[2004. ápr. 21.] DSA-493 xchat - puffer túlcsordulás

A frissítésről szóló FAQ-nk itt.

Megjelent a Debian közösség szokásos heti hírlevelének, a DWN-nek az ez évi 16. száma.

A tartalomból:

Új portolási törekvés tűnt fel az OpenBSD projekten belül. Támogatás készül ahhoz a LUNA-88K (LUNA-88K2) névre hallgató, az Omron Corporation által gyártott, régi Unix munkaállomás platformhoz, amelyet a Motorola 88100 processzora(i) (kezdetben a Motorola 680x0 processzorok) hajtanak. A munkaállomás az 1990-es években tűnt fel először, az utolsó kiadásai már SMP-vel is bírtak.A port karbantartója Kenji Aoyama, segítségére van Miodrag Vallat. A projekt jelenlegi állása szerint az OpenBSD bebootol a LUNA-88K2 rendszeren (a későbbiekben a LUNA-88K is), eljut a multi-user szintig, támogatja a legtöbb alaplapi eszközt, de jelenleg csak egy processzort kezel.

A portról bővebb infó itt.

Két új biztonsági figyelmezetés látott napvilágot a NetBSD-hez:

- SA2004-005 - OpenSSL (DoS)

- SA2004-006 - TCP protokoll és implementáció

Az Internet Software Consortium (ISC) kiadta a BIND 9.3-as verzióját. A BIND ezen kiadása számos új funkciót, és biztonsági fejlesztést tartalmaz, többek közt támogatja az átdolgozott DNS Security (DNSSEC) protokollt.

Az ISC bejelentése itt.

Egy érdekes cikk jelent meg az InfoWorld-ön ``Sniffing for intruders'' címmel. Azokat biztosan érdekelni fogja, akik mélyebben foglalkoznak a hálózatos/internetes biztonságtechnikával...

Az cikk a Palisades cég SmokeDetector névre hallgató honeypot-járól szól. A``mézesmadzag'' FreeBSD-t futtat. A honeypot-ok rövid idő alatt elfogadott eszközeivé váltak a biztonsági szakemberek arzenáljának, de emellett egyre nagyobb teret nyernek a vállalati szférában is, mint nagy pontosságú, korai veszélyjelző rendszerek.

Mivel a honeypot-oknak semmilyen gyakorlati hasznuk nincs (azaz rajtuk nem fut semmilyen éles szolgáltatás), az ellenük irányuló összes aktivitást gyakorlatilag támadásnak tekinthetjük, és megtehetjük a támadás elhárítására a szükséges lépéseket. Számos komoly cég foglalkozik honeypot-ok ``gyártásával'', többek közt: KeyFocus (KFSensor), Network Security Software (Spector 7.0), és természetesen létezik nyílt forrású alternatíva is Honeyd néven. A felsorolt termékek szoftveres implementációk, de ha valaki hardveres megoldást keres, akkor a Palisade Systems SmokeDetector terméke lehet a befutó.

A honeypot-oknak általában egy, vagy több hálózati csatlakozásuk, és valamilyen gyenge operációs rendszer és szolgáltatás emulációjuk van. Mivel a honeypot egyetlen célja a támadás korai felismerése, a rendszer olyan szinten lebutított, hogy abban a támadó tulajdonképpen kárt nem tud okozni. A rendszer által szimulált ``szerver'' minimális funkciókat emulál, például portokon hallgat, minimális text bannereket szolgáltat, vagy esetleg leegyszerűsített login képernyőket tesz elérhetővé.

A SmokeDetektor is egy ilyen eszköz. Tulajdonképpen olcsó hardverből álló berendezés, amely teljes konfigurációban megrendelve 19 különböző operációs rendszert tud a külvilág fele hazudni. A stuff egy 1 unit magas gép, amelyet egy Intel Celeron 1.7GHz-es processzor hajt, 256MB RAM fizikai memóriával rendelkezik, merevlemezén pedig FreeBSD 4.6 fut.

