на главнуюВсе эхи RU.INTERNET.SECURITY
войти ?

Russian Security Newsline 06.10.2014

От Dmitry Leonov (2:5020/400) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: Dmitry Leonov <robot@bugtraq.ru>

Приветствую!

Russian Security Newsline 06.10.2014

Двадцатилетняя уязвимость в bash
dl // 25.09.14 02:45
Вышли срочные патчи для RHEL, Fedora, CentOS, Ubuntu, Debian (другие
производители на подходе), устраняющие существующую десятки лет уязвимость
в популярнейшей командной оболочке bash. Уязвимость позволяет выполнить
любую команду путем внедрения bash-кода в специально сформированные
переменные окружения (фактически туда просто кладется код функции, которая
выполняется сразу при запуске интерпретатора).

Эту уязвимость, уже получившую название Shellshock, по возможным
последствиям сравнивают с Heartbleed
[ http://bugtraq.ru/rsn/archive/2014/04/01.html ]
- с учетом того, сколько времени она существует и какое количество софта
затрагивает. Затронуты версии GNU Bash с 1.14 (июль 1994) по 4.3, под
раздачу попал практически любой юникс, от RedHat и FreeBSD до Mac OS и
линуксов, встроенных в домашние роутеры.

Потенциально уязвима любая система, позволяющая в том или ином виде
запустить снаружи нечто, работающее с командной оболочкой. Hапример, любой
существующий bash-скрипт, запускающийся из-под апача, или простой вызов
system/popen в C, некоторые варианты развертывания Git и Subversion,
предоставляющие пользователям возможность выполнения команд, любые
веб-оболочки (в тех же роутерах, например), использующие шелл для
выполнения команд и т.п. Рвануть может практически где угодно.
Источник:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271,https://secu
rityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variable
s-code-injection-attack/
-----------------------------
Shellshock успешно использовали в атаке на Yahoo
dl // 06.10.14 23:38
Hедавно обнародованная уязвимость в bash была использована для взлома по
крайней мере двух серверов Yahoo Games. Представитель компании признал
факт взлома нескольких серверов, использовавших старую версию bash.
Пользовательские данные предположительно не пострадали.

Обнаруживший уязвимые серверы Джонатан Холл (Jonathan Hall) также заметил,
что пока все в основном бросились искать уязвимые web-скрипты, он успешно
взломал несколько OpenSSH и ftp-серверов, а заодно и сервер, обслуживающий
биткойновый пул.
Источник:
http://www.securityweek.com/hackers-compromised-yahoo-servers-using-shells
hock-bug
-----------------------------


Также в выпуске:

Баг в Багзилле раскрывает массу уязвимостей
(http://bugtraq.ru/rsn/archive/2014/10/03.html) // 06.10.14 19:56
BadUSB ушел в массы
(http://bugtraq.ru/rsn/archive/2014/10/02.html) // 03.10.14 16:46
Проблемы с GitHub
(http://bugtraq.ru/rsn/archive/2014/10/01.html) // 02.10.14 21:16


Другие обновления на сайте:

BugTraq - обозрение #357
[ http://bugtraq.ru/review/archive/2014/25-09-14.html ]
// 25.09.14 03:06
- Двадцатилетняя уязвимость в bash;- TrueCrypt, возможно, обретет новую жизнь;- 10-летняя уязвимость в FreeBSD;- Взлом почты создателя bitcoin;


Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]


Хаос. Часть 6 [9.25]
[ http://bugtraq.ru/library/fiction/chaos6.html ]
03.08.04 01:11
Лабиринт. Часть 2 [9.19]
[ http://bugtraq.ru/library/fiction/labirint2.html ]
28.03.07 00:24
В Финляндии с интернет-зависимостью не берут в армию [9.19]
[ http://bugtraq.ru/rsn/archive/2004/08/06.html ]
04.08.04 03:17
Тестер. Часть 3 [9.15]
[ http://bugtraq.ru/library/fiction/tester3.html ]
04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15]
[ http://www.bugtraq.ru/library/security/integrity.html ]
21.08.03 19:47


Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru

--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.INTERNET.SECURITY?msgid=<1187495852@mx.google.com>+e21c9228