"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 53090 157
Posts

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
Hiho,
Nachdem ja des öfteren in letzter Zeit größere Sicherheitslücken bekannt wurden (durch Heartbleed und Konsorten) dachte ich mach hier mal einen Thread für "kleinere", also wenn irgendwann mal eine Library oder ein Programm verwundbar ist, das relativ viele verwenden. (Sowie samba, irgendwelche mediaserver, ..)

Grund ist eigentlich das hier:
Falls sich irgendwer erinnern kann, es gab zu Weihnachten einen Typen der zum Spaß ein Backdoor in seinem Router gesucht hat, und das TCP-Port 32764 Backdoor gefunden hat. Jetzt hat er zu Ostern festgestellt das das Backdoor gepached wurde und dafür ein anderes Backdoor eingebaut wurde :D :D
http://www.synacktiv.com/ressources...kdoor_again.pdf

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
aktuell:
Java SE update würde ich vorschlagen für alle die es wirklich brauchen.
4x critical Remote Code Exekution.
JRE 1.6 -> end of life (deinstallieren - außer es gibt einen Grund)
JRE 1.7 -> Upgrade auf 1.7 u55
JRE 1.8 -> ebenfalls updaten

klarerweise ist auch das JDK betroffen. Schlimmer ist aber die JRE, da die Plugins im Browser geladen werden. Chrome fragt immerhin nach ob Java ausgeführt werden soll. IE ist anfällig auf Drive by Downloads - bei einem erfolgreichen exploit bekommt man 0 mit. Virenscanner helfen hier Imho auch nix, da die Signaturen nicht bekannt sind.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
iOS Devices mit Jailbreak sind ev. gefährdet
http://www.iphonehacks.com/2014/04/...en-devices.html

Zitat
This malware appears to have Chinese origin and comes as a library called Unflod.dylib that hooks into all running processes of jailbroken iDevices and listens to outgoing SSL connections.From these connections it tries to steal the device’s Apple-ID and corresponding password and sends them in plaintext to servers with IP addresses in control of US hosting companies for apparently Chinese customers.

how to remove:

Zitat
To find out if you’re infected by the malware, navigate to the following folder using iFile:
/Library/MobileSubstrate/DynamicLibraries/ and check if there is a Unflod.dylib library in that location.

Alternatively, Esser is also advising that users could run a grep command to check if they’re infected:

So I guess it would help if those infected by this try to do a "grep -R 'WANG XIN' /Applications/" on their systems

Genaue Analyse
Bearbeitet von Smut am 22.04.2014, 15:04

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
Ansich ist es ja nichts besonderes, es gibt wieder einen Zero-day für Microsofts Internet Explorer. Problematisch ist diesesmal nur, dass windows XP mit hoher Wahrscheinlichkeit auch betroffen ist. Microsoft gibt dazu aber keine Infos mehr, da XP end of life ist. IE6 am Server 2003 ist allerdings betroffen ;)
Fireeye, die den Exploit entdeckt haben, sprechen von Internet Explorer 9-11.

Quelle: Fireeye

MS: MS Security Advisor

Mein Tipp:
verwendet unbedingt Microsoft EMET (Enhaned Mitigation Expirience Toolkit) setup braucht keine 30 sekunden.

EMET Sichert mit den Default-Settings den IE/Office/Adobe Reader sehr gut gegen Zero-Days ab. Vorallem unter XP abslutes Must-Have.
EMET ist eine Mitigationsstrategie, mit der man besonders gefährdete Programme absichern kann. Meiner Erfahrung nach gibt es nur wenige Kompatibilitätsprobleme. Wenn EMET einen Aufruf verhindert erhält man sofort ein EMET-Popup, dass darauf hinweist. Somit kann man schnell False positives rausfinden -> in der Regel macht z.b DEP Probleme mit Office-Plugins.
Beim IE schlägt DEP ebenfalls bei Plugins an -> nur diese Plugins (toolbars etc.) würde ich entfernen. ;)
Bearbeitet von Smut am 29.04.2014, 16:11

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
Bug im Linux-Kernel:
betroffen sind anscheinend "alle Kernel-Versionen von 2.6.31-rc3 bis zur aktuellen Stable-Version 3.14.3 und der Mainline-Version 3.15-rc5."
http://www.heise.de/open/meldung/Sc...le-2187501.html

wergor

fantasiebefreit
Avatar
Registered: Jul 2005
Location: graz
Posts: 2985
"Bashbleed"
http://heise.de/newsticker/meldung/...de-2403305.html
Zitat
Die großen Linux-Distributionen sind momentan dabei, eine von den Entwicklern des Bash-Projektes als kritisch eingestufte Sicherheitslücke zu stopfen. Diese bedroht vor allem Webserver und erlaubt das Ausführen von beliebigem Schadcode aus dem Netz.

