Сегодня была обнаружена и успешно исправлена чрезвычайно опасная уязвимость в стандартной библиотеке glibc. Она заключалась в переполнении буфера внутри функции __nss_hostname_digits_dots(), которую, в частности, используют такие известные функции glibc как gethostbyname() и gethostbyname2(). В худшем для пользователя случае на уязвимой системе злоумышленник может добиться выполнения произвольного кода.

Проблема была исправлена коммитом еще в 2013-м году в glibc 2.18, однако многие дистрибутивы еще не успели перейти на эту версию. Сообщается, что самая ранняя уязвимая версия — 2.2 от 10 ноября 2000. В числе прочих уязвимыми оказались дистрибутивы RHEL 5.x, 6.x и 7.x.

Для большей уверенности и проверки своей системы вы можете воспользоваться небольшой утилитой, предложенной самими исследователями, текст которой (на C) можно взять на Github:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

Нашедшие уязвимость хакеры из Qualys уже присвоили ей кодовое имя GHOST. Сейчас они вплотную подошли к написанию боевого модуля к Metasploit.

>>> Подробности

Обнаружена уязвимость в библиотеке libpng: злоумышленник имеет возможность создать изображение в формате PNG, обработка которого в приложениях, использующих эту библиотеку, вызовет выполнение кода злоумышленника.

Проблеме подвержены приложения, использующие libpng для отображения сторонних изображений. В частности, к ним относятся браузеры Firefox и Chrome.

Уязвимость устранена в выпусках libpng 1.5.21 и 1.6.16.

>>> Подробности

GNU Wget — это утилита командной строки, разработанная для скачивания файлов по протоколам HTTP, HTTPS и FTP. Версии Wget до 1.16 имеют уязвимость в обработке symlink`ов (CVE-2014-4877) при работе в рекурсивном режиме с FTP. Уязвимость позволяет злоумышленнику, управляющему FTP сервером, создавать произвольные файлы и папки в файловой системе пользователя. Атака позволяет злоумышленнику перезаписать или создать любой файл, в том числе бинарный, в файловой системе пользователя, который запускает wget. Т.е. можно произвести атаку, выполняющую произвольный код на целевой системе, путем запуска cron, записи в bash_profile или изменения SSH authorized_keys.

>>> Подробности

Выяснилось, что реализация протокола NAT-PMP во многих SOHO-роутерах и сетевых устройствах позволяет злоумышленнику менять настройки переадресации портов и осуществлять перехват приватного и публичного трафика (перенаправив его на подконтрольный сервер). Проблема усугубляется тем, что атаку можно произвести без авторизации.

Корень проблемы кроется в простоте протокола NAT-PMP, который не содержит никаких проверок на предмет того, откуда приходят запросы, подразумевая, что они должны приходить лишь из локальной сети. Многие производители сетевого оборудования нарушили соответствующий RFC-стандарт, реализовав возможность приёма запросов переадресации портов с внешних интерфейсов.

По предварительным данным, полученным в результате сканирования Интернета, количество уязвимых устройств (принимающих запросы на 5351 порт) превышает миллион. Из них:

• 2.5% позволяют перехватить внутренний трафик
• 86% — перехватить внешний трафик
• 88% — получить доступ к службам в локальной сети
• 88% — вызвать отказ в обслуживании
• 100% — получить информацию об оборудовании, IP-адресах, используемых портах

Уязвимо множество оборудования от ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream. До выхода обновлений от производителя рекомендуется отключить NAT-PMP или заблокировать входящий UDP-трафик на 5351 порту.

>>> Подробности

Опубликованы подробности уязвимости CVE-2014-6271 в bash, которая позволяет злоумышленнику произвести удалённое выполнение кода.

Уязвимость возможна благодаря одной из особенностей bash - использования переменных окружения для экспорта функций (если в переменной содержится "() {", то её содержимое будет интерпретировано как функция). Проблема заключается в том, что обработка продолжается даже после символа «}», поэтому, если добавить любую команду — она будет выполнена. Атаке подвержены sshd, Git и Subversion (при определённых обстоятельствах), Apache с mod_cgi или mod_cgid (если скрипты CGI написаны на bash или вызывают bash-скрипты), клиенты DHCP (если они вызывают скрипты для настройки системы), CUPS и вообще любые приложения, которые запускают bash (или bash-скрипты) и могут устанавливать переменные окружения на основе данных, полученных извне.

Для проверки наличия уязвимости в системе можно выполнить команду

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Обновление с исправлением уязвимости уже выпущено для некоторых популярных дистрибутивов.

Кроме того, объявлено об исправлении множественных уязвимостей в пакетном менеджере APT. Уязвимости CVE-2014-0487, CVE-2014-0490, CVE-2014-0488 и CVE-2014-0489 позволяют обойти проверку цифровых подписей пакетов и репозиториев, а уязвимость CVE-2014-6273 - выполнение произвольного кода, отправленного злоумышленником, вмешавшимся в трафик.

Этот выпуск является финальным для серии 1.9.2. Вскоре после объявления о завершении срока жизни 1.9.2 (и 1.8.7) в 1.9.2 была найдена критическая регрессия безопасности. Баг проявляется при обработке длинной строки, использующей URI-метод decode_www_form_component. Он может быть воспроизведён при выполнении на уязвимых ruby:

ruby -v -ruri -e'URI.decode_www_form_component "Строка, провоцирующая катастрофический откат при удлинении %"'

Оригинальный отчёт на багтрекере

Ссылки для скачивания:

• http://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.bz2 (размер: 9 081 661 байт, MD5: 8ba4aaf707023e76f80fc8f455c99858, SHA256: 6d3487ea8a86ad0fa78a8535078ff3c7a91ca9f99eff0a6a08e66c6e6bf2040f)
• http://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.tar.gz (размер: 11 416 473 байт, MD5: 4b9330730491f96b402adc4a561e859a, SHA256: 23ef45fdaecc5d6c7b4e9e2d51b23817fc6aa8225a20f123f7fa98760e8b5ca9)
• http://cache.ruby-lang.org/pub/ruby/ruby-1.9.2-p330.zip (размер: 12 732 739 байт, MD5: 42d261b28d1b7e500dd3bdbdbfba7fa5, SHA256: 7a04a028564de7f2ad09f26c8d57fd40fe2b0a6a0e1d9ff7205010ca6e70cea6

Рекомендуется обновиться до стабильной и поддерживаемой версии Ruby (2.1.2, 2.0.0 или 1.9.3).

>>> Источник

В ядре Linux обнаружена критическая уязвимость (CVE-2014-4943), позволяющая поднять свои привилегии в системе. Уязвима только подсистема PPP, работающая совместно с L2TP (собирается при включённом параметре CONFIG_PPPOL2TP). Уязвимости подвержены все ядра, начиная с 2.6.32. Возможно, другие версии ядра также уязвимы.

Если pppol2tp собран в виде модуля ядра, можно обезопасить себя, добавив в /etc/modprobe.conf:

alias pppox-proto-1 off
blacklist l2tp_ppp

В таком случае уязвимость можно проэксплуатировать только от учетной записи root.

RHEL 5 не подвержен уязвимости. Для RHEL 6 проблема актуальна, но только при условии, что администратор явно загрузил модуль ядра pppol2tp. Инструкции по устранению уязвимости можно найти здесь.

В апстриме уже исправлено.

Уязвимость исправлена, по всей видимости, в Ubuntu, о других дистрибутивах информации нет. О наличии рабочих эксплоитов пока неизвестно.

>>> Подробности

В выпущенной четыре дня назад библиотеке LibreSSL, которая создавалась как более простой и надежный форк OpenSSL, была выявлена серьезная уязвимость в генераторе псевдослучайных числе. Уязвимость была обнаружена Эндрю Айером (Andrew Ayer) и состоит в том что вызовы функции RAND_bytes в сочетании с использованием системного вызова fork могли генерировать одинаковые последовательности псевдослучайных данных.

