RSecurityProject
[ver. 1.0.3]

Почитатать текущий выпуск

Добро пожаловать в RSecurityProject! - проект, цель которого - поиск уязвимостей Linux-систем и пути их решения.

В прошлом выпуске рубрики (5 февраля) были описаны "вирусные проблемы" Linux/Unix. Особое внимание было уделено новому Internet-червю Ramen, а так же другим /нерезидентным/ вирусам /Linux.Bliss, Linux.Diesel, Linux.Siilov и т.п./.

На этой неделе внимание уделяется J-Pilot, bftpd, SSLDUMP, joe и pico, pine, rp-pppoe, ircd и DNS, а также RedHat Linux 7.0. Начну же я с ответов на ваши вопросы (приходит их очень много :). Как я и обещал, ответы на ваши вопросы станут/стали/стают (называйте как хотите) непременным атрибутом рубрики.

Вопрос:Будет ли ваша рубрика распространяться на другие сайты?
Ответ:Пока нет. Поначалу я писал статьи для linuxcenter.ru и infocity.kiev.ua, но, к сожалению, из-за нехватки времени пришлось остановиться на оптимальном варианте - linuxrsp.ru. Возможно в скором времени я возобновлю сотрудничество с этими сайтами, но с другими рубриками. Некоторые "ранние" статьи продублированы на opennet.ru (с соответствующими копирайтами, разумеется). Данная же рубрика /RSecurityProject/ будет выходить только на linuxrsp.ru.

Вопрос:Не могли бы вы побольше уделять внимание в своей рубрике дистрибутивам в целом, а также их уязвимостям, апдейтам и т.д?
Ответ:Да, это неплохая идея. Поэтому, начиная с этого выпуска, я ввожу такое новшество. Речь на этой неделе пойдет об апдейтах RedHat Linux 7.0, связанных с "дырами" этой системы.

Вопрос:Будет ли уделено внимание защите домашних ПК?
Ответ:Да. В следующем выпуске рубрики RSecurityProject выйдет большая статья о защите домашних ПК.

Кроме этих вопросов, в большей степени касающихся самой рубрики, приходит очень много писем с конкретными проблемами: типа, что делать если..., а как защитить, в случае..., какой апдейт лучше поставить и что изменилось по сравнению с... и т.д. Я прекрасно пронимаю ваше желание получить ответы на интересующие вас вопросы. В связи с этим, в следующих выпусках больше внимание будет уделяться вопросам, непосредственно связанных с безопасностью ваших систем.

SSLDUMP, анализатор зашифрованного сетевого трафика (типа tcpdump), может быть подвержен segfault'у самим же сетевым трафиком (пока проблему, при которой это происходит, выяснить не удалось). Сетевым администраторам стоит призадуматься, стоит ли использовать уязвимый SSLDUMP или же подождать до выхода пофиксенной версии. Автор SSLDUMP сообщает, что работает над этой проблемой и так же напоминает, что SSLDUMP находится в состоянии 'beta', так что, "не кидайтесь камнями в мой огород", как говорится.

joe and pico

Кто не знает что такое joe? Этот маленький текстовый редактор поставляется практически со всеми Linux-дистрибутивами. Но в этом редакторе есть не только хорошое, но и доля плохого. При возникновении ошибок и последующем закрытии joe, в директории, где лежит редактор, создается файл DEADJOE. Когда создается этот файл, то не проверяется ни его существование, ни символические связи (ссылки). Это может быть использованно недоброжелательным пользователем для перезаписи файлов пользователя, используещего редактор joe. Рекомендуется обновить редактор до самого посделедного/нового релиза.

Другой, не менее известный редактор, pico, поставляется с e-mail клиентом pine University of Washington. При аварийном выходе из редактора, сохраняется содержимое буфера обмена [в текущем каталоге под именем filename.save 'где filename - имя файла]. Возникает таже проблема, что и у joe - т.е. нет никакой проверки на существование такого файла и наявности символической связи. Соответственно и опасность та же, что и у joe - перезапись файлов пользователя. На мой взгляд, данная проблема не страшна (малодопустима) для продвинутых и просто администраторов. Тем более, что она маловероятна. Но все же: начинающим пользователям/администраторам я бы посоветовал сделать апдейты своих редакторов или же использовать Vi :).

