Comprueba si tus sistemas están al día. Importantes fallos de seguridad en Apache y Rails han sido descubiertos y publicados, así como sus correspondientes parches.
En Apache se ha descubierto una vulnerabilidad que permite realizar un ataque de denegacion de servicio y en rails es posible realizar XSS y SQL Injection.
A continuación más detalles :
Apache: http://www.debian.org/security/2011/dsa-2298
Según publica SecurityByDefault con pelos y señales, la versión 2.3.4 fue comprometida y se introdujo una puerta trasera. La puerta trasera consiste en poner como usuario “:)” lo que provocaría que se abriese una shell en el puerto 6200.
Muy recomendable leerse el documento complento en SecurityByDefault.
Gracias a Malakun por el enlace
Vía newsleter de Parallels, se nos informa de una vulnerabilidad de BIND que puede provocar una denegación de servicio ( DOS ) causado por la recepción de una mensaje de actualización específicamente diseñado
Para evitar esta vulnerabilidad que afecta a Bind 9.7.1 ( Parallels Plesk Panel 9.5 for windows ) y y 9.7. ( Parallels Plesk Panel 10 for windows ) deben ser actualizados a Bind 9.7.3 immediatamente.
La vulenariblidad se detalla en :
https://www.isc.org/software/bind/advisories/cve-2009-0696
Detalles de como actualizar BIND para Plesk Windows en http://kb.parallels.com/5542
Parallels está preparando un parche para liberarlo próximamente.
Desde ayer día 22 de diciembre está disponible oficialmente la versión 9.5.4 que soluciona varios fallos, los más importantes relacionados con el correo.
Más información en
http://www.parallels.com/download/plesk/products/
Nueva nota de Parallels que nos informa de la liberación de micro-updates para corregir fallos de seguridad. En este caso parece estar relacionado con le cambio de password del usuario admin. Según indican el fallo permitiría cambiar el password del usuario admin usando un usuario de autorizado de Plesk ( un usuario del sistema ).
Dear Parallels Plesk Panel Customer,
Parallels has issued a security hotfix to Parallels Plesk Panel 10.0.1 through the Micro-Updates system.
It is referenced as MU#2 – Plesk admin password changing.
The Micro-Update delivers bug fix for a vulnerability that could allow authorized Plesk users to change Plesk ‘admin’ password and then compromise Control Panel.
For instructions on implementing Micro-updates, please refer to:
http://kb.parallels.com/en/9294 – Using Micro-Updates in Parallels Plesk Panel 9.x, 10.x and Parallels Small Business Panel.
For instructions on upgrading from the panel, please refer to the Administrator Manual at:
http://download1.parallels.com/Plesk/PP10/10.0.1/Doc/en-US/online/plesk-administrator-guide/index.htm?fileName=59215.htm
This notification is made pursuant to our development policy of notifying users when critical security issues arise and making fixes available as soon as possible. Please ensure that this patch has already been applied as soon as possible.
Parallels Plesk Panel Team
Otra nota oficial de Plesk, indica que las versiones afectadas son Plesk 9.5.x , Plesk 10 y Parallels Small Business Panel 10.2.
Parallels strives to deliver solutions to potential vulnerability issues of component parts as soon as they are identified. Please pay attention to this notification as it contains an Important Security Notification. More information can be found on the Parallels website, by visiting: http://www.parallels.com/products/plesk/proftpd
Affected Products: Parallels Plesk Panel 9.5x and 10 include this vulnerability (no prior versions included this version of the component). Parallels Small Business Panel 10.2 is also affected.
Details of the Vulnerability or Exploit: A flaw in ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.
ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application’s stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.Fixes for the Vulnerability or Exploit: Parallels has used its micro-update patch functionality in Plesk 9.5x and 10.x to fix this exploit. You can run the Parallels AutoInstaller to fix this or check the Updates section of your Plesk Panel 9.5x or 10.x to fix this. This is a file-replace, as opposed to a new install so it will be quick and reliable. To find this in the GUI:
- Parallels Plesk Panel 9.5x: “Home” -> “Updates” -> Select the Panel version which has updates -> click “Install” ?
