Представлен патч, устраняющий в http-сервере nginx (версии 1.0.15 и 1.1.19) опасную уязвимость в модуле ngx_http_mp4_module, который обеспечивает серверную поддержку псевдо-стриминга для файлов в формате H.264/AAC. При обработке модулем специально подготовленного MP4-файла можно организовать переполнение буфера и, теоретически, выполнить произвольный код на сервере.
Следует заметить, что по умолчанию данный модуль отключен и собирается только при указании сборочной опции «--with-http_mp4_module».
Разработчики Samba сообщают, что в их продукте (в версиях 3.0.x — 3.6.3 включительно) обнаружена опасная удаленная уязвимость. В коде, который отвечает за сериализацию и десериализацию данных для RPC-вызовов обнаружена ошибка проверки размера массива, что позволяет с помощью специально сформированного RPC-запроса выполнить произвольный код на сервере.
Уязвимость опасна тем, что ее может использовать анонимный пользователь не проходя процедуру аутентификации. Поэтому разработчики рекомендуют всем пользователям Samba обновиться как можно скорее. В связи с исключительностью ситуации, разработчики предоставили патчи даже для неподдерживаемых версий (вплоть до 3.0.*).
В случае невозможности оперативно установить новую версию разработчики рекомендуют использовать параметр конфигурации hosts allow для ограничения доступа к серверу неавторизованных пользователей.
В популярной утилите для запуска программ от других пользователей обнаружена уязвимость, потенциально позволяющая получить привилегии root.
Баг обнаружен в функции sudo_debug(), где название программы (argv[0]) передается прямо в fprintf(). Проверить наличие уязвимости можно следующим простым способом:
В версиях Xorg 1.11 и выше была обнаружена критическая уязвимость, которая позволяет не зная пароля разблокировать систему при помощи комбинаций клавиш Ctrl + Alt + * (которая на NumPad'е). Данная комбинация предназначена для убивания приложения, которое захватило экран.
В настоящий момент эта версия Xorg используется в некоторых новых дистрибутивах, в том числе Fedora 16 и ArchLinux.
Обнаружена уязвимость в веб-сервере Apache, позволяющая провести атаку на приложение версии 2.2.х. Уязвимость находится в коде, отвечающем за обработку байтовых диапазонов, указанных в специальных HTTP-заголовках. Как известно, задание байтового диапазона позволяет загружать только определенную часть документа, например с 500-ого по 1000-ный байт. Данные заголовки широко используются, в частности, в менеджерах загрузки файлов для возобновления скачивания после паузы или разрыва соединения, а также позволяют снизить объем передаваемого трафика. Однако как показывает исследование, указание в заголовке нескольких неотсортированных диапазонов может привести к нарушению работы веб-сервера.
Уже опубликован perl-скрипт, демонстрирующий наличие проблемы и вызывающий падение веб-сервера Apache. Скрипт посылает серверу GET-запрос c заданием нескольких байтовых диапазонов, что при обработке приводит к серьезному увеличению потребления оперативной памяти.
Команда разработчиков пока не представила официального патча для исправления проблемы, однако на данный момент доступно решение, заключающееся в установке правила принимать только запросы с одним заданным байтовым диапазоном, что решит проблему для большинства веб-серверов. Для работы указанного способа необходимо загрузить в веб-сервер Apache модуль mod_rewrite.
Другим средством решения проблемы является использование модуля mod_headers с параметром RequestHeader unset Range, который удаляет из заголовка все содержащиеся в нем байтовые диапазоны. От этого способа больше вреда, чем пользы, поэтому администраторы перед применением любого решения для борьбы с уязвимостью должны проверить его эффективность и влияние на работу веб-сервера.
Исследователи из немецкого университета, расположенном в городе Ульме, нашли уязвимость, которая может привести к перехвату пользовательских данных.
