Новости сетевой безопасности, все новости по сетевой безопасности
8.04.2014 - 20:29 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Критическая уязвимость в OpenSSL
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. » Нажмите, для открытия спойлера | Press to open the spoiler « Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему. Некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. В то время была продемонстрирована успешная атака на TLS (BEAST), и многие перешли на защищенную версию TLS 1.2, появление которой совпало с выходом OpenSSL 1.0.1. Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик. Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL: Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4) Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11) CentOS 6.5, OpenSSL 1.0.1e-15) Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c) FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c) NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server. Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS. Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
10.04.2014 - 15:18 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| OpenSSL писали обезьяны
Результат работы эксплойта в домене yahoo.com Специалисты по информационной безопасности продолжают обсуждать ситуацию с уязвимостью OpenSSL 1.0.1: из-за бага в расширении Heartbeat для TLS любой человек в мире мог просмотреть содержимое оперативной памяти примерно 66% всех серверов в интернете, фрагментами по 64 КБ. Как минимум десятая часть этих серверов уязвима и сейчас, спустя 36 часов после выхода патча для OpenSSL 1.0.1. Вчера в открытом доступе появился эксплойт для простого считывания памяти удаленного сервера (вот одна из его модифицированных версий с более удобной выдачей результата сканирования) и инструменты для поиска уязвимых серверов. Сегодня вышел специализированный скрипт для сканера Nmap , модуль для Metasploit . Появились даже забавные «ханипоты», которые в ответ на попытку сканирования выдают картинки в псевдографике. Что характерно, вышеупомянутая уязвимость — вовсе не единственный баг в OpenSSL. Специалисты давно говорили о крайне низком качестве кода этой библиотеки. Еще в 2009 году вышла статья «OpenSSL писали обезьяны» , а в твиттер-аккаунте @OpenSSLFact каждый день публикуют примеры ужасного кода из OpenSSL. Источник: Xakep | |
| |
13.04.2014 - 18:40 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Уязвимость Android позволяет уничтожить любые данные
Антивирусная лаборатория Trend Micro уведомила об обнаружении уязвимости Android, позволяющей зловредным приложениям стирать всю информацию и заставлять инфицированные устройства выдавать бесконечные циклические сообщения об ошибке.» Нажмите, для открытия спойлера | Press to open the spoiler « Баг, названный Denial-of-Service, работает в Android-версиях с 2.3 по 4.3, в которых нападающие могут эксплуатировать уязвимость типа memory corruption и еще маскировать нападение внутри кода легальных приложений, поскольку выполнение таких зловредных кодов возможно лишь после попадания их на атакованное устройство. Впоследствии, вызвав на «андроидном» гаджете поле с наименованием приложения, имеющего экстремально длинное название параметров (превышающее 387000 символьных знаков), можно активировать на этом планшетнике или смартфоне бесконечную череду сбоев. В Trend Micro утверждают, что вскрытая ими брешь может привести Android-устройство в полностью неработоспособное состояние, причинив при этом непоправимый вред пользовательской информации вплоть до необходимости заводского сброса операционки. А при определенном модифицировании кода устройство может быть отправлено в бесконечную череду перезагрузок. До этого, пояснили далее специалисты Trend Micro, схожие уязвимости имели место только на Windows-системах . Далее эксперты антивирусного агентства пояснили, что для Android опасность состоит еще в имеющейся у разработчиков приложений возможности надежно замаскировать зловредный потенциал при тестировании приложений модераторами Google Play. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Истчоник: winline_ru | |
| |
27.04.2014 - 17:13 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Критическая уязвимость в Microsoft Internet Explorer
Опасность: Критическая Наличие исправления: НетКоличество уязвимостей: 1 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:U/RC:C) = Base:10/Temporal:10 CVE ID: CVE-2014-1776 Вектор эксплуатации: Удаленная Воздействие: Компрометация системы CWE ID: Нет данных Наличие эксплоита: Активная эксплуатация уязвимости Уязвимые продукты: Microsoft Internet Explorer 6.x Microsoft Internet Explorer 7.x Microsoft Internet Explorer 8.x Microsoft Internet Explorer 9.x Microsoft Internet Explorer 10.x Microsoft Internet Explorer 11.x Уязвимые версии: Microsoft Internet Explorer 6.x, 7.x, 8.x, 9.x, 10.x, 11.x Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки при обработке доступа к объектам в памяти в библиотеке VGX.DLL. Удаленный пользователь может с помощью специально сформированного web-сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Уязвимость активно эксплуатируется в настоящее время. | |
