Все о Linux. LinuxRSP.Ru


Cвежие новости Linux и BSD, анонсы статей и книг прямо в почтовый ящик!
Подписаться письмом


 Сегодняшние новости:

25 лет исполнилось ядру Linux

Релиз KDevelop 5.0

Oracle открывает код JDK9 для ARM

Выпущен Timewarrior 1.0.0

Релиз Android 7.0

Percona Memory Engine для MongoDB на базе WiredTiger

PowerShell открыт и доступен для Linux

Форк TrueCrypt: VeraCrypt 1.18

Релиз Snapcraft 2.14

Релиз Go 1.7

Стабильный выпуск рабочего стола Lumina

Вышла первая версия аналога OpenCV - DCV 0.1

Выпуск минималистичной программы для мониторинга jsonmon 3

В MIT разработали новый язык программирования

Первый релиз Qt5Gtk2

Godot 2.1 - новая версия открытого игрового движка

Свободная цифровая станция звукозаписи: Ardour 5.0

Обновление SkypeWeb Plugin for Pidgin

Вышла версия 3.0 Android File Transfer для Linux (и для OS X)

Программный аналог MIDI-контроллера для создания музыки: Launchpadd v1.3

Mozilla спонсирует поддержку Python 3.5 в PyPy

Ef 0.08 - программа для моделирования динамики заряженных частиц

Обновление текстового редактора TEA до версии 42.0.0

Релиз OpenOrienteering Mapper 0.6.4

Вышли Guix и GuixSD 0.11

Релиз Opera 39

Выпуск LibreOffice 5.2

В OpenSSH обнаружены и устранены некоторые уязвимости

Эмулятор FCEUX 2.2.3

Компания Билайн переходит на российскую СУБД с открытым исходным кодом Tarantool

Google

 Новые статьи :

Утилиты для восстановления потерянных данных в Linux

Лучшие файловые менеджеры для Android

20 лучших бесплатных книг о Linux

Как сгенерировать открытый/закрытый SSH-ключ в Linux

Grive - клиент Google Drive для Linux с открытым исходным кодом

Протокол IPv6: варианты подключения

Сервер из образа: DHCP + TFTP + Initrd + OpenVZ

Обзор веб-панелей управления хостингом

Приёмы работы с Vim

Nginx как Reverse Proxy для сайта, использующего SSL

Разработка модулей ядра Linux

Мониторинг нагрузки http-сервера Apache 2

Перевод комментариев к файлу конфигурации Squid

Решение проблем при использовании "1c предприятие" 8.2 в Linux

Advanced Bash-Scripting Guide Искусство программирования на языке сценариев командной оболочки







Rambler's Top100





 
 

RSecurityProject
[ver. 1.0.3]

Почитатать текущий выпуск


Yuri N. Looshnya ten.n@t
[при помощи oreillynet.com || ibm.com || redhat.com]
Март 2, 2001

Добро пожаловать в RSecurityProject! - проект, цель которого - поиск уязвимостей Linux-систем и пути их решения.

В прошлом выпуске рубрики (5 февраля) были описаны "вирусные проблемы" Linux/Unix. Особое внимание было уделено новому Internet-червю Ramen, а так же другим /нерезидентным/ вирусам /Linux.Bliss, Linux.Diesel, Linux.Siilov и т.п./.

На этой неделе внимание уделяется J-Pilot, bftpd, SSLDUMP, joe и pico, pine, rp-pppoe, ircd и DNS, а также RedHat Linux 7.0. Начну же я с ответов на ваши вопросы (приходит их очень много :). Как я и обещал, ответы на ваши вопросы станут/стали/стают (называйте как хотите) непременным атрибутом рубрики.


На этой неделе ОБСУЖДАЮТСЯ:

SSLDUMP

joe & pico

bftpd

pine

J-Pilot

rp-pppoe

ircd & DNS

RedHat Linux 7

Вопрос:Будет ли ваша рубрика распространяться на другие сайты?
Ответ:Пока нет. Поначалу я писал статьи для linuxcenter.ru и infocity.kiev.ua, но, к сожалению, из-за нехватки времени пришлось остановиться на оптимальном варианте - linuxrsp.ru. Возможно в скором времени я возобновлю сотрудничество с этими сайтами, но с другими рубриками. Некоторые "ранние" статьи продублированы на opennet.ru (с соответствующими копирайтами, разумеется). Данная же рубрика /RSecurityProject/ будет выходить только на linuxrsp.ru.