Данная уязвимость проявляется при использовании таких сервисов Google как Picasa, GMail, Google Calendar вкупе со специальным протоколом ClientLogin, который используют все онлайновые приложения для Android. Уязвимость возникает в момент использования этого протокола поверх HTTP-сессии, вместо HTTPS.
Характеризуется дыра в безопасности тем, что при работе через вышеуказанный протокол, операционная система посылает специальный токен для авторизации (authToken) с серверами Google в незашифрованном виде. Как сообщают исследователи, этой уязвимости подвержен даже плагин для подключения к Google Calendar используемый в почтовом клиенте Mozilla Thunderbird на обычных персональных компьютерах.
Очень хорошо эксплуатируется уязвимость в незашифрованных публичных Wi-Fi сетях, когда можно легко перехватить любую чужую сессию вместе с таким ключом и получить доступ к вашим данным. Разработчики компании Google извещены об этой проблеме и работают над её решением. Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом, где эта проблема закрыта. Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.
Предупреждение об опасности для Adobe Flash Player, Adobe Reader и Acrobat
Идентификатор уязвимости: APSA11-02
Номер по CVE: CVE-2011-0611
Сводка
Уязвимость (CVE-2011-0611) может привести к краху и потенциально к получению контроля над атакуемой системой. Сообщается о случаях использования данной уязвимости с помощью документов формата .doc и .xls отправленных как вложения к письмам и содержащих встроенные веб-страницы или флеш объекты против систем на платформе Windows. Сейчас Adobe не известны случаи атак с использованием документов формата .pdf в Adobe Reader и Acrobat.
На данный момент разрабатывается окончательное исправление для Windows, Macintosh, Linux, и Solaris, обновленный Flash Player версий 10.2.x ожидается сегодня. Пользователи Google Chrome уже могут обновиться до версии Chrome 10.0.648.205. Дата исправления уязвимости для Android не уточняется.
Уязвимости подвержены:
Adobe Flash Player 10.2.153.1 под Windows, Macintosh, Linux и Solaris.
Adobe Flash Player 10.2.154.25 для пользователей Chrome.
Adobe Flash Player 10.2.156.12 для Android.
Компонент Authplay.dll, который поставляется в версиях 10.х и 9.х Adobe Reader и Acrobat X для Windows и Macintosh.
Все предыдущие версии данного ПО.
Примечание: Adobe Reader 9.x для UNIX, Adobe Reader для Android, и Adobe Reader и Acrobat 8.x не подвержены данной уязвимости.
Встроенный в OC Android веб-браузер подвержен атакам со стороны ряда сайтов. Уязвимость позволяет получить доступ к данным на карте памяти мобильного устройства.
Причина состоит в механизме обработки загружаемых HTML-файлов и содержащихся в них сценариев JavaScript. Если браузер настроен на автоматическое сохранение файлов, то возможно извлечь и отправить не только файлы с SD-карты, но и некоторые файлы с запоминающего устройства самого телефона, благодаря внедрённому эксплойту.
Эксплуатация уязвимости возможна только если в эксплойт-коде указано точное имя и местоположение похищаемого файла. Доступ с root-привилегиями данная уязвимость не предоставляет.
Google подтвердила наличие проблемы, в ближайшее время должен выйти патч устраняющий уязвимость. В новой версии Android (Gingerbread, релиз которой ожидается 6 декабря с.г.), данная ошибка будет исправлена.
Обойти данную проблему можно путем использования альтернативного браузера от сторонних разработчиков или же отключением JavaScript во встроенном браузере. Google предложила просто отсоединить на время карту памяти и ждать выхода патча.
Эксперт по информационной безопасности Томас Кэннон (Thomas Cannon) в своём блоге указывает на факторы благоприятствующие данной уязвимости:
интегрированный браузер не задает пользователю вопросов при загрузке файла из Сети. Например объект payload.html будет сохранен как /sdcard/download/payload.html;
с помощью JavaScript можно автоматически запустить эксплойт, так что сохраненный payload.html будет отображен в браузере;
открывая сохраненный файл, браузер обработает и исполнит код JavaScript без уведомления;
когда HTML-файл открыт в локальном контексте, сценарий JavaScript считывает файлы на флеш-карте и некоторые файлы с запоминающего устройства самого телефона;
прочитав файл, тот же самый скрипт может отправить его на удаленный компьютер.
OpenSSL core team любезно извещает нас об устранении уязвимости в OpenSSL based TLS server. Пользователи всех релизов OpenSSL 0.9.8 должны незамедлительно обновиться до OpenSSL 0.9.8p, в котором проблема уже исправлена. Пользователям OpenSSL 1.0.0 и 1.0.0a необходимо обновиться до 1.0.0b.
Как сообщается в анонсе, уязвимы только многопоточные программы, использующие механизм кэширования, встроенный в OpenSSL. Веб-сервер Apache не подвержен этой уязвимости, поскольку не использует данный механизм.
В системной библиотеке GNU C Library (glibc), являющейся основой большинства Linux-дистрибутивов, обнаружена критическая уязвимость, позволяющая любому локальному пользователю получить привилегии суперпользователя. Проблема вызвана игнорированием в Glibc требования спецификации ELF по запрещению использования текущего пути к исполняемому файлу ($ORIGIN) в процессе динамического связывания программ с идентификатором смены владельца или группы (suid/sgid). Проблема проявляется в конфигурациях, в которых пользователь имеет возможность создавать жесткие ссылки в файловой системе, допускающей наличие suid-файлов.
Уязвимость протестирована в Fedora 13 и RHEL 5 / CentOS 5, другие дистрибутивы судя по всему также подвержены проблеме. Исправления пока недоступны, статус выхода обновлений в различных Linux-дистрибутивах можно наблюдать на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu.
Проблема была известна и ранее, но разработчики Glibc считали, что эксплуатировать ее невозможно. Используя режим аудита связывания программ (LD_AUDIT) в ld.so, вкупе с подменой $ORIGIN через создание жесткой ссылки и запуском suid-программы через файловый дескриптор, удалось разработать практический метод атаки.
Сайт SecurityReason сообщает об обнаружении опасной ошибки в реализации библиотечной функции glob() из стандартной библиотеки языка C (libc) на множестве платформ.
Эта функция предназначена для получения списка файлов, чьи имена удовлетворяют заданному шаблону. Ошибка заключается в том, что ограничение на выдачу функции, задаваемое переменной GLOB_LIMIT, не действует в случае задания некорректных путей в шаблоне. Такими некорректными значениями могут быть, например, «*/../*/../*foo» или «{..,..,..}/*/{..,..,..}/*bar». При этом вызов функции glob() может исчерпать всю доступную память процесса.
Особенную опасность данная ошибка представляет для (S)FTP-серверов, особенно с разрешенным анонимным доступом. Очевидно, запрос на листинг файлов с вышеприведенной маской приводит к скорому отказу в обслуживании FTP-сервера.
Уязвимости подвержены, по последним данным, как минимум следующие ОС: OpenBSD 4.7, NetBSD 5.0.2, FreeBSD 7.3/8.1, Oracle/Sun Solaris 10, а также все версии Linux с GLIBC. Уязвимость пока что устранена только в NetBSD; компании и сообщества, занимающиеся разработкой вышеперечисленных (за исключением NetBSD) операционных систем, пока не дают никакой информации; именно поэтому уязвимость классифицируется как «0-day». Сообщается также, что vsftpd не подвержен уязвимости.
Разработчики компании Ksplice объявили, что обнародованный на прошлой неделе эксплоит ABftw.c для уязвимости CVE-2010-3081 содержал backdoor, позволяющий злоумышненникам получить административный доступ к системе. Для проверки наличия бэкдора в памяти системы Ksplice предоставляет специальную утилиту. Судя по всему, дыра остаётся в памяти до перезагрузки системы. Всем, кто запускал эксплоит ABftw.c, рекомендуется провериться утилитой diagnose-2010-3081 и если троян обнаружен - перезагрузиться.
