В ImageMagick устранена уязвимость (CVE-2016-3714), позволяющая организовать выполнение произвольного кода при обработке специально сформированного изображения. По доброй традиции уязвимость обзавелась собственным именем и сайтом.

Уязвимость заключается в том, что имена файлов не проверяются при вызове внешних обработчиков.

Проблему усугубляют два обстоятельства. Во-первых, уязвимость работает и при косвенном обращении (например, с помощью SVG-файла, в котором содержится тег ‹image xlink:href="https://example.com/image.jpg"|ls "-la"›), при этом будет выполнена команда ls). Во-вторых, ImageMagick проверяет тип файла не по расширению, а по содержимому заголовка, поэтому защититься от атаки, просто заблокировав обработку файлов с определёнными расширениями, не получится.

По некоторым данным, об уязвимости было известно посторонним лицам ещё до её официального обнародования. Подготовлен рабочий эксплоит.

ImageMagick часто применяется на серверах для создания превьюшек к изображениям.

>>> Подробности

2 апреля 2016 года стало известно о уязвимости, которая позволяет неавторизованным пользователям заменить существующие .gem файлы при определённых обстоятельствах. Исправление было опубликовано в этот же день. При дальнейшем рассмотрении был обнаружен похожий вектор атаки, исправление для которого было опубликовано уже 4 апреля. В обоих векторах атаки, атакующий мог использовать специальную комбинацию имени и версии гема, чтобы заменить существуюший .gem файл. Также известно, что .gem файлы загруженные с помощью этого метода не могут быть установлены через стандартную команду gem install. Первая часть этой уязвимости была введена 11 июня 2014, а вторая присутствовала с самого начала.

Все .gem файлы, у которых есть контрольная сумма sha256, были проверены и ни один из них не пострадал. Подсчёт контрольной суммы был введён 8 февраля 2015 года, таким образом файлы, загруженные до этой даты, не имеют контрольной суммы. Так или иначе, если .gem файл был скомпрометирован ранее, нет способа выяснить это.

Файлы с дефисом в имени (например ‘blank-blank’) загруженные между 11 июня 2014 и 2 апреля 2016 были уязвимы. Файлы загруженные между 8 февраля 2015 и 2 апреля 2016 были уже проверены. Если у вас есть версия .gem файла, которая не была проверена, вы должны выполнить следующие действия:

• Скачать ваш gem.
• Запустить gem unpack file.gem.
• Убедиться, что нет никаких неожиданных изменений.
• Запустить gem spec file.gem.
• Убедиться, что нет никаких неожиданных изменений в gemspec.

В случае, если gem был скомпрометирован, пожалуйста выполните gem yank для вашего файла, и сообщите об этом команде по обеспечению безопасности как можно скорее, и пожалуйста отправьте ваш .gem файл.

Особая благодарность Eric Chapweske за выявление уязвимости и подробный отчёт. David Radcliffe и Arthur Neves за работу на исправлениями и проверками. Aaron Patterson, Nick Quaranto, André Arko, и Samuel Giddins за ревью и проверку.

>>> Подробности

История началась с просьбы разработчика XScreenSaver к мейнтейнерам Debian удалить его программу из репозиториев дистрибутива. Автору программы надоело объяснять пользователям Debian, сообщающим об ошибках в XScreenSaver, что ошибки уже давно исправлены в новых версиях программы, но из-за политики Debian в репозиториях остаётся устаревшая версия программы (от 2014 года). Ранее разработчик даже добавил в XScreenSaver проверку обновлений и вывод уведомления о том, что на его сайте доступна свежая версия, но мейнтейнеры Debian написали патч, удаляющий это окно, чтобы не нервировать пользователей.

Пользователи создают сообщения об ошибках в багтрекере Debian, откуда их посылают с этими ошибками в апстрим к разработчикам программ. Тем самым, впустую тратится время мейнтейнеров (на закрытие багрепортов), пользователей (на сообщения об уже исправленных ошибках) и разработчиков (на разъяснения пользователям того, что ошибка уже не первый год, как исправлена). Страдает и репутация проектов.