Это происходит из-за недостаточной проверки факта использования вызова fork, который основывался на различии идентификатора процесса у родительского и дочернего процесса, но не учитывает что у второго поколения дочерних процессов идентификатор может совпадать с таковым у первоначально родителя. Для того чтобы избежать такого поведения в OpenSSL существует специальная функция RAND_poll, однако в LibreSSL эта функция была отключена с целью упрощения кода. Таким образом, прямая замена OpenSSL на LibreSSL может привести к изменению поведения программ, которые используют RAND_poll.
В дополнение автор сообщает о существовании схожей проблемы при использовании вызова chroot.

Разработчики LibreSSL в свою очередь признали существование проблемы, но заявили, что код, приведенный Эндрю Айером, не является показательным и не используется в реальных приложениях. К сожалению данная новость при всей ее значимости отсутствует на официальном сайте проекта LibreSSL, т.к. его разработчики в настоящее время «слишком заняты удалением лишнего кода».

Первоисточник

Сайт проекта LibreSSL

>>> Подробности

В реализации системного вызова ptrace выявлена опасная уязвимость, позволяющая поднять свои привилегии в системе. Уязвимость проявляется только на архитектуре x86_64 при использовании некоторых моделей CPU Intel. Проблема проявляется начиная с ядра 2.6.17, но техника эксплуатации для разных выпусков может отличаться. Для проверки наличия уязвимости опубликован рабочий прототип эксплоита.

Проблема вызвана отсутствием проверки корректности RIP-регистра в ptrace API, что при определённом стечении обстоятельств может привести к восстановлению некорректной точки возврата при использовании инструкции 'sysret'. Уязвимость уже исправлена в выпусках ядра Linux 3.15.4, 3.14.11, 3.4.97 и 3.10.47. Из дистрибутивов выпустивших обновление можно отметить Debian, Ubuntu и Arch Linux. Исправления пока не выпущены для CentOS, RHEL (проблема проявляется в RHEL 6/7, но не затрагивает RHEL 5), Fedora, openSUSE, SLES, Slackware, Gentoo.

>>> Подробности

В Сети появилась информация об обнаружении критической уязвимости в OpenVZ — популярной реализации технологии виртуализации на уровне операционной системы, базирующейся на ядре Linux.

Уязвимость, которой уже присвоен код CVE-2014-3519, кроется в функции open_by_handle_at(), позволяющей через структуру file_handle получить доступ к файлам на смонтированной файловой системе. Имея права рута внутри контейнера (а они обычно предоставляются хостером), злоумышленник может обойти ограничения файловой системы simfs и получить полный доступ к основной файловой системе (например, другим контейнерам).

Уязвимы все версии OpenVZ, основанные на RHEL6 и использующие файловую систему simfs. Доступно исправление от разработчиков.

Похожая уязвимость, позволяющая выйти за пределы контейнеров, недавно была выявлена и в системе контейнерной виртуализации Docker.

>>> Подробности

В ядре Linux обнаружена критическая уязвимость (CVE-2014-0196), позволяющая пользователю получить root доступ. Исправление уязвимости пока что доступно в виде патча. Уязвимость находится в версиях ядра начиная с 2.6.31-rc3 и заканчивая 3.15-rc5. Fedora и Ubuntu уже исправили данную уязвимость в своих сборках ядра. Проблема вызвана ошибкой в функции n_tty_write (drivers/tty/n_tty.c), в которой некорректно обрабатывалась ситуация доступа к виртуальному терминалу при использовании флагов «LECHO & !OPOST», что позволяло пользователю инициировать повреждение областей памяти ядра. Используя race conditions уязвимость позволяет добиться выполнения привилегированных команд во время выполнения из нескольких потоков одновременных операций чтения и записи длинных строк через терминал. При применении эксплоита с вероятность в 75% происходил крах ядра.

>>> Подробности

Появляется все больше хороших и плохих известий, связанных с уязвимостью “Heartbleed”.