Emulálni az alábbi szervizeket tudja: Auth, Finger, FTP, HTTP, IMAP, POP, SMTP, SSH (Secure Shell), Telnet, SMB (Server Message Block), UDP (User Datagram Protocol) és RPC szolgáltatások. Mint a többi ``low-interaction'' honeypot, a SmokeDetektor sem tud többet, minthogy a 19 operációs rendszert emuláljal, plusz a fent említett szolgáltatásokat kihazudja valamelyik portjára, megengedi, hogy a támadó kapcsolódjon és megpróbáljon bejelentkezni (ez természetesen soha nem sikerül).

A SmokeDetektor-ról szóló cikket megtalálod itt.

Egyébként használ valaki honeypot-ot közülünk?

Ugyan egy picit késett a hír, de 2004. április 18-án kiadták a K-3D 0.3.9.4 verzióját.

Kettős könyvviteli program jelent meg Linuxra. A program web alapú és Postgres adatbáziskezelőt használ.

Újabb súlyosnak mondható hibát találtak a Linux kernel egyes verzióiban. A hibát Paul Starzetz (ihaquer@isec.pl) és Wojciech Purczynski (cliph@isec.pl) fedezte fel. Az érintett verziók:

- 2.4.22 - 2.4.25

- 2.6.1 - 2.6.3A fent említett Linux kernelek ip_setsockopt() függvényében egy egész túlcsordulási hiba található. A hiba sikeres kihasználása privilégiumszint emeléssel járhat (root). A hiba nem sikeres kihasználása DoS-hoz, rendszer crash-hez és rendszer reboot-hoz járhat.

A hiba javítva van a 2.4.26 és 2.6.4-es kernelekben. A javítás javasolt!

A bejelentés itt.

Linus, a Debian vezető Martin Michlmayr, a Mandrake alapítója Gael Duval, Bruce Perens a backportolásról...



Tegnap írtam arról, hogy a SuSE vezető technológusa azt állította, hogy a 2.6-os Linux kernelből való backportolás nem jó dolog, mert akadályozza a Linux operációs rendszer egységesítését.

Linus Torvalds nem így gondolja. Szerinte a backportolás jó dolog.Nem csak Linus gondolja így. Miguel de Icaza a Novell (akinek tulajdonában van a SuSE) alelnöke, és a Ximian Inc. alapítója is úgy gondolja, hogy nem rossz dolog a backportolás, és kicsit védelmébe is veszi a Red Hat-ot.

``Nagyon kevés ember szállít vanilla Linus Torvalds kernelt...''

Ahogy a hacker elmondta, gyakori, hogy a fejlesztők olyan funkciókat adnak hozzá a hivatalos kernelhez, amelyekre a felhasználóiknak szükségük van. Példaként a Red Hat által backportolt Native Posix Threading Library-t (NPTL) állította, amelyből - mint azt az alelnök mondta - az általa (és a közreműködők által) fejlesztett Mono is profitál.

Érdekes, hogy egy házban dolgozó szakemberek különbözően nyilatkoznak...

Az InternetNews cikke itt.

A Yahoo egyik cikke tartalmaz olyan kijelentéseket, amelyek a címben olvashatóak. Biztonsági szakemberek fedeztek fel olyan súlyos hibát a Internetes technológia alapjaiban, amelyet kihasználva a támadók a számítógépeket offline állapotba hozhatják, és/vagy széles körű sikeres támadást intézhetnek az adatokat továbbító routerek ellen.

A hiba valóban komolynak nevezhető, hiszen olyan prominens személyek is megszólaltak az ügyben, mint Paul Vixie (cron daemon és számos más alap Unix program fejlesztője) az Internet Systems Consortium Inc.-től.

``Ez egy jelentős hiba'' - mondta Vixie. ``... tényleg nagyon fontos, hogy megtaláljuk a javítást azelőtt, mielőtt a rossz fiúk nekiállnak kihasználni a hibát mulatság és elismerés miatt.'' - mondta a szakember. A hiba a Transmission Control Protocol-t (TCP) érinti. A sebezhetőséget Milwaukee-i szakemberek fedezték fel a múlt év végén. A megszólaló szakemberek szerint ismert olyan eljárás, amellyel távolról becsaphatók úgy a személyi számítógépek és a routerek, hogy azok felfüggesztik az kommunikációt és teljesen reset-elődnek.

Az egyik legnagyobb router gyártó, a Cisco elismerte, hogy a routerei sebezhetőek, és megkezdte a javítások terjesztését a termékeihez. A Microsoft szerint a hiba nem olyan súlyos a Windows felhasználókra nézve, ezért nem tesznek azonnali lépéseket a kijavítására.

A Yahoo cikke itt.



További infók (anr küldte be):


``[2004.04.19] CAN-2004-0230

Az angol "National Infrastructure Security Co-Ordination Centre" hibát talált a TCP protokolban. A hibát kihasználva egy támadó képes DoS támadásokat intézni TCP adatfolyamok ellen, és a kapcsolatok idő előtti bontását előidézni.

Veszélyben vannak azok a routerek, amik BGP-t használnak, valamint a DNS, és a SSL szolgáltatás.

A hiba részletes leírása itt.

Az IETF kiadott egy rövid leírást a hiba megoldási lehetőségeiről megtalálod itt.''

Több embernek is okozott fejfájást átállva a Linux 2.4.x sorozatról a 2.6.x-re az egérkezelés (pl. IBM Thinkpad notebookokon az trackpoint kezelése horrorisztikus). Bizonyos konfigurációkon az egér furcsán viselkedhet, vagy rosszabb esetben akár egyáltalán nem működhet. Főleg a PS/2 egerekkel van/volt probléma.

Tuukka Toivonen most kiadta Lee Sau Dan korábbi PS/2 driverének frissített változatát.Az új driverben történt pár bugfix javítás, és jelenleg már jobban használható SMP környezetben. A driver elkészítésének egyik fő célja, hogy megőrizze a 2.4 userland egér meghajtókkal való visszafele kompatibilitást, azaz /dev/psaux-ot biztosítson. A driver készítője szerint a meghajtó-program azoknak hasznos, akiknek egérkezelési problémájuk van, mert ez a driver visszaállítja a korábbi 2.4-es kernel alatt megszokott egér magatartást.

A driver készítője el szeretné érni, hogy a driver bekerülhessen a mainline kernelbe. Andrew Mortont kérdezte az esélyekről, aki azt válaszolta, hogy ha beletenné, akkor az input fejlesztők azt úgy értelmeznék, mint egy rossz irányba történő lépést.

A driver hosszú vitához vezetett, amelynek a fő szála az volt, hogy egy egér drivernek valóban muszáj-e a kernelben lenni?

A thread itt kezdődik.

Linus kiadta a 2.6.6-os kernel második kiadásra jelölt verzióját. Benne nagy MIPS frissítés, de találunk benne hálózati stack, firewire, irda, bluetooth, hálózati driver frissítéseket is. Az anyag letölthető patch-2.6.6-rc2.bz2

Változások listája Linus levelében itt.

A kernel patcheléshez howtot itt találsz.

FreeBSD:

-----------

Jacques A. Vidrine egy levelet postázott tegnap a freebsd-security levlistára, amelyben egy vázlatot közölt a VuXML és a FreeBSD kapcsolatáról.

A VuXML egy ``Vulnerabilities and eXposures Markup Language'', azaz egy olyan jelölőnyelv, amellyel dokumentálni lehet egy port gyűjtemény biztonsági hibáit, sebezhetőségeit. A FreeBSD projekt február óta dokumentálja szorgalmasan a FreeBSD alaprendszerben, és a FreeBSD port gyűjteményben található sebezhetőségeket a VuXML-t felhasználva. A projekt a VuXML dokumentumot a FreeBSD repóban a ports/security/vuxml/vuln.xml fileban tárolja. Bármelyik FreeBSD committer képes frissíteni a filet, a FreeBSD security officer pedig a file felügyelője. A VuXML tartalma emberi fogyasztásra megtalálható a vuxml.freebsd.org/ címen, RSS feed-ként pedig a www.vuxml.org/freebsd/rss.xml url-en.

A VuXML-hez több segédprogram is megtalálható a FreeBSD Ports Collection-ben. Az egyik ilyen ``vxquery'' (ports/security/vxquery), amely egy egyszrű parancssori program. Segítségével könnyen értelmezhetjük közvetlenül a VuXML dokumentumot. A másik program a ``portaudit'' (ports/security/portaudit), amely szintén használja a VuXML-t ahhoz, hogy jelentést készíthessen azokról a portokról, amelyek biztonságilag nem megfelelőek, és egyben telepítve vannak a rendszerre.

Jaques bejelentése itt.

OpenBSD:

------------

Az OpenBSD projekt is intenzíven használja a VuXML-t arra, hogy dokumentálják az OpenBSD Ports & Packages Collection-ben felbukkanó biztonsági hibákat. Az OpenBSD-s VuXML-nek van magyar vonatkozása is, hiszen Nagy Róbert anonymous CVS fája (anoncvs@beastie.hu:/cvs) ad otthont a vuxml/vuln.xml filenak.

Az OpenBSD-s VuXML ember által értelmezhető verziója megtalálható a www.vuxml.org/openbsd/index.html oldalon, míg az RSS feed a www.vuxml.org/openbsd/rss.xml címen érhető el.

Keith Packard azon ígérete, hogy az X fejlesztése sokkal nyitottabb lesz, kezd valóra válni. Valamint kezd letisztulni, hogy az XFree86 projekt helyett az X.org Foundation lesz a befutó.Április elején jelent meg az X11R6.7, ami az X.org, és a freedesktop fejlesztők közös munkáját tartalmazza az XFree86 4.4RC2-hez képest (ez volt az utolsó "normális" licencű XFree86).

Ami most történt: az X.org szabad tagságot hirdetett (angolul itt), bárki beléphet.

Aki tag, az pedig szabadon választható a projekt igazgatótanácsába, és az "Architecture" csoportba. Hogy mit jelentenek jogilag ezek a poziciók azt itt találod.

A slashdot cikke itt.

Valaki innen tőlünk nem indul? ;-)

Oldalunkról letölthető az SQL-Ledger legutolsó 2.2.6 verziójának magyar kiegészítése.

Még nem láttam a hivatalos bejelentést, de a forrás elérhető az ftp://ftp.gnu.org/pub/gnu/gcc/gcc-3.4.0 címről.

A SuSE Linux vezető technológusa azt nyilatkozta, hogy a Linux kernel 2.6-os fájából való backportolás (backport = újabb funkció, program visszaültetése egy régebbi környezetbe) ``rossz dolog'', mert negatívan hat a szabad operációs rendszer egységesítési törekvésekre.

A Red Hat korábban kijelentette, hogy egyelőre nem kívánja a 2.6-os kernelt felhasználni a terjesztéseiben, de emellett jelentős munkákat fektet a 2.6-os kernelből való funkciók visszaportolására. A SuSE munkatársa bírálta azokat, akik backportolnak.Juergen Geck múlt hét csütörtökön beszélt erről a problémáról a Real World Linux Conference-en. A beszédjében felhívta az iparban tevékenykedő, kulcspozícióban levő cégek figyelmét arra, hogy óvakodjanak az olyan praktikáktól, amelyek a nyílt forrású fejlesztések egységesítésének törekvéseit fragmentálhatják.

A Red Hat weboldalán nyomon követhetjük, hogy hogyan ülteti vissza a neki tetsző funkciókat a legújabb stabil kernel fából.

