RSecurityProject
[ver. 1.0.1]

Почитатать текущий выпуск

Вирус 'Ramen Worm'

Саморазмножающийся Internet-вирус, который атакует ПК на базе Red Hat Linux, заразил уже сотни (тысячи?) машин. Проблемы возникают в rpc.statd и wu-ftpd. Как действует вирус? При попадании вируса в компьютер, он заменяет заданную по умолчанию страницу сервера сети и устанавливает rootkit. После этого следует отправка електронной почты двум web-базирующимся аккаунтам и scanning сети в поиске следующей жертвы. Сканирование сети потребляет большое количество ресурсов ПК, из-за чего машина "страшно тормозит". Опасность: зависание ПК во время сканирования вирусом сети, возможность автора вируса (или кого-то другого), используя rootkit, обратиться к вашей машине. Что делать? По заявлением разработчиков RedHat Linux апдейты уязвимых вирусом программ были доступны с сентября 2000 года. Но если вы "не успели", то "лучше позже, чем никогда":
пользователям Red Hat Linux 6.2:

wu-ftpd update
Дата релиза: June 23, 2000
http://www.redhat.com/support/errata/RHSA-2000-039-02.html

nfs-utils update
Дата релиза: July 21, 2000
http://www.redhat.com/support/errata/RHSA-2000-043-03.html

Так же не помешает иногда заглядывать на нижеуказанный URL для поиска чего-то нового, связанного с безопасностью вашей системы:
http://www.redhat.com/support/errata/rh62-errata-security.html

пользователям Red Hat Linux 7:

lprng update
Дата релиза: October 4, 2000
http://www.redhat.com/support/errata/RHSA-2000-065-06.html

Так же не помешает иногда заглядывать на этот URL для поиска чего-то нового, связанного с безопасностью вашей системы:
http://www.redhat.com/support/errata/rh7-errata-security.html

MySQL

MySQL, популярная, основанная на SQL, база данных, имеет буферное переполнение [buffer overflow] во всех версиях до 3.23.31. Эта уязвимость может использоваться, чтобы получить доступ ко всем базам данных на сервере. Пользователю, который имеет доступ к базе данных (т.е. свой логин и пароль) необходимо внести коррективы в свою систему. Рекомендуется модернизировать MySQL до версии 3.23.31 или более новой.

cu

Утилита cu является частью пакета uucp и имеет обыкновение вызывать другие системы. При этом возникает буферное переполнение в пути, которым копируется это имя во нутреннюю переменную. На большинстве систем cu проинсталлирован root'om как часть пакета uucp. Эксплуатация этого буферного переполнения может быть использована, чтобы потенциально обеспечить root-доступ, заменяя при этом несколько обычно используемых приложений (которые типично принадлежат uucp) на trojaned-версии. Данная операция может открыть доступ к root-файлам. Также, на системах, использующих uucp, вследствии атак может быть получен доступ к uucp-файлам, которые содержат логины и пароли для других систем. Если я не ошибаюсь, то на версии uucp, которые базируются на Taylor uucp это не действует. Рекомендуется: системам, которые не используют uucp, удалить suid bit из cu или вообще удалить uucp. Системам, которые используют uucp, внимательно следить за обновления (патчами) пакетов на сервере вашего релиза Linux.

tcpdump

Tcpdump версии 2.5.2, утилиты для анализа сети, имеет удаленное буферное переполнение. С помощью удаленного доступа можно просмотреть скрипт, который был запущен на root-машине. Так как эта утилита обычно запускается root'ом, чтобы можно было использовать сетевой интерфейс в расширенном режиме, то атакующий может использовать данную проблему для доступа к системе. К сожалению, на данный момент я незнаю патча для tcpdump. Рекомендуется пока "оставить в покое" tcpdump до выхода патча.

micq

Аналог ICQ для Linux, micq, может использоваться удаленным пользователем в связи с буферным переполнением. Эта проблема может позволить удаленному пользователю исполнять произвольный код с правами доступа пользователя, который работает в micq. К сожалению, на данный момент я незнаю патча для micq. Рекомендуется зайти на сайт разработчика данной программы для апдейта вашей версии Linux-клона ICQ.

jaZip

Программа для управления Iomega Zip или Jaz-дисками, jaZip тоже имеет проблему с буферным переполнением. Поскольку эта программа чаще всего инсталлируется root'ом, это может использоваться злонамеренными пользователями для того, чтобы "ощутить себя в роли супер-пользователя", т.е. стать root'ом. Для решения этой проблемы был выпущен апдейт. Если вы не используете данную утилиту, то рекомендуется ее удалить или заглянуть на сайт производителя вашего релиза для обновления.

SuSE rctab

rctab, скрипт, используемый в SuSE Linux, для редактирования запускаемых уровней, имеет проблему с использованием временной директории. Эта проблема с временным файл-кодом может быть использована для перезаписи произвольных файлов, запущенных пользователем программ (в большинстве случаев, root'ом) на смену прав доступа на write. Скрипт rctab можно сделать безопасным, изменив строку mkdir -p ${tmpdir} на mkdir ${tmpdir}. Работа с этим типом опасной временной директории установит $TMP системную переменную к временной директории, с правами доступа write только для вас, например, $HOME/tmp. Это заставит большинство программ использовать указанное расположение ($TMP) для их временных файлов и обеспечит некоторую защиту против этого типа атаки. Пока что, я не проверял работу rctab с этим нововведениям.

Interscan VirusWall

Утилита Micro's Interscan VirusWall используется для обнаружения и очистки (лечения) вирусов в реальном времени. С использованием данной утилиты связано несколько проблем: когда администратор изменяет пароли, они пересылаются по сети в "чистом виде" (незашифрованном); имя пользователя и пароль внедряются в каждый запрос, используемый администратором; кроме этого, это создает временные файлы, которые могут использоваться для перезаписи файлов и стать известными пользователям, у которых запущен VirusWall. В связи с этим, рекомендуется устанавливать Interscan VirusWall на автономном блоке (stand-alone box) и не использовать программу просмотра удаленно. По сообщениям разработчиков Interscan VirusWall, они не собираются выпускать патч для устранения проблемы в своей программе, а вместо этого выпустят новую версию (дата: конец февраля - начало марта 2001 г.).

Veritas Backup Execl

Пользователями OS Linux было сообщено, что агент компонента Veritas Backup Exec (солюшен для резервирования multi-platform) зависает, когда делается подключение к его порту и не посылается никаких данных. Этот тип соединения может быть вызван такими действиями, как, например, сканирование портов. Данная проблема существует не только в "мире Linux", но еще и в AIX, Solaris, MS Windows и Mac. На данное время пока еще неизвестно (по крайней мере, мне) заплат для нормального функционирования Veritas Backup Execl.

Oracle Application Server

Oracle представил патч для решения проблемы с функцией mod_plsql в Oracle Application Server. Этот патч позволяет администратору исключать URL'ы с определенными форматами от начала его прохождения (принятия) до mod_plsql. По умолчанию патч исключает URL'ы со специальными символами типа пробел (space), новая строка (newline), табуляция (tab), одиночных кавычек (single quotes) и косой влево (backslash). Этот патч рекомендуется при использовании Internet Application Server версии 1.0.2.0.

IBM Websphere Commerce Suite

Поступила информация, что проблемы с IBM Websphere включают все IBM Websphere-серверные приложения, а не только коммерческий сервер. В дополнение к обеспечению безопасности в admin.config, вам также необходжимо обеспечить безопасность sas.server.properties-файла. Также рекомендуется не помещать учетные записи администрации домена непосредственно в Websphere.