セキュリティウィーク29:Ubuntuフォーラムのリーク、PHP、Go、Pythonのプロキシ脆弱性、276 Oracleパッチ

7月14日、Canonicalは、200万人のUbuntu フォーラムユーザーのユーザー名とパスワードのデータベースを誰かが所有している(そして販売しようとしている)ことを発見しました。 調査は、情報が真実に似ていることをすぐに示し、その後、フォーラムは一時的に無効になりました。 これは非常に正しい動きであると言わなければなりませんが、別の会社や異なる状況では彼らは決定しなかったかもしれません:結局のところ、誰もが私たちにセキュリティ上の問題があり、誰もハッキングしないかもしれないことがわかるでしょう。 実際、Ubuntu開発者向けサイトでの事件の詳細な説明のおかげで、私たちは皆これを知っているので、すべてがうまく終了したようです。



かどうか? リーク(このニュースのイベントの詳細な説明)は、SQLインジェクションを使用してvBulletinにインストールされたForumrunnerプラグインの脆弱性の悪用から始まりました。 プラグインの古いバージョンの使用により、攻撃が可能になりました。 この注入により、フォーラムのデータベース全体への読み取りアクセスが開かれましたが、CanonicalのディレクターであるJane Silberによると、クラッカーは「古い」パスワードを使用してユーザーデータベースの一部のみをダウンロードし、これもソルトでハッシュされました。



現在のパスワードが漏洩していないことは、Canonicalが確信しています。 また、クラッカーは攻撃を仕掛けることができず、他の何かにアクセスできなかったことを示唆しています。 この場合の会社のすべての模範的な行動について、この一般的な不確実性に注意することを怠ることはできません。 言い換えれば-彼らはログがそれを行うことができる場所を確信していた-それから-まあ、誰が知っている。 特にフォーラムを上げる前に、ほとんど最初から再インストールされていたので、すべてがうまくいくようです。 話はハッピーエンドですが、おそらく情報セキュリティの分野で戦うべきものがあるので、そのような不確実性があります。 さて、ハッカーについては、ウィッシャーからではなく、自分自身で、そしてすぐに、学びたいと思いますが、ここではとても幸運です。



HTTPoxy:CGIインターフェース実装の脆弱性は多数のネットワークソフトウェアに影響します

ニュース



魅力的なブランドとロゴでさえ別の脆弱性がありますが、すでに慣れているようです。 さらに、影響を受けるソフトウェアが広範囲に及ぶため、この脆弱性は注意に値します。 通常、このようなユニバーサルホールは再利用可能なライブラリにあります。昨年の例をApache Commons Collectionsで思い出すことができます。 HTTPoxy( 脆弱性サイト )は破壊半径に関してより急です。なぜなら、この脆弱性はソフトウェアにあるのではなく、 CGIインターフェースの実装にあるからです。 たとえば、これらはプログラミング言語PHP、Go、およびPythonの標準ライブラリであり、それに応じてWebアプリケーションとそれらに実装されたスクリプトです。 既製のものと自己作成のものの両方がありますが、最良の解決策は、Apache、NGINX、lighttpd、その他のソフトウェア構成を変更することで、すべての脆弱性を一度に悪用する可能性をブロックすることです。











そして、この脆弱性の本質は非常に単純です。 Linuxの作業環境にプロキシサーバーを設定してネットワークにアクセスする必要がある状況では、これにHTTP_PROXY変数がよく使用されます。 CGIインターフェースの一部の実装では、データ交換中にサーバーに渡すことができるプロキシヘッダーを記述します。サーバー側では、この情報はHTTP_PROXY変数に格納されます。 実際には、問題は名前の競合だけであり、これにより多くの状況で外部から設定されたプロキシサーバーを介してデータを送信できます。 真ん中の男のような攻撃につながる人。 興味深いことに、変数の仕様は適切にどこにもありません(たとえば、 RFC 3875 )。 解決策は明らかです。このようなヘッダーの送信をブロックする必要があります。 しかし、これは初心者向けですが、一般的には可能な限りこの変数を処理する実装を編集する必要があります。



スナックの楽しい事実:15年の脆弱性。 2001年3月にlibwww_perlライブラリで最初に発見され、修正されました。 同じ年の4月に、curlユーティリティで同様の問題が修正されました。 2012年に、Ruby開発者は標準の脆弱な実装を回避しました(そしてドキュメントでそれについて書きました )。 HTTPoxy、VendHQの研究者によると、13年目と15年目に、問題はフォーラムやメーリングリストで何度か浮上しました。 ある場合には、トップスターターは不幸のプラタイティスに非常に衝撃を受け、「ここで何かを見逃したに違いない」と付け加えました。 しかし、違います。 セキュリティの特別な方向性に関する良い話:すべての人が利用できる情報の正しい収集、処理、および解釈(何年も!)



オラクル、自社製品の276件の脆弱性を解消

ニュース



今年の1月に、Oracle 記録的な累積パッチをリリースし、 248の脆弱性を一挙にカバーしました。 7月、この記録はわずかな差で破られました。毎月のセキュリティアップデートにより、84の製品で276の脆弱性が解決されました。 さまざまなシナリオで一度に多くの製品をテストすることがいかに難しいかを知っているため、このニュースは確実に肯定的であると評価されなければなりませんが、年末にはベンダーは間違いなく最も安全でない開発者の次の誤ったリストに落ちるでしょう。 ただし、特定された問題はこれからは簡単になりません。276の脆弱性のうち、159がリモートで悪用される可能性があり、19(9製品中)はCVSSスケールで9.8ポイントと評価されます。









ただし、かつて最も頻繁に攻撃されたプログラムであり、現在はAdobe Flashの疑わしいリーダーシップに取って代わったJavaでは、わずか13の脆弱性が発見され、閉鎖されました。 これは、「スプーンが見つかり、堆積物が残った」という効果を持つ今日の3番目のニュースです。 オラクル、もちろん、よくやった。 しかし、オラクルの企業ソフトウェアの管理者は、すべてをドロップしてそのような巨大なパッチを適用する必要があることを非常に喜んでいるとは思いません。 しかし、あなたはしなければなりません。



他に何が起こった:

暗号化されたデータの変更の性質による行動分析と暗号化時計のブロックのトピックが開発されています。 アメリカの2つの大学の研究者は、500件のランサムウェアトロイの木馬サンプルすべてを検出するアルゴリズムを開発しました 。 しかし、残念ながら、ファイルの損失は、アルゴリズムが特性の変化をすぐに認識しなかったという事実によるものと思われます。 各テストで、トロイの木馬は何かを暗号化する時間がありました。 状況に応じて、3〜29個のファイルが失われました。



ジュニパーネットワークデバイスの脆弱性は解決されました



ダークウェブで、 彼らは超安価なランサムウェアトロイの木馬、わずか39ドルを見つけました 。 各被害者は約600ドルを必要とし、珍しいことですが、特定の時間の後、暗号化されたファイルはゆっくりと削除され始めます。 犯罪者のビジネスクラスの経済。



古物:

「V-1260」



非居住の無害なゴーストウイルス。 Viennaウイルスアルゴリズムを使用する.COMファイルに影響します。 暗号化されていますが、2つの興味深いアルゴリズムを使用しています。 最初のアルゴリズムは「ゴースト」プロパティを実装します。これにより、このウイルスの2つの株が高い確率でどのバイトでも一致しなくなります。 ウイルスの本体は、16777216亜種のタイマーに応じて暗号化され、解読者は3,000,000,000,000,000,000,000を超える亜種から選択されます(解読者の長さは39バイトです)。 2番目のアルゴリズムは、ウイルストレースに正常に干渉します。int1およびint 3を使用したウイルスコードの動的ras /暗号化を使用します。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 90ページ



免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。



All Articles