NFsec Logo

Żegnaj OverlayFS

26/02/2016 w Bezpieczeństwo Możliwość komentowania Żegnaj OverlayFS została wyłączona

N

a razie czas pożegnać się z systemem plików overlayfs dostępnym w jądrze Linux od wersji 3.18. Ostatnio ponownie pojawiły się kolejne błędy bezpieczeństwa w tym module. Jest to ostatnio jeden z najczęstszych składników wchodzących w skład możliwości eksploatacji bezpieczeństwa jądra. Skoro w systemie Ubuntu jest tylko modułem do załadowania, a na systemie nie uruchamiane są żadne kontenery – można go prosto wyłączyć tworząc plik /etc/modprobe.d/blacklist-ofs.conf:

# Overlayfs security issues
blacklist overlayfs
install overlayfs /bin/false

Ewidetnie widać, że projekt jest na razie zbyt młody pod względem kodu, aby mógł zostać z powodzeniem stosowany w systemach produkcyjnych.

Glibc Stack-based Buffer Overflow (CVE-2015-7547 i CVE-2015-5229)

21/02/2016 w Bezpieczeństwo Możliwość komentowania Glibc Stack-based Buffer Overflow (CVE-2015-7547 i CVE-2015-5229) została wyłączona

K

rytyczny błąd przepełnienia bufora na stosie został odkryty w sposobie w jaki biblioteka libresolv (glibc) przeprowadza podwójne zapytania DNS typu A/AAAA. Osoba atakująca może potencjalnie doprowadzić do zdalnego wykonania kodu (z uprawnieniami użytkownika uruchomiającymi bibliotekę) lub zawieszenia systemu poprzez specjalnie spreparowany ruch sieciowy w odpowiedzi DNS (PoC). Problem ten występuje tylko wtedy, gdy libresolv jest wywołana z modułu nss_dns usługi NSS (CVE-2015-7547).
[ czytaj całość… ]

Doładowujemy entropię systemu

06/02/2016 w Bezpieczeństwo Możliwość komentowania Doładowujemy entropię systemu została wyłączona

P

seudoRandom Number Generator (PRNG) jest wykorzystywany m.in. w narzędziach i programach kryptograficznych takich jak OpenSSL/TLS, czy OpenSSH. Nawet prosty program do symulacji rzutu kostką zależny jest od poziomu entropii, aby zapewnić dobrej jakości losowość wyników rzutów. W systemie Linux dostępne są dwa urządzenia do generowania losowości: /dev/random oraz /dev/urandom.
[ czytaj całość… ]

We are patching patching patching, a gdzie restart?

29/01/2016 w Administracja, Bezpieczeństwo Możliwość komentowania We are patching patching patching, a gdzie restart? została wyłączona

N

ie zawsze live patching jest możliwy. Dobrze przestrzegana polityka zarządzania poprawkami pozwala na redukcję słabych stron naszego systemu. Jednak nawet zaktualizowany system może posiadać stare procesy oraz biblioteki, które są jeszcze załadowane i używane w pamięci. W identyfikacji komponentów, które wymagają restartu może pomóc nam program o nazwie needrestart.
[ czytaj całość… ]

Logujemy logowania i nie tylko cz.I – moduły PAM

27/01/2016 w Bezpieczeństwo Możliwość komentowania Logujemy logowania i nie tylko cz.I – moduły PAM została wyłączona

Z

ałóżmy, że posiadamy centralny system logowania, który gromadzi różne dane z wszystkich naszych serwerów. Może być on oparty o komercyjne usługi typu Loggly, Logentries, DataDog lub własne rozwiązania, których sercem jest Elasticsearch, czy RethinkDB. Zależy nam na tym, aby każde normalne logowanie i to na uprzywilejowane konto root, czy to bezpośrednio na maszynę, czy to za pomocą sudo było przesyłane do naszego centrum danych. Dane te mogą posłużyć nie tylko jako ewidencja i kontrola osób, które mają prawo do tego typu działań, ale również umożliwia nam ich analizę i wykrywanie potencjalnych naruszeń bezpieczeństwa.
[ czytaj całość… ]

The Center for Internet Security

24/01/2016 w Bezpieczeństwo Możliwość komentowania The Center for Internet Security została wyłączona