Хорошие новости заключаются в том, что уже около трети серверов обновились и перестали быть уязвимыми. Плохая новость — по меньшей мере 600 тысяч машин остаются незащищёнными, вдобавок необходимо учесть количество встраиваемых систем, к которым уже перестали выходить обновления прошивок. Более того, зафиксированы свидетельства того, что уязвимость эксплуатировалась злоумышленниками еще в 2013 году. Компания MediaMonks обнаружила это после исследования журналов аудита за ноябрь прошлого года.

Эксперт по безопасности Брюс Шнайер назвал Heartbleed катастрофой. «По десятибалльной шкале это тянет на 11», написал он у себя в блоге. Шнайер оценивает вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей, как близкую к единице. Следует рассматривать любой сертификат и пароль, как скомпрометированный, поскольку обнаружить следы атаки было практически невозможно. Неизвестно, где и как отзовутся нам эти утечки.

>>> Подробности

Команда разработчиков OpenSSL Project выпустила срочный бюллетень безопасности, гласящий о критической уязвимости в библиотеке OpenSSL, которую обнаружили подразделение Google Security и компания Codenomicon.

Уязвимость, которой присвоен код CVE-2014-0160, находится в расширении Heartbeat (RFC6520) протокола TLS. Из-за отсутствия необходимой проверки в одной из функций, злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, использующих OpenSSL. В том числе, доступ к секретным ключам, именам/паролям пользователей и всему зашифрованному трафику. При этом, на компьютере не оставалось никаких следов проникновения.

Любой, кому было известно об уязвимости, мог прослушивать зашифрованный трафик в Интернете с марта 2012 года (когда вышла OpenSSL 1.0.1). Как раз тогда была опубликована методика атаки на протокол SSL - BEAST, в связи с чем многие перешли на более защищенную версию TLS 1.2, поддержка которой появилась именно в OpenSSL 1.0.1. Уязвимая версия OpenSSL используется практически во всем Интернете: веб-серверами Nginx и Apache, почтовыми и IM-серверами, VPN-серверами и клиентами, и массой других программ.

Уязвимы все ветки OpenSSL 1.0.1 и 1.0.2-beta. Всем пострадавшим нужно как можно скорее обновиться до версии 1.0.1g, а также создать новые ключи и сертификаты. В случае невозможности немедленного обновления необходимо пересобрать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.

>>> Подробности

В январе 2014 года разработчик Daniel Borkmann обнаружил и устранил уязвимость в ядре Linux, позволявшую удалённо осуществить повреждение стека и выполнить произвольный код с привилегиями ядра. Уязвимость находилась в файле net/netfilter/nf_conntrack_proto_dccp.c, относящемся к подсистеме conntrack, а конкретно, в коде функций «dccp_new()», «dccp_packet()», и «dccp_error()», обрабатывающих данные, поступающие по протоколу DCCP.

В минувший вторник уязвимость была официально признана критической, получив код CVE-2014-2523. Патч, устраняющий проблему, войдет в ядро Linux 3.14. Дополнительно отмечается, что уязвимость существует в ядре, как минимум, с версии 2.6.32 (по некоторым сведениям, с 2.6.26), и оставалась незамеченной на протяжении 4 лет.

>>> Подробности

В процессе аудита кода GnuTLS (свободной реализации протоколов TLS и SSL, предоставляющей приложениям API для обеспечения надежной связи по протоколам транспортного уровня) сотрудниками RedHat была обнаружена критическая уязвимость CVE-2014-0092.

Данная уязвимость схожа с недавно опубликованной уязвимостью в iOS и MacOS, когда из-за одной строчки кода проверка подлинности сертификатов фактически не выполнялась. Уязвимость находится в коде, отвечающем за проверку подлинности сертификатов X.509, и позволяет обойти эту проверку на всех выпусках GnuTLS с помощью специальным образом созданного сертификата. Например, злоумышленник может организовать атаку типа Man-in-the-Middle, а затем использовать поддельный сертификат для перехвата зашифрованного трафика жертвы. Некоторые эксперты по безопасности не исключают даже возможности распространения фальшивых обновлений пакетов в дистрибутивах Linux, поскольку невозможно с уверенностью сказать, не была ли их цифровая подпись подделана.