Вопрос:Не могли бы вы побольше уделять внимание в своей рубрике дистрибутивам в целом, а также их уязвимостям, апдейтам и т.д?
Ответ:Да, это неплохая идея. Поэтому, начиная с этого выпуска, я ввожу такое новшество. Речь на этой неделе пойдет об апдейтах RedHat Linux 7.0, связанных с "дырами" этой системы.

Вопрос:Будет ли уделено внимание защите домашних ПК?
Ответ:Да. В следующем выпуске рубрики RSecurityProject выйдет большая статья о защите домашних ПК.

Кроме этих вопросов, в большей степени касающихся самой рубрики, приходит очень много писем с конкретными проблемами: типа, что делать если..., а как защитить, в случае..., какой апдейт лучше поставить и что изменилось по сравнению с... и т.д. Я прекрасно пронимаю ваше желание получить ответы на интересующие вас вопросы. В связи с этим, в следующих выпусках больше внимание будет уделяться вопросам, непосредственно связанных с безопасностью ваших систем.


SSLDUMP

SSLDUMP, анализатор зашифрованного сетевого трафика (типа tcpdump), может быть подвержен segfault'у самим же сетевым трафиком (пока проблему, при которой это происходит, выяснить не удалось). Сетевым администраторам стоит призадуматься, стоит ли использовать уязвимый SSLDUMP или же подождать до выхода пофиксенной версии. Автор SSLDUMP сообщает, что работает над этой проблемой и так же напоминает, что SSLDUMP находится в состоянии 'beta', так что, "не кидайтесь камнями в мой огород", как говорится.

joe and pico

Кто не знает что такое joe? Этот маленький текстовый редактор поставляется практически со всеми Linux-дистрибутивами. Но в этом редакторе есть не только хорошое, но и доля плохого. При возникновении ошибок и последующем закрытии joe, в директории, где лежит редактор, создается файл DEADJOE. Когда создается этот файл, то не проверяется ни его существование, ни символические связи (ссылки). Это может быть использованно недоброжелательным пользователем для перезаписи файлов пользователя, используещего редактор joe. Рекомендуется обновить редактор до самого посделедного/нового релиза.

Другой, не менее известный редактор, pico, поставляется с e-mail клиентом pine University of Washington. При аварийном выходе из редактора, сохраняется содержимое буфера обмена [в текущем каталоге под именем filename.save 'где filename - имя файла]. Возникает таже проблема, что и у joe - т.е. нет никакой проверки на существование такого файла и наявности символической связи. Соответственно и опасность та же, что и у joe - перезапись файлов пользователя. На мой взгляд, данная проблема не страшна (малодопустима) для продвинутых и просто администраторов. Тем более, что она маловероятна. Но все же: начинающим пользователям/администраторам я бы посоветовал сделать апдейты своих редакторов или же использовать Vi :).

bftpd

Поступило сообщение о security-проблемах при работе с bftpd, Linux ftp-сервером версии 1.0.12 и раньше. Проблемы вызваны буферным переполнением, а также некоторыми format-ошибками. Рекомендуется обновить этот продукт до версии 1.0.13 или выше (чем быстрее, тем лучше, как говорится).

pine

При некоторых условиях, pine, e-mail клиент того же University of Washington создает легкодоступные временные файлы. Это может позволить "злонамеронному" пользователю записывать в произвольные файлы, принадлежащие пользователю. Текущая версия pine (4.31), поставляемая с некоторыми дистрибутивами Linux, к сожалению, не устраняет данной проблемы. "Обойти" эту проблему (на большинства платформах) можно с помощью установки $TMP-системной переменной к временной директории, в которую может записывать только определенный пользователь, например $HOME/tmp. Можно решить эту проблему и другим путем: поставить старую версию pine (4.30). Но старая версия "страдает" буферным переполнением, зато в ней нет "проблемы pine версии 4.31". В новой же версии (4.31) пофиксены проблемы с буферным переполнением, но есть проблема с временными файлами. Так что, думайте сами, решайте сами...