В текущей версии Adobe Flash Player (10.1.82.76) для Linux/Android/Solaris/MacOS/Windows обнаружена критическая уязвимость, позволяющая исполнение произвольного кода на компьютере пользователя. Ошибка также содержится в предыдущих версиях Flash Player, а также в Adobe Reader и Acrobat версии 9.3.4 и предыдущих.
Исправление уязвимости flash-плагина планируется 27-го сентября 2010, Adobe Reader’а — 4-го октября.
Во всех версия Adobe Flash 9.x и 10.x, а так же в Reader и Acrobat версии 9.x обнаружена уязвимость, приводящая к падению плагина и, потенциально, к получению контроля над системой.
Российский эксперт в области безопасности и основатель организации
Intevydis Евгений Легеров сообщил месяц назад о найденной критической
уязвимости в веб-браузере с открытым исходным кодом Mozilla Firefox 3.6.
Так как эксплоит Легерова не был обнародован, многие эксперты сомневались и не испытывали доверия к российскому специалисту. После получения подробной информации об уязвимости Mozilla признала, что уязвимость, однако, cуществует. Это означает, что браузеры пользователей Firefox 3.6, могут быть подвержены атакам злоумышленников, применяющих вредоносный код ...
Утилита lppasswd, из пакета cups, оказалась уязвима к атаке типа format string, связанной с некорректой обработкой переменных окружения. Уязвимость позволяет злоумышленнику, имеющему доступ к серверу печати, выполнить код с правами суперпользователя.
Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian
Canonical анонсировала несколько часов назад появление обновления ядер для Ubuntu 6.06 LTS (Dapper Drake), Ubuntu 8.04 LTS (Hardy Heron), Ubuntu 8.10 (Intrepid Ibex), Ubuntu 9.04 (Jaunty Jackalope) а так же для последней стабильной версии Ubuntu 9.10 (Karmic Koala). Обновление так же доступно для Kubuntu, Xubuntu, Edubuntu. Обновление включает в себя 10 патчей, закрывающих различные уязвимости, в том числе патчи для : Ext4 и HFS, FUSE, Jumbo Frames и др.
В серверной части популярной реализации SMB/CIFS для *nix-систем Samba обнаружена уязвимость, позволяющая удаленному пользователю выйти за пределы каталога ресурса (share) и получить доступ к корневому каталогу системы.
Для успешной эксплуатации данной уязвимости злоумышленнику необходим доступ на запись в какой-либо ресурс на атакуемой системе. Используя специально модифицированный smbclient (см. ниже), он может создать символьную ссылку на каталог, находящийся одним или нескольким уровнями выше (../../.. и т.п.), после чего перейти по этой ссылке. Полученный им доступ будет ограничиваться полномочиями того пользователя, из-под которого осуществляется доступ к ресурсу (например, при анонимном доступе этот пользователь определяется параметром guest account).
Таким образом, на большинстве конфигураций злоумышленник сможет, к примеру, залить свои файлы в /tmp или стянуть /etc/passwd, но у него не получится утащить /etc/shadow.
В качестве workaround рекомендуется запрещать следование по символьным ссылкам (follow symlinks = no), разрешенное по умолчанию.
Ниже представлен патч, превращающий обычный smbclient3 в орудие для атаки:
Сегодня ночью,по Московскому времени, Debian-security обновил пакет python версии 2.4 и 2.5 из-за устранения в библиотеке языка Python нескольких уязвимостей, связанных с ошибками лексического разбора/cоздания XML файлов и целочисленного переполнения в модуле hashlib в Etch.
К тому же, в нестабильном Sid дистрибутива Debian пакет python версии 2.4 больше не используется. Так же от этого пакета планируется отказаться в будущем и в тестируемой ветки Squeezy.