| |
29.04.2014 - 22:39 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Компрометация системы в Adobe Flash Player
Опасность: Критическая Наличие исправления: Да Количество уязвимостей: 1 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:O/RC:C) = Base:10/Temporal:8.7 CVE ID: CVE-2014-0515 Вектор эксплуатации: Удаленная Воздействие: Компрометация системы CWE ID: Нет данных Наличие эксплоита: Активная эксплуатация уязвимости Уязвимые продукты: Adobe Flash Player 11.x Adobe Flash Player 13.x Уязвимые версии: Adobe Flash Player версии до 13.0.0.182 для Windows Adobe Flash Player версии до 13.0.0.201 для Macintosh Adobe Flash Player версии до 11.2.202.350 для Linux Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать переполнение буфера. Для успешной эксплуатации уязвимости пользователь может выполнить произвольный код на целевой системе. Примечание: уязвимость активно эксплуатируется в настоящее время. Установите последнюю версию с сайта производителя! | |
| |
27.05.2014 - 19:33 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Смартфоны на базе Android могут рассылать фото без ведома пользователя
Инженер Шимон Сидор, когда-то трудившийся на корпорацию Google, обнаружил в популярнейшей ОС для смартфонов весьма серьезный недочет. » Нажмите, для открытия спойлера | Press to open the spoiler « Используя его, злоумышленники могут без участия владельца смартфона, планшета или иного устройства на Android получать снимки и отправлять их на удаленный сервер. Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото. Как сообщает экс-сотрудник Google, пользователь, включив экран, все равно не сможет заметить вторжение, получение и отправку данных. Это не означает, что превью готового снимка не выводится на дисплей, однако оно столь мало (размером с пиксель), что зафиксировать его появление невооруженным глазом невозможно. Google может закрыть данную уязвимость, введя ограничение на минимальный размер превью фото (в существующих версиях Android его нет). Инженер призвал внимательнее относиться к приложениям, имеющим отношение к камере устройства. Чтобы гарантировать безопасность своего девайса, необходимо применять гугл-аутентификацию в 2 ступени, отключить на смартфоне возможность удаленной загрузки и установки программ. Все ненужные приложения, работающие с камерой, Шимон Сидор порекомендовал удалить. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: onliner_by | |
| |
6.06.2014 - 14:57 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| OpenSSL: новая уязвимость: возможность выполнить MITM атаку (CVE-2014-0224)
Дата публикации: 06.06.2014 Дата изменения: 06.06.2014 Опасность: Высокая Наличие исправления: Да Количество уязвимостей: 5 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:OF/RC:C) = Base:6.4/Temporal:4.7 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7 CVE ID: CVE-2014-0195 CVE-2014-0198 CVE-2014-0221 CVE-2014-0224 CVE-2014-3470 Вектор эксплуатации: Удаленная Воздействие: Отказ в обслуживании Раскрытие важных данных Неавторизованное изменение данных Компрометация системы Уязвимые версии: OpenSSL 0.x OpenSSL 1.x, возможно более ранние версии Описание: » Нажмите, для открытия спойлера | Press to open the spoiler « Обнаруженные уязвимости позволяют удаленному пользователю доступ к определенной конфиденциальной информации, манипулировать важными данными, вызвать отказ в обслуживании и выполнить произвольный код на целевой системе. 1. Уязвимость существует из-за ошибки при обработке рукопожатий SSL/TLS. Удаленный пользователь может с помощью специально сформированного рукопожатия использовать слабость данных ключей и в последствии совершать атаку «человек посередине». 2. Уязвимость существует из-за ошибки в клиенте DTLS OpenSSL. Удаленный пользователь может с помощью специально сформированного DTLS рукопожатия вызвать рекурсию и аварийно завершить работу приложения. 3. Уязвимость существует из-за ошибки в реализации DTLS OpenSSL. Удаленный пользователь может с помощью специально сформированных фрагментов DTLS. Удаленный пользователь может вызвать переполнение буфера. Для успешной эксплуатации уязвимости пользователь может выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за ошибки разыменования нулевого указателя в функции "do_ssl3_write()".Удаленный пользователь может аварийно завершить работу приложения. Для успешной эксплуатации уязвимости требуется чтоб SSL_MODE_RELEASE_BUFFERS был включен. Эта уязвимость присутствует в версии 1.x до 1.0.0m и до 1.0.1h. 5. Уязвимость существует из-за ошибки в неизвестных шифрах ECDH. Удаленный пользователь может вызвать отказ в обслуживании в клиенте OpenSSL. Уязвимости №1-№3 и №5 представлены в версиях до 0.9.8za, 1.0.0m и до 1.0.1h. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник:.securitylab_ru | |