К этому конфликту привлёк внимание сообщества Мэтью Гаррет, известный разработчик ядра Linux и один из директоров Фонда Свободного ПО. Он считает, что политика Debian c сохранением представленных в релизе версий программ (осуществляется лишь бэкпортирование исправлений безопасности) имеет и негативные последствия. Порой, разработчики специально не выделяют устранение уязвимостей отдельно, или даже не догадываются, что исправленная ими ошибка могла использоваться злоумышленником. Зачастую, для этого нужно проводить аудит.

Мейнтейнеры Debian же не вникают подробно в каждое изменение кода в апстриме и не переносят такие неочевидные исправления к себе, поскольку, с виду, исправленная ошибка не имеет отношения к безопасности.

>>> Подробности

На сайте torrent-клиента Transmission сообщается, что версия 2.90 этого программного обеспечения в версии для OS X могла содержать зловредное ПО внутри себя.

С помощью «Мониторинга системы», предустановленного в OS X, проверьте, запущен ли какой-либо процесс с именем «kernel_service». В случае обнаружения подобного, проверьте процесс, выберите вкладку «Открытые файлы и порты» и убедитесь, что там используется имя файла навроде «/Users//Library/kernel_service». Если это верно, то это — главный процесс зловреда KeRanger. Мы рекомендуем убить этот процесс используя опцию «Завершить — Завершить принудительно.»

О заражении версий для других операционных систем не сообщается. Пользователям рекомендуется как можно скорее обновиться до версии 2.92.

>>> Подробности

1 марта в рассылке OpenSSL сообщили о новой уязвимости: «Cross-protocol attack on TLS using SSLv2» (также известна как DROWN, CVE-2016-0800) позволяет расшифровать TLS-сессию, если сервер допускает работу по SSLv2 с использованием шифров класса EXPORT. Уязвимости подвержены приложения, использующие SSLv2 с любой версией OpenSSL; версии OpenSSL 1.0.1l (и более ранние) и OpenSSL 1.0.2 содержат ошибки, которые облегчают эксплуатацию уязвимости по сравнению с OpenSSL более поздних версий. Выпущены обновления, которые отключают поддержку SSLv2 по умолчанию и удаляют шифры EXPORT, исключая таким образом возможность конфигурации сервера, уязвимой к DROWN. Проблему также можно обойти, отключив поддержку SSLv2 в приложениях.

Популярное разъяснение природы и последствий уязвимости

Приложение, позволяющее проверить наличие уязвимости

Довольно подробный пост на Habrahabr

>>> Официальное сообщение от разработчиков OpenSSL

В модуле Linux snd-usbmidi-lib обнаружена уязвимость, из-за которой стало возможно запустить код с правами ядра при наличии у злоумышленника физического доступа к компьютеру.

Для успешной атаки нужно подключить специальное USB-устройство, которое передаст некорректные параметры USB, и запустить эксплоит из-под непривилегированного пользователя.

Уязвимости подвержены ядра в большинстве дистрибутивов, проблема исправлена в 4.5-rc4. Также проблему можно решить отключив модуль ядра usb-audio.

>>> Подробности

В системной библиотеке Glibc обнаружена серьёзная уязвимость СVE-2015-7547. Переполнение буфера приводит к выполнению произвольного кода при получении специально сформированного ответа от DNS-сервера. Злоумышленник может достичь этого несколькими путями, например, с помощью MitM-атаки с подменой ответа DNS-сервера или захвата самого DNS-сервера.

Сообщение об ошибке, в результате анализа которого и удалось обнаружить уязвимость, было отправлено ещё в середине прошлого года. Уже подготовлен рабочий пример эксплоита. Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.

В качестве одной из мер безопасности можно использовать DNSCrypt, надёжно защищающий от MitM-атак и подделки ответов DNS-сервера.