В одном только Debian библиотеки GnuTLS используются более, чем 350 пакетами. Уязвимости подвержены даже такие библиотеки, как libcrypt, libmailutils и cURL, которые тоже завязаны на GnuTLS, и используются для обновления других пакетов и работы почтовых приложений. Проблема усугубляется тем, что по лицензионным соображениям Debian и Ubuntu используют GnuTLS вместо OpenSSL, поэтом проблема затрагивает уже установленные Nginx, Apache и приложения VPN.

>>> Подробности

Вчера в сети появился рабочий эксплоит для всех версий ядра Linux от 2.6.37 до 3.8.10, позволяющий локальному пользователю получить права root. Эксплоит работает лишь на платформе amd64. В RHEL/CentOS 6 данная уязвимость была бэкпортирована в ядро 2.6.32. Таким образом, уязвимыми оказались все основные выпуски наиболее популярных серверных дистрибутивов: Debian 7.0, RHEL/CentOS 6, Ubuntu 12.04. О выходе обновлений, закрывающих уязвимость, пока ничего не сообщается.

>>> Исходники и краткая информация

Выпущены новые версии PostgreSQL, 9.2.4, 9.1.9, 9.0.13 и 8.4.17, в которых было исправлено несколько серьезных проблем безопасности:

• Возможность испортить или уничтожить некоторые файлы в каталоге с данными БД при специально составленном запросе на установление соединения с сервером (CVE-2013-1899). Аутентификация пользователя не влияет на эту проблему; достаточно наличия доступа к порту БД. Это наиболее важная проблема, ради которой временно был закрыт доступ к репозитариям с исходными тестами проекта для того чтобы информация о уязвимости не была доступа до того момента как появится протестированное исправление. Проблема существует только в версиях 9.x.
• Значения, получаемые из генератора псевдо-случайной последовательности в модуле pgcrypto могут быть предсказаны другими пользователями БД (CVE-2013-1900).
• Непривелигированные пользователи БД могут запустить некоторые команды, которые влияют на выполнение работающего резервного копирования БД (CVE-2013-1901).

Также в релизе были исправлены проблемы безопасности в графическом инсталяторе для Mac OS X и Linux и исправлено некоторое количество (не связанных с безопасностью) ошибок.

FAQ по первой проблеме

>>> Подробности

В утилите GNU grep обнаружена опасная уязвимость, которая проявляется при обработке входного потока и может быть использована для инициирования отказа в обслуживании и выполнения произвольного кода.

Уязвимы версии grep до версии 2.11 при обработке строки данных более 2 Гб на 64-битном хосте.

Ошибка может произойти, если не хватает доступной оперативной памяти, или если библиотека GNU C регулярных выражений не может справиться с такими длинными строками.

Команда для проверки уязвимости:

perl -e 'print "x"x(2**31)' | grep x > /dev/null

>>> Подробности

Уязвимость связана с возможностью передачи служебных параметров php-интерпретатору. Проверить наличие уязвимости можно, передав любому скрипту сайта в качестве аргумента опцию командной строки, например http://localhost/index.php?-s для показа исходного кода. Если этот способ не работает, значит ваш сайт не подвержен уязвимости.

Сервера с предустановленной панелью управления ISPmanager устойчивы к ней, так как не вызывают PHP напрямую, а используют wrapper-скрипт следующего содержания (для Linux):

#!/usr/bin/php-cgi

Во FreeBSD используется путь:

#!/usr/local/bin/php-cgi

Помимо использования wrapper'а, для устранения уязвимости можно обновиться до последних версий PHP 5.3.13 и PHP 5.4.3.

>>> Подробности

В экстренном порядке выпущены корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v, устраняющие критическую уязвимость, которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

( читать дальше... )

взято с opennet.ru

>>> Подробности