Архив метки: Закрытие уязвимостей

Избежание переполнения файловой системы в Linux директории,

Во избежание переполнения файловой системы в Linux директории, к которым у многих пользователей, в том числе у внешних, есть доступ, рекомендуется создавать на отдельных разделах.

 

Это /tmp, /var, /var/log, /var/log/audit и /home.

 

Это легко сделать при установке новой системы и рекомендуется делать всегда.

 

Ну а при потребности избежать риска переполнения на уже работающей системе можно переразбить разделы и выделить новый для опасной директории.

 

После этого полезно добавить опции монтирования, ограничивающие опасный функционал у пользовательских файлов.

Опции монтирования задаются в 4 столбце в файле /etc/fstab.

 

Для /tmp рекомендуются опции nodev (запрещает создавать в файловой системе файлы устройств), noexec (запрещает запускать исполняемые файлы) и nosuid (запрещает создавать файлы с SUID/SGID битами):

 

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^(.*s/tmps+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nodev2″g’ /etc/fstab

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^(.*s/tmps+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nosuid2″g’ /etc/fstab

grep “[[:space:]]/tmp[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^(.*s/tmps+w+s+[a-zA-Z0-9,]+)(s.*)$”1,noexec2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /tmp

 

В точках монтирования /var/log и /var/log/audit хранятся журналы регистрации событий и им тоже не помешают опции nodev, noexec и nosuid:

 

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^(.*s/var/logs+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nodev2″g’ /etc/fstab

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^(.*s/tmps+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nosuid2″g’ /etc/fstab

grep “[[:space:]]/var/log[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^(.*s/var/logs+w+s+[a-zA-Z0-9,]+)(s.*)$”1,noexec2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /var/log

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep nodev | grep ^[^#] || sed -i ‘s”^(.*s/var/log/audits+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nodev2″g’ /etc/fstab

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep nosuid | grep ^[^#] || sed -i ‘s”^(.*s/var/log/audits+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nosuid2″g’ /etc/fstab

grep “[[:space:]]/var/log/audit[[:space:]]” /etc/fstab | grep noexec | grep ^[^#] || sed -i ‘s”^(.*s/var/log/audits+w+s+[a-zA-Z0-9,]+)(s.*)$”1,noexec2″g’ /etc/fstab

mount -o remount,noexec,nodev,nosuid /var/log/audit

 

Для /home рекомендуется опция nodev:

 

grep “[[:space:]]/home[[:space:]]” /etc/fstab | grep nodev  | grep ^[^#] || sed -i ‘s”^(.*s/homes+w+s+[a-zA-Z0-9,]+)(s.*)$”1,nodev2″g’ /etc/fstab

mount -o remount,nodev /home

Источник

 



2017-12-10T17:04:49
Закрытие уязвимостей

Teamviewer уязвимость

TeamViewer – крайне популярная альтернатива RDP, SSH и VNC, как для Windows, так и для Mac OS и Linux.

Вчера команда разработки выпустила срочное обновление, устраняющее значительную уязвимость.

Уязвимость позволяет пользователю, к компьютеру которого подключаются по TeamViewer, свичнуть сессию и получить доступ к компьютеру, с которого происходит подключение, причем незаметно для пользователя того компа.

Для эксплуатации уязвимости пользователи должны сначала пройти аутентификацию.

Затем с помощью DLL-инжектора атакующий должен внедрить в их процессы вредоносный код.

Как только код вводится в процесс, он запрограммирован на изменение значений памяти в вашем собственном процессе, благодаря чему включаются элементы GUI, позволяющие переключать управление сеансом.

Когда вы делаете запрос на переключение сторон, со стороны сервера нет никаких дополнительных проверок.

Второе следствие уязвимости – клиент сессии TeamViewer может управлять мышкой на целевом компьютере независимо от выставленных на нем ограничений.

Демонстрацию эксплуатации уязвимости можно посмотреть здесь https://github.com/gellin/TeamViewer_Permissions_Hook_V1.



2017-12-06T12:30:08
Закрытие уязвимостей

Exim chunked запросы

 

Exim – один из лидирующих мейл-серверов для Linux/Unix, который используется во многих компаниях. Не так давно в нем были обнаружены новые уязвимости CVE-2017-16943 и CVE-2017-16944.

Уязвимости основываются на использовании освобожденной памяти в функции обработки chunked запросов, а именно команд BDAT.

Chunking – это метод отправления сообщения, разбитого на части, например, чтобы указать различную кодировку, а команды BDAT указывают начало и конец частей сообщения.

Уязвимость CVE-2017-16943 потенциально позволяет выполнить произвольный код в процессе сервера и оценена как критическая.

Уязвимость CVE-2017-16944 – это возможность вызова отказа в обслуживании.

Владельцы Exim могут обновиться до версии 4.90, чтобы закрыть эти уязвимости.

Источник http://t.me/infohardening



2017-12-04T12:08:42
Закрытие уязвимостей

Принтеры HP уязвимость

В прошивке ряда моделей принтеров Hewlett Packard (HP) обнаружена уязвимость, позволяющая атакующему удаленно выполнить произвольный код на уязвимых устройствах.

Проблема затрагивает в общей сложности 54 модели принтеров – от HP LaserJet Enterprise, LaserJet Managed и PageWide Enterprise до OfficeJet Enterprise.

Точный перечень уязвимых моделей и пропатченных прошивок можно посмотреть здесь

https://support.hp.com/nz-en/document/c05839270.

Для тех, кто не так давно с нами, напомню, что хакер может получить, поломав принтер:

– Учетные данные подключения к LDAP или почте

– Список почтовых адресов

– Документы

– Точку для распространения атаки

HP уже выпустила апдейты для уязвимых моделей.

Их можно скачать здесь

https://support.hp.com/ru-ru/drivers по модели принтера.



2017-11-26T17:33:30
Закрытие уязвимостей