J-Pilot

Программа J-Pilot предназначена для поддержки, управления и апдейта Palm OS-устройств. Кроме всего этого хорошего, программа "страдает" и плохим - она может неправильно/опасно устанавливать разрешения (permissions) на каталоге данных. Эта проблема, в отличии от многих других, не вызывается ошибкой/дефектом в J-Pilot, что ставит ошибку этого типа в разряд незамеченных. Когда пользователь впервые запускает J-Pilot, создается .jpilot-каталог в домашней директории пользователя. Разрешения (permissions) на этот каталог устанавливаются как user's umask. На многих системах, umask на каталог по умолчанию устанавливается в 755 (drwxr-xr-x), а на файлы 644 (-rw-r - r-). Данный "расклад" разрешений позволяет другим пользователям на системе читать данные, сохраненные Palm OS-устройством. Проблема J-Pilot может повлиять не только на степень секретности вашей ОС, но и подвергнуть информацию, сохраненную в Palm OS-устройстве (пароли, информацию о системе и т.д.) атаке "со стороны". Что говорит по этому поводу автор J-Pilot? К сожалению, ничего вразумительного, называя данный дефект НЕ_ОШИБКОЙ его продукта. Поэтому при использовании J-Pilot рекомендуется устанавливать правильные права разрешения на .jpilot-каталог и файлы в нем. Иначе, это может привести даже к "копированию" вашего файла с теневыми паролями.

rp-pppoe

Клиент PPPoE, rp-pppoe используется с ADSL-подключениями используя PPP. Версии до 2.4 имеют уязвимость и могут быть атакованы, так называемыми, сервисными атаками. При этом используются тщательно обработанные пакеты. Все эти "страхи" возможны только при включенной опции Clamp MSS. Если у вас нет возможности обновить версию rp-pppoe до 2.5, то рекомендуется выключить опцию Clamp MSS.

irc and DNS

Некоторые версии ircd (Internet Relay Chat Daemon) имеют дефект при анализировании возращенных значений DNS-запроса/ов. Возращаемые 128-битные ответы "заставляют" накоторые уязвимые версии ircd "умирать". Уязвимые версии базируются на коде Dalnet's Dreamforge ircd. Причем на другие гибриды ircd (ircu и bahamut) это не действует. Если у вас установлена Dalnet's Dreamforge ircd, то рекомендуется обновить ее или заменить одним из названых гибридов.

RedHat Linux 7

Так как очень много приходит писем с просьбой конкретнее остановится на том или ином дистрибутиве Linux, то я решил ввести это новшество. Начиная уже с этого выпуска, будет уделяться более "глобальное" внимание конкретным дистрибутивам. В этом выпуске рубрике речь пойдет о RedHat Linux версии 7.0.

Всем пользователям этой версии RedHat Linux рекомендуется обновить нижеприведенные пакеты для обеспечения безопасности вашей системы:

2001-02-08 kernel (RHSA-2001-013)
Апдейт устраняет три "дыры" в новом ядре

2001-02-07 xemacs (RHSA-2001-010)
Обновление для пакета XEmacs

2001-02-06 xemacs (RHSA-2001-010)
То же (ранняя версия)

2001-01-29 bind (RHSA-2001-007)
Обновление для пакетов, поставляемых с bind

2001-01-25 php (RHSA-2000-136)
Обновление для PHP (можно использовать для Red Hat Linux 5.2, 6.x и 7.0 релизов)

2001-01-24 php (RHSA-2000-136)
То же (ранняя версия)

2001-01-23 mysql (RHSA-2001-003)
Обновление для mysql

2001-01-11 glibc (RHSA-2001-001)
Обновление glibc (пофиксена локальная уязвимость при чтение/записи файлов)

2000-12-20 stunnel (RHSA-2000-137)
Обновление для stunnel

2000-12-19 gnupg (RHSA-2000-131)
Обновление для gnupg

2000-12-19 stunnel (RHSA-2000-129)
Обновление для stunnel

2000-12-19 slocate (RHSA-2000-128)
Новый апдейт для пакета slocate, который устраняет локальные ошибки

2000-12-19 rp_pppoe (RHSA-2000-130)
Обновление для rp-pppoe (устранена возможность сервисной атаки)

2000-12-06 ed (RHSA-2000-123)
stunnel format-string syslog

2000-12-01 tcsh (RHSA-2000-121)
Обновление для tcsh

2000-12-01 PAM (RHSA-2000-120)
Обновление для PAM

2000-11-27 bind (RHSA-2000-107)
Обновление для bind. Устранена ошибка, позволявшая атаковать систему из DoS'a

2000-11-27 nss_ldap (RHSA-2000-024)
Обновление для nss_ldap

2000-11-27 cyrus_sasl (RHSA-2000-094)
Обновление для cyrus-sasl

2000-11-27 apache, php, mod_perl, auth_ldap (RHSA-2000-088)
Обновление для apache, php, mod_perl и auth_ldap пакетов

2000-11-27 usermode (RHSA-2000-075)
Обновление для usermode

2000-11-27 gnorpm (RHSA-2000-072)
Обновление для gnorpm (можно использовать в Red Hat Linux 6.1, 6.2 и 7.0 версиях)

2000-11-27 pine, imap (RHSA-2000-102)
Обновление для pine и imap (можно использовать для Red Hat Linux 5.2, 6.x и 7 версий)

2000-11-27 modutils (RHSA-2000-108)
Новые modutils имеют больше возможностей по сравнению с предшественниками. Рекомендуется всем root'ам

2000-11-27 Netscape (RHSA-2000-109)
Обновление для Netscape

2000-11-27 openssh (RHSA-2000-111)
Обновление для openssh

2000-11-26 ncurses (RHSA-2000-115)
В новом ncurses устранена проблема буферного переполнения

2000-11-26 ghostscript (RHSA-2000-114)
ghostscript использует теперь mktemp, а также расширенный LD_RUN_PATH

2000-11-20 joe (RHSA-2000-110)
Обновление для пакета joe (можно использовать в Red Hat Linux 5.2, 6.x и 7 версиях)

2000-10-20 gnupg (RHSA-2000-089)
Обновление для gnupg

2000-10-18 iputils (RHSA-2000-087)
В обновленном пакете устранены проблемы с безопасностью, связанные с ping'ом

2000-10-09 usermode (RHSA-2000-075)
Обновление для usermode

2000-10-06 tmpwatch (RHSA-2000-080)
Обновление для tmpwatch

2000-10-06 esound (RHSA-2000-077)
Обновление для esound (рекомендуется меломанам)

2000-10-04 LPRng (RHSA-2000-065)
В LPRng устранены критические строки format-ошибок

Дополнительную информацию по поводу новшеств в мире RedHat Linux, можно почерпнуть на RedHat Linux. Там же можно найти и вышеперечислинные пакеты (адреса/ссылки на них).


В следующем выпуске речь пойдет о защите домашних ПК (возможны изменения). Также не останутся без внимания и ваши письма. БОЛЬШАЯ ПРОСЬБА: из-за острой нехватки времени, я просто не успеваю отвечать на все вопросы, которые приходят мне по электронной почте. Поэтому, обсуждение тех или иных проблем, связанных с использованием тех или иных программ (описанных здесь и нет) могут остаться без ответа (извинения приношу заранее :) или же ответ будет дан непосредственно на страницах рубрики.

Хотелось бы, чтобы этот проект имел право на жизнь и приносил пользу. Если у вас есть свой (свои) вопрос-ответ (вопросы-ответы) на данную тему, то пишите - все они будут рассмотрены. Также принимаются корректировки уже описанных проблем. Удачи!



      

Связь | О проекте LinuxRSP | Реклама | О Linux
© 1999-2017 LinuxRSP