bftpd

Поступило сообщение о security-проблемах при работе с bftpd, Linux ftp-сервером версии 1.0.12 и раньше. Проблемы вызваны буферным переполнением, а также некоторыми format-ошибками. Рекомендуется обновить этот продукт до версии 1.0.13 или выше (чем быстрее, тем лучше, как говорится).

pine

При некоторых условиях, pine, e-mail клиент того же University of Washington создает легкодоступные временные файлы. Это может позволить "злонамеронному" пользователю записывать в произвольные файлы, принадлежащие пользователю. Текущая версия pine (4.31), поставляемая с некоторыми дистрибутивами Linux, к сожалению, не устраняет данной проблемы. "Обойти" эту проблему (на большинства платформах) можно с помощью установки $TMP-системной переменной к временной директории, в которую может записывать только определенный пользователь, например $HOME/tmp. Можно решить эту проблему и другим путем: поставить старую версию pine (4.30). Но старая версия "страдает" буферным переполнением, зато в ней нет "проблемы pine версии 4.31". В новой же версии (4.31) пофиксены проблемы с буферным переполнением, но есть проблема с временными файлами. Так что, думайте сами, решайте сами...

J-Pilot

Программа J-Pilot предназначена для поддержки, управления и апдейта Palm OS-устройств. Кроме всего этого хорошего, программа "страдает" и плохим - она может неправильно/опасно устанавливать разрешения (permissions) на каталоге данных. Эта проблема, в отличии от многих других, не вызывается ошибкой/дефектом в J-Pilot, что ставит ошибку этого типа в разряд незамеченных. Когда пользователь впервые запускает J-Pilot, создается .jpilot-каталог в домашней директории пользователя. Разрешения (permissions) на этот каталог устанавливаются как user's umask. На многих системах, umask на каталог по умолчанию устанавливается в 755 (drwxr-xr-x), а на файлы 644 (-rw-r - r-). Данный "расклад" разрешений позволяет другим пользователям на системе читать данные, сохраненные Palm OS-устройством. Проблема J-Pilot может повлиять не только на степень секретности вашей ОС, но и подвергнуть информацию, сохраненную в Palm OS-устройстве (пароли, информацию о системе и т.д.) атаке "со стороны". Что говорит по этому поводу автор J-Pilot? К сожалению, ничего вразумительного, называя данный дефект НЕ_ОШИБКОЙ его продукта. Поэтому при использовании J-Pilot рекомендуется устанавливать правильные права разрешения на .jpilot-каталог и файлы в нем. Иначе, это может привести даже к "копированию" вашего файла с теневыми паролями.

rp-pppoe

Клиент PPPoE, rp-pppoe используется с ADSL-подключениями используя PPP. Версии до 2.4 имеют уязвимость и могут быть атакованы, так называемыми, сервисными атаками. При этом используются тщательно обработанные пакеты. Все эти "страхи" возможны только при включенной опции Clamp MSS. Если у вас нет возможности обновить версию rp-pppoe до 2.5, то рекомендуется выключить опцию Clamp MSS.

irc and DNS

Некоторые версии ircd (Internet Relay Chat Daemon) имеют дефект при анализировании возращенных значений DNS-запроса/ов. Возращаемые 128-битные ответы "заставляют" накоторые уязвимые версии ircd "умирать". Уязвимые версии базируются на коде Dalnet's Dreamforge ircd. Причем на другие гибриды ircd (ircu и bahamut) это не действует. Если у вас установлена Dalnet's Dreamforge ircd, то рекомендуется обновить ее или заменить одним из названых гибридов.

RedHat Linux 7

Так как очень много приходит писем с просьбой конкретнее остановится на том или ином дистрибутиве Linux, то я решил ввести это новшество. Начиная уже с этого выпуска, будет уделяться более "глобальное" внимание конкретным дистрибутивам. В этом выпуске рубрике речь пойдет о RedHat Linux версии 7.0.

