitigate this by requiring add-on authors to declare up front which permissions their code will need to operate. Unlike the Add-on SDK, WebExtensions does not allow arbitrary XUL/XPCOM access, so even insecure/vulnerable code is limited to its whitelisted subset of functionality. This vastly reduces the vulnerability surface of a WebExtension, leading to faster review times and a more stable browser.

 , ,

Bass ()

А вот и секьюрность в вашей телеге подъехала

Если что то по фотке можно найти номер и прочую информацию о вас. Фотка не важна, важно чтобы она была. На хабре во всю мусолят, там с технической точки расписано. Now, let's begin the срач. Защитники телеги и её основного бага с номером телефона в тред приветсвуются.

https://habr.com/post/422687/

 ,

peregrine ()

Тысячи 3D-принтеров с OctoPrint дают всем без разбора

Стало известно, что более трёх тысяч 3D-принтеров с опенсорсным веб-интерфейсом OctoPrint доступны через энторнеты без пароля. Можно тырить GCode, можно подсматривать через веб-камеру.

https://isc.sans.edu/forums/diary/3D Printers in The Wild What Can Go Wrong/2...

 ,

AP ()

L1TF CPU bug present and SMT on, data leak possible.

Привет, ЛОР. Заметил сейчас случайно в dmesg логе такую строку

[Aug30 14:01] L1TF CPU bug present and SMT on, data leak possible. See CVE-2018-3646 and https://www.kernel.org/doc/html/latest/admin-guide/l1tf.html for details.
У меня вот вопрос: Правильно ли я понимаю, что после всех заплаток, которые и так превратили мой процессор в тыкву, они еще хотят, чтобы я HT руками выключил?


Если да, есть ли у кого истории успеха по поводу срача / возврата товара из-за этих аппаратных дыр?

 , , ,

Jefail ()

Систему выборов в США смог взломать 11-летний школьник

https://m.lenta.ru/news/2018/08/14/school/

Мальчику удалось справиться с заданием всего за несколько минут: он изменил данные в разделе с результатами голосования, осуществив SQL-инъекцию. Подобный трюк удалось повторить и 30 другим участникам, однако им на это потребовалось больше времени.

«Русские хакиры» тоже были школьниками?

Перемещено tailgunner из talks

 

DELIRIUM ()

Ноутбуки с usb-c для зарядки оказались подвержены взлому

Какой сюрприз! Если подсунуть юзеру модифицированную зарядку, то через нее можно сливать пароли и творить другие нехорошие штуки.

https://www.techradar.com/news/hackers-could-hijack-devices-using-a-laptops-u...

Ждем зарядок с алиэкспресс превращающих наши ноуты в майнеры. Линукс тут при том что эта платка для зарядки возможно работает под его управлением, а также ноуты с линукс тоже подвержены взлому

 , ,

Antimatter ()

VIA C3 - отставить панику, фича в документации. Но не всё так однозначно.

google://Заявлено об обнаружении бэкдора в процессорах VIA C3

Ситуация прояснилась, очередной утёнок вылупился с кряком о безопасности документированной фичи. Есть подозрения, что автор включил фичу, без контакта с Via, в документации пишут чтобы разлочить фичу, нужно было запросить там чой-то у производителя.

(по обсуждению новости на опеннете) ^^^^

А автор топика притащил желтизну, как вы любите.

:-)

 , ,

Deleted ()