Az internetnews cikke a dologról itt.

A kérdés: valóban van szükség backportolásra?

FreeBSD-SA-04:07.cvs - A távoli CVS repók felül tudnak írni tetszőleges helyi fileokat

[2004. ápr. 18.] DSA-492 iproute - denial of service

[2004. ápr. 17.] DSA-491 linux-kernel-2.4.19-mips - several vulnerabilities

[2004. ápr. 17.] DSA-490 zope - arbitrary code execution

[2004. ápr. 17.] DSA-489 linux-kernel-2.4.17-mips+mipsel - several vulnerabilities

[2004. ápr. 16.] DSA-488 logcheck - insecure temporary directory

[2004. ápr. 16.] DSA-487 neon - format string

[2004. ápr. 16.] DSA-486 cvs - several vulnerabilities

A frissítésről szóló FAQ-nk itt.

Megjelent ma a Portable OpenSSH 3.8.1p1-es verziója! A release egy bugfix kiadás, nincs benne új funkció és nincs összefüggésben a csak-OpenBSD kiadással. A kiadással egy időben megjelent az új OpenBSD póló is. A póló mi más körül foroghatna, mint az OpenBSD 3.5-ös verziójában megjelenő (várhatóan 2004. május 1.) CARP körül?

Az új Portable OpenSSH bejelentése itt.

Bővebb infó az OpenSSH weboldalán itt. Az új póló megtekinthető és megrendelhető itt.

Andrew kiadta a 2.6.6-rc1-es kernelhez az első -mm patchet. Beolvasztásra került a teljes anonmm rmap munka. Ezen kívül kódtisztítás és bugfixek jellemzik.Az anyag letölthető:

ftp://ftp.kernel.org/.../akpm/patches/2.6/2.6.6-rc1/2.6.6-rc1-mm1/

Változások listája AKPM levelében itt.

A kernel patcheléshez segítséget itt találsz.

Ma jelent meg a KDE 3.2.2-es verziója, amely egy bugfix kiadás (SP2).

Főleg mail kiszolgálót üzemeltetők figyelmébe!

Új víruscsoda: I-Worm.Zafi.A

Az éjszakai, hajnali órákban kezdett intenzíven terjedni a kis károkozó. A Vírusbuster már megfogja!Íme a Vírusbuster levelének részlete:

Vírus riasztás: I-Worm.Zafi.A (2004. április 19.)


Tisztelt Felhasználó!

A következő vírus felbukkanását és terjedését jelezték több helyről: I-Worm.Zafi.A


Új, e-mailen terjedő magyar vírus indult rohamos terjedésnek. A Zafi.A virtuális képeslapnak álcázott, magyar szövegű üzenetekben terjed. A levél melléklete a 11776 bájt hosszúságú, COM kiterjesztésű vírus. A férget a VirusBuster programok a 7.941-es, illetve annál újabb adatbázissal ismerik fel.

Nagyon kis disznó, hihetetlenül agresszív, az elmúlt két órában több, mint 4000 darabot fogtunk belőle!

Lelassítja a gépet, letiltja a regedit-et, valamint a következő progikat:

zonalarm.exe vbsntw.exe vbcons.exe pccguide.exe outpost.exe regedit.exe regedit32.exe navapw32.exe pcciomon.exe navdx.exe navstub.exe navw32.exe nc2000.exe ndd32.exe netmon.exe netarmor.exe netinfo.exe nmain.exe nprotect.exe ntvdm.exe ostronet.exe vsmain.exe vsmon.exe vsstat.exe vbust.exe mcagent.exe fsav32.exe fssm32.exe fsm32.exe fsbwsys.exe fsgk32.exe dfw.exe tnbutil.exe taskmgr.exe winlogon.exe

Postfix+VBMailShield egyelőre állja a sarat! :)

Jordi Mallach és a Debian GNOME team elkészült a GNOME 2.6 csomagokkal.