Betrifft fast alle linux- distris und unix- und BSD versionen.
Bearbeitet von wergor am 25.09.2014, 09:03

Neo-=IuE=-

OC Addicted
Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3093
Der Super-GAU...

Damit mein ich vor allem Systeme die auf eben *nix-Systemen aufsetzen aber sehr angepasst wurden. z.b. auch Security-Systeme.
Warum ist es dort schlimmer? -> Weil dort die Updates meist nicht so leicht von der Hand gehen wie auf einer normalen Distri....

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
supergau ist es imho nicht.
problematisch sind server auf denen man unauthenticated remote code ausführen kann -> sprich webserver die irgendwas mit mod-cgi machen. generell ist natürlich alles betroffen, das auf die bash zurückgreift, ausnutzbar ist es imho nur bei wenigen.

es lässt sich auch sehr leicht fixen - WENN ein patch verfügbar ist.
auf einer Scala von 1-heartbleed ist das ca. 5 - imho

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
patch ist übrigens incomplete. ich schlage vor vorerst noch abzuwarten:
http://web.nvd.nist.gov/view/vuln/d...d=CVE-2014-7169

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
Kann irgendwer auf einem gepatchten Server (Also client + host gepached) mal ein "scp" probieren ? Vielleicht liegt der Fehler woanders, aber bisher ging es immer, jetzt meckert er..
(Explizit stört ihn, das er Programme (wc, scp) am Host nicht ausführen kann, die aber am Host definitiv im Pfad sind..)

COLOSSUS

"Hi!"
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 10751
Zitat von Smut
patch ist übrigens incomplete. ich schlage vor vorerst noch abzuwarten:
http://web.nvd.nist.gov/view/vuln/d...d=CVE-2014-7169

Abwarten ist die absolut falsche Idee, weil arbitrary I/O redirection ist nicht weniger schlimm als arbitrary I/O redirection PLUS remote code execution...

Wichtig ist vor allem, /bin/sh auf einem System nicht ueber bash abzuwickeln, weil man dann auch bei allen C-Library-Funktionen aus der exec(3)-Familie (und allen Wrappern in anderen Sprachen wie Perl, PHP, etc.) verwundbar ist, die ueber die systemweite Shell Kommandos ausfuehren.

Unter Debian ist `dash` Standard, aber viele Leute moegen das oft nicht und switchen absichtlich (aus Komfortgruenden) zur bash. Noninteraktiv wieder auf dash zurueck kommt man dann (bei installierter dash) so:

Code:
echo "dash dash/sh boolean true" | debconf-set-selections; dpkg-reconfigure -f noninteractive dash

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
Zitat von COLOSSUS
Abwarten ist die absolut falsche Idee, weil arbitrary I/O redirection ist nicht weniger schlimm als arbitrary I/O redirection PLUS remote code execution...
[/code]
ich denke es kommt auf den fall drauf an und wie exponiert das system ist.
wir stehen z.b. gerade vor der entscheidung bei einer 4 stelligen anzahl von servern, da kannst nicht mehr einfach drauf losgehen :/

bei einer handvoll servern würde ich es auch updaten. bei besonders exponierten ebenfalls.

mehr sorgen machen mir derzeit appliances udgl. da wird wohl erst im laufe der nächsten woche etwas kommen.

COLOSSUS

"Hi!"
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 10751
Wenn du in einer Situation bist, wo dir der bislang veroeffentliche Patch wurscht sein kann, dann bist du auch in einer Sitatuin, wo dir der korrigierte, vebresserte Patch, der noch in der Mache ist, wurscht sein kann. Wenn nicht, _MUSS_ man sich _JETZT_ was ueberlegen.

Wenn eure Infrastruktur darauf ausgelegt ist, dass ihr Sicherheitsupdates ueber die ganze Flotte, auch mit 10.000 Hosts, ausrollen koennt, ist es wohl egal, ob ihr jetzt 1.5M pro Host patcht und dann ein paar Stunden/Tage spaeter nochmal das gleiche macht. Wenn das wirklich ein ernsthaftes bzw. bedenkenswertes Problem fuer eure Infrastruktur darstellt, solltet ihr sie ueberdenken - was macht ihr z. B., wenn mal eine ganze JRE auf allen Hosts getauscht werden muss?

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
du hast prinzipiell recht aber zumindest redhat schreibt sie arbeiten dran, ETA gibt es leider keine.
wenn man davon ausgehen kann, dass bis heute abend/nacht kein Patch kommt, bin ich auch für die variante 2x zu patchen.

bei einzelsystemen: macht es einfach ;)

Zitat
Update: 2014-09-25 03:10 UTC

Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority. For details on a workaround, please see the FAQ below.
Bearbeitet von Smut am 25.09.2014, 15:37

wergor

fantasiebefreit
Avatar
Registered: Jul 2005
Location: graz
Posts: 2985
mein homeserver war schon gepatched als ich die news gelesen hab. cron job ftw :)
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz