Bug

A McAffe szerint egy worm járja az internetet és támadja a webszervereket. Sebezhető PHP/CGI szkripteket keres (a közeli múltban ismerté vált awstat, xml-rpc, stb.). A hibajegy szerint ez a mostani féreg egy módosított leszármazottja a Linux/Slapper és BSD/Scalper worm-oknak.Mivel leszármazott, azokhoz hasonlóan scanneli a hálózatot, ``fertőz'', és terjed tovább. A sikeres támadás esetén az UDP 7111 / UDP 7222 portokon hallgat, és a /tmp-be egy lupii nevű file-t dob.

Bővebb infó itt.

(Valaki elmondaná nekem, hogy ez miért Linux hiba? A féreg neve Linux/Lupper.worm.)

A Secunia felhívása szerint a Macromedia 6-os és 7-es verziói olyan hibát rejtenek magukban, amelyet egy speciálisan szerkesztett swf fájllal kihasználva irányítást lehet szerezni a megtámadott gép felett.

Egy olyan súlyos hibát jelentett be tegnap a SUSE, amely érinti a SUSE LINUX 10.0, 9.3, 9.2, 9.1, 9.0, SuSE Linux Desktop 1.0, SuSE Linux Enterprise Server 8, SUSE SLES 9 és UnitedLinux 1.0 operációs rendszereket. A hibát kihasználva a rosszindulatú helyi támadó root jogot szerezhet.Thomas Gerisch azt fedezte fel, hogy a pwdutils-ban levő setuid-os 'chfn' program elégtelenül ellenőrzi a bemenetet, miközben megváltoztatja a GECOS mezőt. Ez a hiba triviálisan kihasználható privilégium-szint emeléshez (root).

A teljes bejelentés itt.

A milw0rm.com kiadott egy proof of concept kódot, amely a Mozilla népszerű Firefox böngészőjének biztonsági hiányosságát hivatott bemutatni.

A népszerű Clam AV-ban két sebezhetőséget fedeztek fel. Az egyik egy puffer túlcsordulást, a másik pedig DoS-t lehetővé tevő hiba. Az első hiba kihasználása esetén a rosszindulatú távoli támadónak lehetősége van tetszőleges parancsokat futtatni a rendszeren, míg a második hiba kihasználásával a rendszert túlterhelve azt működésképtelen állapotba hozhatja.Az első hiba a libclamav/upx.c fileban található. Ha a Clam AV speciálisan elkészített, UPX-szel csomagolt végrehajtható fileokat dolgoz fel, akkor puffer túlcsordulás jöhet létre.

A másik hiba a libclamav/fsg.c filban van. Ha a Clam AV speciálisan elkészített FSG-vel csomagolt végrehajtható fileokat dolgoz fel, akkor végtelen ciklusba kerülhet, amely az erőforrások felemésztéséhez vezethet.

A fent említett hibákat a távoli támadó egy levél mellékleteként elküldött file-lal elő tudja idézni.

Érintett verziók:

Clam AntiVirus (ClamAV) 0.86.2 és korábbiak

Javítás:

Frissítés Clam AntiVirus (ClamAV) 0.87-re

Az FrSirt kritikus minősítést adott a hibára. A hibajegy itt.

Reggel többen is észrevehették, hogy a Fórum nem érhető el. Ennek az oka az, hogy frissítenem kellett, mert a phpBB-ben ismét távoli kódfuttatási hibát találtak.

A phpBB viewtopic.php fileja egy olyan hibát tartalmaz, amelyen keresztül kompromittálható az azt futtató webszerver. A fileban egy olyan bemeneti ellenőrzési hiba van, amelyet kihasználva a rosszindulatú támadó tetszőleges PHP parancsokat hajthat végre a webszerver-t futtató felhasználó nevében.Az érintett phpBB verziók: phpBB 2.0.15 és a korábbiak

Javítás:

phpBB 2.0.16:

http://www.phpbb.com/downloads.php

Az FrSIRT figyelmeztetője itt.