Всем пользователям этой версии RedHat Linux рекомендуется обновить нижеприведенные пакеты для обеспечения безопасности вашей системы:

2001-02-08 kernel (RHSA-2001-013)
Апдейт устраняет три "дыры" в новом ядре

2001-02-07 xemacs (RHSA-2001-010)
Обновление для пакета XEmacs

2001-02-06 xemacs (RHSA-2001-010)
То же (ранняя версия)

2001-01-29 bind (RHSA-2001-007)
Обновление для пакетов, поставляемых с bind

2001-01-25 php (RHSA-2000-136)
Обновление для PHP (можно использовать для Red Hat Linux 5.2, 6.x и 7.0 релизов)

2001-01-24 php (RHSA-2000-136)
То же (ранняя версия)

2001-01-23 mysql (RHSA-2001-003)
Обновление для mysql

2001-01-11 glibc (RHSA-2001-001)
Обновление glibc (пофиксена локальная уязвимость при чтение/записи файлов)

2000-12-20 stunnel (RHSA-2000-137)
Обновление для stunnel

2000-12-19 gnupg (RHSA-2000-131)
Обновление для gnupg

2000-12-19 stunnel (RHSA-2000-129)
Обновление для stunnel

2000-12-19 slocate (RHSA-2000-128)
Новый апдейт для пакета slocate, который устраняет локальные ошибки

2000-12-19 rp_pppoe (RHSA-2000-130)
Обновление для rp-pppoe (устранена возможность сервисной атаки)

2000-12-06 ed (RHSA-2000-123)
stunnel format-string syslog

2000-12-01 tcsh (RHSA-2000-121)
Обновление для tcsh

2000-12-01 PAM (RHSA-2000-120)
Обновление для PAM

2000-11-27 bind (RHSA-2000-107)
Обновление для bind. Устранена ошибка, позволявшая атаковать систему из DoS'a

2000-11-27 nss_ldap (RHSA-2000-024)
Обновление для nss_ldap

2000-11-27 cyrus_sasl (RHSA-2000-094)
Обновление для cyrus-sasl

2000-11-27 apache, php, mod_perl, auth_ldap (RHSA-2000-088)
Обновление для apache, php, mod_perl и auth_ldap пакетов

2000-11-27 usermode (RHSA-2000-075)
Обновление для usermode

2000-11-27 gnorpm (RHSA-2000-072)
Обновление для gnorpm (можно использовать в Red Hat Linux 6.1, 6.2 и 7.0 версиях)

2000-11-27 pine, imap (RHSA-2000-102)
Обновление для pine и imap (можно использовать для Red Hat Linux 5.2, 6.x и 7 версий)

2000-11-27 modutils (RHSA-2000-108)
Новые modutils имеют больше возможностей по сравнению с предшественниками. Рекомендуется всем root'ам

2000-11-27 Netscape (RHSA-2000-109)
Обновление для Netscape

2000-11-27 openssh (RHSA-2000-111)
Обновление для openssh

2000-11-26 ncurses (RHSA-2000-115)
В новом ncurses устранена проблема буферного переполнения

2000-11-26 ghostscript (RHSA-2000-114)
ghostscript использует теперь mktemp, а также расширенный LD_RUN_PATH

2000-11-20 joe (RHSA-2000-110)
Обновление для пакета joe (можно использовать в Red Hat Linux 5.2, 6.x и 7 версиях)

2000-10-20 gnupg (RHSA-2000-089)
Обновление для gnupg

2000-10-18 iputils (RHSA-2000-087)
В обновленном пакете устранены проблемы с безопасностью, связанные с ping'ом

2000-10-09 usermode (RHSA-2000-075)
Обновление для usermode

2000-10-06 tmpwatch (RHSA-2000-080)
Обновление для tmpwatch

2000-10-06 esound (RHSA-2000-077)
Обновление для esound (рекомендуется меломанам)

2000-10-04 LPRng (RHSA-2000-065)
В LPRng устранены критические строки format-ошибок

Дополнительную информацию по поводу новшеств в мире RedHat Linux, можно почерпнуть на RedHat Linux. Там же можно найти и вышеперечислинные пакеты (адреса/ссылки на них).

В следующем выпуске речь пойдет о защите домашних ПК (возможны изменения). Также не останутся без внимания и ваши письма. БОЛЬШАЯ ПРОСЬБА: из-за острой нехватки времени, я просто не успеваю отвечать на все вопросы, которые приходят мне по электронной почте. Поэтому, обсуждение тех или иных проблем, связанных с использованием тех или иных программ (описанных здесь и нет) могут остаться без ответа (извинения приношу заранее :) или же ответ будет дан непосредственно на страницах рубрики.

Хотелось бы, чтобы этот проект имел право на жизнь и приносил пользу. Если у вас есть свой (свои) вопрос-ответ (вопросы-ответы) на данную тему, то пишите - все они будут рассмотрены. Также принимаются корректировки уже описанных проблем. Удачи!