C

IS jest organizacją non-profit założoną w październiku 2000 roku, której misją jest „podwyższanie gotowości i zdolności do cyberbezpieczeństwa wśród podmiotów sektora publicznego i prywatnego”. Wykorzystując swoją siłę w współpracy z przedsiębiorcami oraz organizacjami rządowymi CIS stara się podejmować wyzwania bezpieczeństwa cybernetycznego na globalną skalę. Pomaga również organizacją przyjmować kluczowe z najlepszych praktyk w celu uzyskania natychmiastowej i skutecznej obrony przed cyberatakami. W skład działań CIS wchodzą m.in. Multi-State Information Sharing and Analysis Center (MS-ISAC), CIS Security Benchmarks oraz CIS Critical Security Controls. Nas będą interesować benchmarki.
[ czytaj całość… ]

SLOTH (CVE-2015-7575)

20/01/2016 w Ataki Internetowe Możliwość komentowania SLOTH (CVE-2015-7575) została wyłączona

Security Losses from Obsolete and Truncated Transcript Hashes – jeśli jesteś zwolennikiem teorii, że ataki kolizji nie są jeszcze możliwe przeciwko takim funkcją skrótu, jak SHA-1 lub MD5 – to powinieneś zapoznać się z pracą dwóch badaczy z INRIA (The French Institute for Research in Computer Science and Automation), którzy przedstawili nowy rodzaj ataku przyśpieszającego pilną potrzebę odejścia od tych algorytmów kryptograficznych.
[ czytaj całość… ]

Nowa luka zero-day w jądrze Linuksa (CVE-2016-0728)

19/01/2016 w Ataki Internetowe, Bezpieczeństwo 1 komentarz.

P

erception Point ujawnił nową lukę bezpieczeństwa typu zero-day w jądrze systemu Linux, która umożliwia nieuprawnione podniesienie praw użytkownika do roli administratora (root). Luka istniała od 2012 roku, a aktualnie dotyka każdą maszynę wyposażoną w jądro Linux w wersji 3.8 i wyższej (oprócz dziesiątek milionów serwerów i komputerów podatne są także telefony z systemem Android KitKat i nowsze). Wykorzystując tą podatność atakujący są w stanie kasować i wyświetlać prywatne dane oraz instalować szkodliwe oprogramowanie. Kernel security team zostało już powiadomione i dzięki Red Hat Security team poprawki powinny zacząć pojawiać się w najbliższym czasie. Zalecamy jak najszybszą aktualizację.

Więcej informacji: Analysis and Exploitation of a Linux Kernel Vulnerability (CVE-2016-0728)

OpenSSH: błędy klienta CVE-2016-0777 oraz CVE-2016-0778

15/01/2016 w Ataki Internetowe, Bezpieczeństwo Możliwość komentowania OpenSSH: błędy klienta CVE-2016-0777 oraz CVE-2016-0778 została wyłączona

O

d wersji 5.4 (wypuszczonej w marcu 2010 roku), klient OpenSSH obsługuje nieudokumentowaną funkcjonalność o nazwie „roaming„: jeśli połączenie do serwera SSH zostanie nieoczekiwanie przerwane i jeśli serwer wspiera tą funkcjonalność – klient jest w stanie odnowić połączenie i odzyskać zawieszoną sesję SSH. Chociaż roaming nie jest jeszcze wspierany po stronie serwera OpenSSH jest standardowo włączony w kliencie i posiada dwie podatności, które mogą zostać wykorzystane przez szkodliwy (lub zaufany ale skompromitowany) serwer SSH: wyciek informacji (poprzez ujawnienie danych z pamięci) oraz przepełnienie bufora (z wykorzystaniem stosu).
[ czytaj całość… ]

Top 6 darmowych i publicznych serwerów DNS

13/01/2016 w Administracja Możliwość komentowania Top 6 darmowych i publicznych serwerów DNS została wyłączona

1. Google:
8.8.8.8, 8.8.4.4
2. OpenDNS:
208.67.220.220, 208.67.222.222
3. Norton ConnectSafe:
199.85.126.10, 199.85.127.10
4. Comodo Secure DNS:
8.26.56.26, 8.20.247.20
5. DNS.Watch:
84.200.69.80, 84.200.70.40
6. VeriSign Public DNS:
64.4.64.6, 64.6.65.6