A debian-devel-announce listára érkezett egy levél, amiben Colin Watson leírja, hogy a CD-ről telepített Debian Sarge sources.list filejában rossz a security update sor (benne maradt a ``testing'' a ``stable'' helyett).

Eredeti szöveg:

A bug has been discovered in the 3.1r0 CD/DVD images: new installs from these images will have a commented-out entry in /etc/apt/sources.list for "http://security.debian.org/ testing/updates" rather than an active entry for "http://security.debian.org/ stable/updates", and thus will
not get security updates by default. This was due to incorrect Release files on the images.

A Drupal névre hallgató népszerű CMS egyes verzióiban kritikus, távolról kihasználható hiba van. A hibát kihasználva a támadó adminisztrátori jogokat szerezhet a portálrendszerben.A hiba akkor használható ki, ha engedélyezve van a publikus regisztráció. Érintett verziók:

- Drupal 4.4.0, 4.4.1, 4.4.2

- Drupal 4.5.0, 4.5.1, 4.5.2

- Drupal 4.6.0

Javítás: frissítés a 4.4.3, 4.5.3, 4.6.1 verziókra, vagy a workaround-ként regisztráció letiltása.

A hibajegy itt.

Pénteken volt szó arról, hogy Colin Percival FreeBSD commiter hosszú titkolózás után előállt egy ``súlyos sebezhetőséggel'', amelyet az Intel processzorok HT implementációjában vélt felfedezni. A sebezhetőség súlyosságáról megoszlott a szakemberek véleménye, ezért úgy döntöttem, hogy az LKML-en teszem fel azt a kérdést, hogy milyen mértékben érinti ez a Linux felhasználókat...

A kérdésre Andi Kleen azt válaszolta, hogy ez nem kernel probléma, sokkal inkább user space gond. Szerinte a crypto embereknek kellene úgy megírni a programjaikat, hogy ne lehessen azokat kihasználni. Szerinte a Hyper-Threading letiltása - ahogy azt a FreeBSD projekt is tette a legutolsó biztonsági figyelmeztetője során - rossz megközelítése a probléma megoldásának. Alan Cox szerint a HT egy ügyes ötlet, de az engedélyezésével nem lehet annyit nyerni, hogy érdemes lenne bekapcsolni. Linus nem így gondolja. Szerinte a HT hasznos a latency csökkentése miatt. Szerinte, aki azt gondolja, hogy a HT hasznosságát a throughput-ban kell keresni, az téved. Szerinte a HT nagyon hasznos a rendszer válaszadási-képességének javításában, bár most, hogy érkeznek a dual core processzorok, egyre kevesebb a jelentősége. A sebezhetőségről... Linus szerint a sebezhetőség se nem új, se nem Hyper-Threading specifikus...

A thread jó hosszúra sikerült. Átolvasva képet kaphatunk arról, hogy ér-e valamit a Hyper-Threading, hogy mennyire kell komolyan venni a nagy felfedezést, stb... Akinek van kedve végigolvasni a majd 90 hozzászólást, az kezdje itt. Akinek nincs, az elolvashatja a rövidített verziót a KernelTrap-on itt.

Colin Percival FreeBSD fejlesztő és security team tag súlyos, helyileg kihasználható sebezhetőséget talált az Intel jelenlegi Hyper-Threading implementációjában.``A Hyper-Threading, ahogy jelenleg implementálva van az Intel Pentium Extreme Edition, Pentium 4, Mobile Pentium 4 és Xeon processzorokban, súlyos hibában szenved.''

A hiba kihasználásának következtében helyi információ szivárgás léphet fel. Például a rosszindulatú, privilégium nélküli, helyi felhasználó számára lehetővé válik, hogy ellopja a gépen levő RSA privát kulcsokat. A szakember a többfelhasználós rendszereket üzemeltető adminisztrátoroknak azt ajánlja, hogy azonnal tiltsák le a Hyper-Threading-et!