>>> Подробности

Уязвимость CVE-2016-0728, опубликованная сегодня (19 января 2016) вместе с эксплойтом, позволяет локальному пользователю поднимать привилегии до root. Уязвимости подвержены все версии ядра начиная с 3.8 и заканчивая 4.4

Уязвимость появилась в 2012 году в компоненте keyrings.

Android-устройства также подвержены уязвимости, за исключением систем, защищенных SMEP/SMAP/SELinux.

Патч с исправлением проблемы ожидается в течение суток.

>>> Описание уязвимости

Сотрудник Mail.ru Максим Андреев опубликовал информацию об уязвимости в популярном наборе свободных библиотек FFMpeg.

Если сформировать специальный видеофайл (расширение не имеет значения) и загрузить его на видеохостинг, то злоумышленник сможет прочесть любой файл на сервере. Если удастся каким-то образом заставить обычного пользователя скачать вредоносный файл (дать ему прямую ссылку, выложить на торрент-трекер), как минимум, можно узнать имя пользователя и какую-нибудь ещё непубличную информацию. В случае с Ubuntu FFmpeg передаст злоумышленнику первую строку указанного злоумышленником файла (например, /etc/passwd того пользователя, который просто скачал файл, даже не запуская его (FFMpeg в Ubuntu используется для создания превью, отображаемого в файловом менеджере).

Кроме того, уязвимости подвержены все видеопроигрыватели, использующие FFMpeg.

В качестве мер защиты предлагается запускать ffmpeg в изолированном окружении, либо ограничить ему доступ к сети.

>>> Подробности

В платформе для ведения багов и исправления их под названием Bugzilla обнаружена уязвимость CVE-2015-4499, которая дает возможность создать аккаунт с привилегиями, позволяющими читать непубличные обсуждения для неисправленных уязвимостей. Уязвимость уже устранена в выпусках Bugzilla 5.0.1 и 4.4.10

>>> Подробности

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

>>> Запись в блоге Mozilla

В OpenSSL обнаружена критическая уязвимость, об этом сообщают Адам Лэнгли (Adam Langley) из Google и Дэвид Бенджамин (David Benjamin) из проекта BoringSSL.

В OpenSSL была обнаружена уязвимость CVE-2015-1793, позволяющая обойти процедуру проверки сертификата и организовать подтверждённое соединение с использованием подставного сертификата.

Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL 1.0.1n и 1.0.2b, в результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата, если первая попытка построения цепочки подтверждения доверия не увенчалась успехом. Это позволяет атакующему подменить сертификат.

Ранее в компанию Google уже сообщалось о различных подменах с использованием поддельных сертификатов.

>>> Подробности

Вышли Drupal 7.38 и 6.36, содержащие исправления серьезных уязвимостей (SA-CORE-2015-002).

Самая серьезная уязвимость — CVE-2015-3234. Она содержится в модуле openID в Drupal 6.x до 6.36 и Drupal 7.x до 7.38. Эта уязвимость позволяет злоумышленнику выдать себя за другого пользователя (в том числе, администратора) и угнать его аккаунт.

Также выявлены еще 3 уязвимости в Drupal 7, две из которых позволяют перенаправлять пользователей на сторонний сайт, и одна — просматривать защищенный контент пользователям, не имеющим такого права.

Рекомендуется обновиться до Drupal 7.38 или 6.36.

>>> Подробности

При заходе на сайт браузер пытается скачать его иконку (favicon.ico). Проблема заключается в том, что многие браузеры, такие как Google Chrome, Firefox и Safari не проверяют размер файла, что позволяет злоумышленнику забить всю доступную память, вызвав серьезные зависания. Internet Explorer не подвержен уязвимости.

>>> Уязвимость в баг-трекере Chromium

>>> Уязвимость в баг-трекере Firefox

>>> Эксплойт

Представлена новая атака на TLS по мотивам нашумевшей атаки FREAK. Суть осталась прежней — откат на старые и уязвимые технологии. Вместо понижения стойкости шифров теперь производится откат протокола Диффи-Хеллмана до слабого DHE_EXPORT, позволяющего осуществить подбор ключа шифрования.