| |
19.06.2014 - 17:38 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Google обнаружила уязвимость в программном обеспечении Microsoft
В нескольких антивирусных программах от Microsoftбыла обнаружена критическая уязвимость, которая позволяет злоумышленникам отключить защиту и заразить компьютер с помощью скомпрометированных сайтов. Сама компания уже подтвердила эту информацию. Уязвимость была обнаружена специалистом по безопасности в GoogleТэвисом Орманди. Однако в Редмонде уверяют, что ими не было зафиксировано ни одной попытки взлома с использованием этой уязвимости. К атакам через обнаруженную уязвимость чувствительны несколько антивирусных программ от Microsoft– это Forefront Client Security, Security Essentials, Windows Defender и Intune Endpoint Protection. Проблема затрагивает большинство платформ, учитывая, что Windows Defender (он же «Защитник Windows») работает на Windows XP, Windows 7, Windows 8, Windows 8.1 и Windows RT 8.1. Microsoft уже предлагает патч для устранения обнаруженной уязвимости. Все пользователи получат его автоматически с обновлением механизма определения вредоносных программ для уязвимых продуктов. Со своей стороны пользователям не нужно принимать каких-либо действий. Обновление станет доступно всем без исключения в течение 48 часов, включая пользователей Windows XP с установленным пакетом Security Essentials. Источник: windowstips_ru, по материалу Microsoft-News_com | |
| |
7.08.2014 - 17:37 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Критическая уязвимость Wordpress и Drupal позволила отключить 23% сайтов в мире
В платформах для блогов и сайтов WordPress и Drupal обнаружили уязвимость, позволяющую устроить атаку на любой сайт и сделать его недоступным практически мгновенно. Об этом 5 августа сообщает исследователь безопасности в компании Salesforce.com и гендиректор Break Security Нир Голдшлейгер (Nir Goldschlager) в корпоративном блоге. » Нажмите, для открытия спойлера | Press to open the spoiler « Уязвимость, известная как XML Quadratic Blowup Attack, позволяет практически мгновенно вывести из строя сайт или сервер DOS-атакой. По данным Голдшлейгера, затронутыми оказались версии WordPress с 3.5 по 3.9 и Drupal с 6.x по 7.x. Представители обеих систем для управления сайтами уже выпустили обновления. Владельцам и администраторам сайтов под управлением WordPress и Drupal Голдшлейгер рекомендует обновить системы как можно скорее. По данным организации W3C, WordPress является самой популярной CMS (системой управления контентом сайта) в мире с долей в 22,8 процента. Drupal используется на 2 процентах всех сайтов. Российские пользователи уже жаловались на проблемы с медленной работой сайтов на WordPress 4 августа на «Хабрахабре». Проблема была связана с использованием протокола XMLRPC, как отмечал и сам Голдшлейгер. Уязвимость позволяет вызвать полный отказ в работе сайта небольшим XML-документом размером в несколько сотен килобайт. Для этого в документе нужно определить несколько сущностей большой длины (в несколько десятков тысяч символов) и вызвать их несколько десятков тысяч раз. При обработке 200-килобайтовый документ превратится в несколько десятков гигабайт и займёт всю доступную память сервера. В качестве подтвержения своего исследования Голдшлейгер опубликовал видео, на котором он запускает один из таких скриптов на тестовом сайте под управлением WordPress. На ролике видно, как вырастает нагрузка на сервер после того, как парсер начинает свою работу. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« видео Источник:tjournal_ru Немножко уязвимостей в OpenSSL
Команда разработчиков OpenSSL выпустила Security Advisory, в котором рассказывается о 9 новых уязвимостях в OpenSSL, и настоятельно рекомендуют обновляться: Пользователям OpenSSL 0.9.8 до версии 0.9.8zb Пользователям OpenSSL 1.0.0 до версии 1.0.0n Пользователям OpenSSL 1.0.1 до версии 1.0.1i Исправленные уязвимости: » Нажмите, для открытия спойлера | Press to open the spoiler « Information leak in pretty printing functions (CVE-2014-3508) — приводит к утечке информации из стека при использовании функций «красивого» вывода. Crash with SRP ciphersuite in Server Hello message (CVE-2014-5139) — приводит к падению клиента (из-за null pointer dereference), если сервер будет использовать SRP ciphersuite. Race condition in ssl_parse_serverhello_tlsext (CVE-2014-3509) — сервер злоумышленника может записать до 255 байт на клиенте. Double Free when processing DTLS packets (CVE-2014-3505) — приводит к падению клиента, если сервер отправит специально сформированный DTLS-пакет. DTLS memory exhaustion (CVE-2014-3506) — приводит к увеличенному потреблению памяти при обработке DTLS-пакетов. DTLS memory leak from zero-length fragments (CVE-2014-3507) — приводит к утечке памяти при отправке специально сформированного DTLS-пакета. OpenSSL DTLS anonymous EC(DH) denial of service (CVE-2014-3510) — приводит к падению клиента, если сервер использует анонимный EC(DH) и специальным образом отправит handshake. OpenSSL TLS protocol downgrade attack (CVE-2014-3511) — позволяет произвести downgrade соединения до TLS 1.0 MiTM-атакующему. SRP buffer overrun (CVE-2014-3512) — позволяет переполнить внутренний буфер обработки SRP. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Если в вашей системе используется разделение пакетов, не забудьте обновить libssl, а не только сам openssl. Естественно, приложения, использующие openssl, должны быть перезапущены. Источник: habrahabr | |
| |
4.09.2014 - 18:29 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| В США обнаружены десятки базовых станций для взлома и прослушки мобильников
Карта станций-перехватчиков, составленная ESD вместе с клиентами Поставщик технологий защиты информации ESD в ходе совместного эксперимента со своими клиентами обнаружил в США свыше 20 подозрительных станций сотовой связи, которые не имели стандартных идентификаторов и были установлены на военных объектах. В компании заявили, что эти станции предназначены для перехвата. » Нажмите, для открытия спойлера | Press to open the spoiler « По территории США распределено множество базовых станций сотовой связи для перехвата сигналов с мобильных телефонов и дистанционного внедрения «жучков», сообщает Popular Science со ссылкой на результаты эксперимента, проведенного компанией ESD America совместно с клиентами. ESD America — поставщик технологий защиты информации для органов власти. Один из продуктов, который компания предлагает своим клиентам, — защищенный смартфон GSMK CryptoPhone 500. Именно с его помощью и были отслежены станции-перехватчики. CryptoPhone 500 представляет собой модификацию Samsung Galaxy S3 с кастомизированной версией Android, которая не только предоставляет дополнительный уровень защиты данных, но и позволяет отражать внешние атаки на устройство. Договорившись с клиентами, в июле и августе 2014 г. ESD America провела испытания CryptoPhone 500 на территории Соединенных Штатов, в ходе которых устройствами были определены свыше 20 базовых станций сотовой связи в различных штатах, не подключенные к сетям операторов. «Один из наших клиентов прокатился из Флориды в Северную Каролину и нашел 8 станций-перехватчиков на своем пути», — сообщил генеральный директор ESD America Лес Голдсмит (Les Goldsmith). Все эти станции имели вполне обычные антенны, как у стандартных базовых станций, но в основном располагались на американских военных объектах. Кроме того, в их характеристиках не были прописаны обозначения, как в случае с коммерческими базовыми станциями. По словам Голдсмита, станции-перехватчики предназначены для проведения атак «по воздуху» различного типа, в том числе прослушки, перехвата сообщений и дистанционного внедрения в программное обеспечение телефона «жучков». При этом можно лишь догадываться, кто установил и управляет этими станциями, добавил он. Стоимость одной такой установки составляет около $100 тыс. «Государство может легко себе позволить эту сумму», — заявил эксперт. Голдсмит рассказал, что перед тем, как включить прослушку, станции отправляли на мобильное устройство команду для отключения 4G и перехода на 2G. Эксперт пояснил, что стандарт 4G является более защищенным, тогда как 2G взломать проще. «Это могло бы быть свидетельством того, что вас пытаются прослушать — внезапный переход с 4G на 2G на вашем телефоне. Однако современные перехватчики умеют маскироваться и заставляют устройство отображать 4G, хотя в действительность аппарат уже переключился на тот стандарт, который проще взломать», — рассказал Голдсмит. Разработчиком защищенного смартфона CryptoPhone 500 является германская компания GSMK. Стоимость аппарата составляет $3,5 тыс. В марте 2014 г. гендиректор ESD America признался изданию Technology Review, что после раскрытия сведений о масштабах деятельности АНБ Эдвардом Сноуденом (Edward Snowden) летом 2013 г. спрос на CryptoPhone 500 вырос в 3 раза, и к моменту интервью в мире уже было около 100 тыс. пользователей таких аппаратов. Устройство позволяет шифровать разговоры только между владельцами CryptoPhone. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: Cnews | |
| |
|
|