Titkosítás, biztonság, privát szféra

Egy érdekes (és szerintem elég gázos) biztonsági hiba van az újabb böngészőkben: egy kis CSS segítségével kideríthető, hogy adott oldalakon járt-e már a felhasználó.Az eljárás lényege, hogy ha egy :visited és :active kiválasztók segítségével egy elemnek beállít az ember egy háttérképet, azok akkor fognak csak megjelenítésre kerülni, ha a felhasználó már járt az adott oldalon. Ez szerver oldalon figyelhető (például a logokban), ezáltal nyomon lehet követni a látogatók internetezési szokásait...

Bővebben: Weblabor cikk: Nyomozás a felhasználó magánéletéről CSS-el.

A NewsForge közölt ma egy meglehetősen részletes összehasonlító tanulmányt, amely a két rendszerre elérhető biztonsági technologiákat hasonlítja össze.

A napokban fedeztek fel egy távolról kihasználható hibát a cvs szerverben (heap overflow - CAN-2004-0396).

Számos disztribútor reagált a hibajegyre, és ki is adták a megfelelő javításokat.

A javítást végezze el mindenki, aki CVS szervert futtat, mert olyan, valószínűleg működő exploit kering az interneten, amely Linuxon és FreeBSD-n futó cvs szerveren keresztül root hozzáférést biztosíthat a rosszindulatú támadónak.

Az exploit forráskódja megtalálható itt.

Jason Miller a SecurityFocus biztonságtechnikával foglalkozó internetes szaklap állandó írója egyik mostani cikkében a OpenBSD ``Secure by Default'' hozzáállását méltatja. Az OpenBSD szlogenjét mindenki ismeri, aki egy kicsit is foglalkozott már érintőlegesen a számítógépes rendszerek biztonságával. Az OpenBSD honlapján olvasható ``Only one remote hole in the default install, in more than 8 years!'' (Egyetlen egy távoli rés több, mint 8 éven keresztül alapértelmezett telepítés esetén!) figyelemre méltó.

De felmerülhet a kérdés, hogy tényleg csak annak köszönheti ezt az OpenBSD, hogy alapértelemezett telepítés esetén szinte semmilyen szervizt nem futtat? Vagy szerepet játszhat ebben a szigorú kód audit, a megszorító intézkedések (W^X, ProPolice, Systrace, stb.) bevezetése is? Vagy csak azért kevesebb a feltört OpenBSD boxok száma, mert az OpenBSD-t futtatók már inkább az ``hozzáértők'' közül kerülnek ki? Vagy csak azért kevesebb a feltört OpenBSD boxok száma mert sokkal kisebb a felhasználói bázisa az OpenBSD-nek, mint a többi operációs rendszernek?

Aki tudja a választ, vagy van véleménye írja meg!

Mint ismeretes, nemrégiben komoly sebezhetőséget találtak a TCP protokollban. Úgy tűnik, hogy a Cisco megpróbál némi hasznot húzni a dologból és levédeti a hibalehetőség csökkentésére szolgáló megoldásokat.A fentebbi dokumentum - mely több levelezőlistán is felbukkant a nap folyamán - szerint az IETF irányítása alatt kidolgozott javítások egy részére a Cisco szabadalmi kérvényt nyújtott be.

Egyelőre nem tisztázott, hogy pontosan mely részekről van szó, mi a Cisco célja, és hogy a lépés mennyire érinti a szabad szoftevereket. Theo de Raadt szerint az IETF javaslatai egyébként is hibásak, helyette (természetesen) az OpenBSD megoldását kellene tanulmányozni.

Pár hete arról olvashattunk a médiákban, hogy egy komoly sebezhetőség található a TCP-ben (Transmission Control Protocol). A hibára Paul Watson hívta fel a figyelmet Slipping In The window: TCP Reset Attacks című munkájában. Akkor neves szakemberek a hibát komolynak nevezték, míg egyes hírforrások szerint csak a média fújta fel az ügyet.

A KernelTrap most egy interjút készített Theo de Raadt-tal, az OpenBSD projekt vezetőjével, hogy kiderüljön mi is az igazság. Az interjú egy két részes cikksorozat része. A cikksorozat célja, hogy segítségével az olvasó jobban megérthesse a TCP Reset Attacks típusú támadások mibenlétét.

A cikksorozat első részében egy kis ismertetőt olvashatunk a TCP működéséről.

A sorozat első részét megtalálod itt.

Megjelent a GrSecurity patch 2.0-ás verziója, most már tényleg :)



Mostantól a 2.0-ás a GrSecurity stabil ága, az 1.x hivatalosan is deprecated lett, de azért Brad még csinált egy 1.9.15-ös verziót a 2.4.26-hoz.

Letöltések:STABLE:

grsecurity-2.0-2.4.26.patch

grsecurity-2.0-2.6.5.patch

gradm-2.0.tar.gz

DEPRECATED:

grsecurity-1.9.15-2.4.26.patch

gradm-1.9.15.tar.gz

Bejelentes:

From: spender@grsecurity.net

Reply-To: grsecurity@grsecurity.net

To: grsecurity@grsecurity.net

Subject: [grsec] grsecurity 2.0, 1.9.15 released

grsecurity 2.0 has been released for the 2.4.26 and 2.6.5 kernels and

is now the stable tree of grsecurity.

grsecurity 1.9.15 has been released for the 2.4.26 kernel and is now the

deprecated tree of grsecurity.

Visit http://grsecurity.net/news.php for information on these releases.

If you or your company depends on grsecurity, please consider donating

to the project as it sustains maintenance of the project as well as

future development. One of the things I plan to write over the summer

is a completely transparent method of sandboxing an application that

essentially gives the application its own private version of the

filesystem (and thus it cannot affect the public version of the

filesystem so as to compromise it).

-Brad

Kijött a grsecurity a 2.4.26-os Linux kernelhez. Ezzel egy időben megjelent a 2.0-ás grsec pre is.[gresc levlist]

Linux 2.4.26-hoz megjelent a grsec patch és megjelent a grsec-2.0 pre leszedhetők innen: http://grsecurity.net/~spender/

Szintén van 2.6.5-höz is a 2.0-ás pre grsec, viszont a Debian használók, különösen figyeljenek ha kiprobálják, mert egy glibc hiba miatt még bootkor meg fog halni a dolog.

"There is a new option in PaX for the 2.6.5 kernel that disables the use of a fixed-address vsyscall page that could be abused for ret2libc attacks. Some Debian users may not be able to boot with the 2.6.5 patch at all due to a known glibc bug that has been unresolved for several months. Please redirect complaints to Debian."

A bugtraqen megjelent cikk szerint az X-Micro magyarországon is terjedő félben lévő routerének szoftvere (mindamellett, hogy súlyosan sérti a GPL-t) az internetről kihasználható backdoort tartalmaz.

A 80-as port azonnali bezárása (portforwardolása) vagy a firmware frissítése melegen ajánlott!Az érdekesség, hogy a javított (de nem hivatalos) firmwaret a bejelentés időpontjában már letölthetővé tettük a xmicro.risko.hu weblapon.

A későbbiekben a kis méretű, mindössze 10000 Ft körüli áron kapható eszköz firmwarének további, sokkal nagyobb léptékű fejlesztése is valószínűsíthető (pl. ssh).

Nyomás a boltba! :))

Az európai szoftver szabadalmak ellen tüntet a GnuPG hivatalos honlapja 5-e és 15-e között.