При использовании сервером 512-битных начальных чисел Диффи-Хеллмана вероятность успешной атаки составляет 80%. Очень вероятно, что мощности спецслужб позволяют подбирать 1024-разрядные начальные числа. Взлом даже одного из начальных чисел позволяет прослушивать HTTPS-трафик. Взлом обоих чисел даёт возможность прослушивать VPN и SSH.

Уязвимы все популярные браузеры и многие веб-серверы. Подготовлен специальный ресурс, где можно проверить свой сервер на уязвимость и получить инструкции для правильной его настройки.

Из миллиона самых популярных доменов уязвимы:

• 8.4% доменов
• 3.4% HTTPS-сайтов
• 8.9% POP3S-серверов
• 8.4% IMAPS-серверов
• 25.7% SSH-серверов
• 66.1% IPsec VPN

>>> Подробности

Опубликована информация о критической уязвимости в NetUSB, проприетарном продукте, развиваемом тайваньской компанией KCodes. NetUSB представляет собой модуль ядра Linux, который запускает веб-сервер на 20005 порту и предоставляет возможность проброса USB-устройств по сети.

Данный модуль используется в прошивках многих популярных SOHO-маршрутизаторов и работает постоянно, даже если к маршрутизатору не подключено ни одно USB-устройство. При обращении к маршрутизатору клиент NetUSB, выполненный в виде приложения для Windows и OS X, посылает имя компьютера и опционально может указать его длину. Из-за отсутствия проверки в драйвере, указав длину имени, превышающую 64 символа, злоумышленник может вызвать переполнение буфера, и организовать выполнение кода с правами ядра.

( читать дальше... )

>>> Подробности

Опубликованы сведения о критической уязвимости CVE-2015-1863 в wpa_supplicant, которая может позволить выполнить код при обработке SSID беспроводной сети злоумышленника.

Уязвимость заключается в отсутствии корректной проверки длины поля SSID, благодаря чему злоумышленник может осуществить переполнение и перезаписать указатель структуры p2p_device, по которому в дальнейшем передаётся управление.

Уязвимы версии wpa_supplicant с 1.0 по 2.4. Необходимым условием является включение на стороне жертвы опции CONFIG_P2P, которая, обычно, включена по умолчанию. До исправления проблемы рекомендуется отключить режим P2P в файле конфигурации.

>>> Подробности

Обнаружена уязвимость в популярном FTP-сервере ProFTPD, позволяющая без авторизации производить копирование файлов на сервере.

Уязвимость находится в модуле mod_copy, с помощью команд SITE CPFR/SITE CPTO которого злоумышленник может, к примеру, скопировать файл /etc/passwd в /tmp/passwd.copy или даже организовать запуск кода на веб-сервере (примеры реализации приведены в баг-репорте).

По сообщениям пользователей, уязвимости подвержены такие операционные системы, как Ubuntu 14.04, Ubuntu 12.04, Debian 7.

>>> Подробности

Исследователи из INRIA, IMDEA и Microsoft обнаружили новый тип атаки на SSL/TLS, названный FREAK (Factoring attack on RSA-EXPORT Keys). Злоумышленник может вклиниться в соединение и инициировать ослабление шифрования между клиентом и сервером, что повышает его шансы расшифровать трафик.

( читать дальше... )

Сотрудники MSVR (Microsoft Vulnerability Research) обнаружили критическую уязвимость CVE-2015-0240 в Samba. Для эксплуатации достаточно удалённо отправить всего один пакет на сервер (авторизация не требуется). После чего злоумышленник получает права суперпользователя, поскольку smbd чаще всего выполняется с наивысшими правами.

Уязвимость присутствует во всех версиях с 3.5.0 по 4.2.0rc4. Рекомендуется как можно скорее провести обновление (уязвимость была экстренно закрыта во внеплановых выпусках 4.1.17, 4.0.25 и 3.6.25) или наложить патчи. При отсутствии такой возможности, пользователям Samba 4 поможет добавление в секцию [global] файла smb.conf строки rpc_server:netlogon=disabled

>>> Подробности