- Parallels Plesk Panel 10.x:“Server Management” -> “Tools & Utilities” -> “Updates” -> “Update Components” -> click “Continue”
These ProFTPD fixes are also available from the Parallels AutoInstaller for Plesk 9.52, 9.53, and Plesk 10.01. You should already have downloaded this as part of Plesk. Use:
# $PRODUCT_ROOT_D/admin/sbin/autoinstaller
Or use the following parameters:
# $PRODUCT_ROOT_D/admin/sbin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base
The patch for Parallels Small Business Panel 10.2 will be posted by 12 noon GMT on Friday November 12, 7am EST in the US)
If you have any concerns or need assistance applying these patches to your system, please contact us at: http://www.parallels.com/support/plesk/free10assistance_toc/ . A valid Plesk license key is required.Thank you for your attention to this important matter.
The Parallels Plesk Panel Team
Nota de prensa oficial de Paralllels:
Important Plesk Notification:
ProFTPD Remote Code Execution Vulnerability and Exploit
A flaw in the popular ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.ProFTPD bug report: http://bugs.proftpd.org/show_bug.cgi?id=3521
Parallels Plesk Panel 9.x, 9.5x and 10 include this vulnerability. Parallels will issue Micro Updates (hotfixes) for 9.5.2 and 9.5.3 no later than 12:00 GMT (noon) on Thursday November 11, (7:00am EST in the US) to fix this.
The patch for Parallels Plesk Panel 10.01 will be released at 17:00 GMT on Thursday November 11, (12:00pm EST in the US).
Patches for Plesk 9.0, 9.22, and 9.3 will be posted by 12 noon GMT on Friday November 12, (7am EST in the US). Parallels updates on this will be coming soon.MORE INFORMATION:
Updating to ProFTPD version 1.3.3c or disabling FTP services is the only current solution to this vulnerability. ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application’s stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.
The update also fixes a directory traversal vulnerability which can only be exploited if the “mod_site_misc” module is loaded. This flaw could allow attackers with write privileges to leave their permitted path and delete directories or create symbolic links
outside of the path. The module is not loaded or compiled by default.A remote root exploit is available: [Full-disclosure]ProFTPD IAC Remote Root Exploit
A Proftpd update for Plesk has been provided by Atomic Rocket Turtle. To apply the update, execute the commands below.
# wget -O – http://www.atomicorp.com/installers/atomic |sh # yum upgrade psa-proftpd
Please review http://www.parallels.com/products/plesk/ProFTPD for updates to this security issue.
Por supuesto se recomienda actualizar de forma urgente.
Nos ha llegado a hostingaldescubierto.com la noticia de la campaña de VeriSign de la venta de sellos de confianza a 1€ para hoy día 3 de Noviembre de 2010.
Verisign Trust Seal no debe confundirse con un certificado SSL, tan sólo es una imagen dentro de tu web que garantiza ciertos aspectos de seguridad. Pero NO ES UN CERTIFICADO SSL NI GARANTIZA LA PRIVACIDAD DE LAS TRANSACCIONES.
Esta información se puede comprobar en el enlace del producto:
http://www.verisign.com/trust-seal/trust-and-security/index.html
Donde “Includes SSL encryption for secure online transactions” no aparece en la opción del ‘Trust Seal’.
Hay que leer tranquilamente antes de comprar.
Aunque llegamos tarde para anunciar la noticia, es necesario comentar aquí la necesidad de aplicar los parches que salieron hace dos días 21 de Septiembre que corrijen un grabe fallo de seguridad en los kernels 2.6 bajo máquinas con arquitectura x86_64.
El fallo se puede explotar localmente en la máquina y consiste en acceder vía “compat_alloc_user_space()” esta función no está correctamente securizada y no se verifican los tamaños de los punteros con lo que se puede hacer un buffer overflow y todo lo que ello conlleva… Al parecer el fallo lleva 2 años en el kernel y no fué comunicado en todo este tiempo por la gente que ha desarrollado el xploit pero sí lo han utilizado para su beneficio propio:
El exploit lo podeis localizar en ABftw.c al menos se han preocupado de eliminar las partes jugosas para que los scriptkidies no hagan de las suyas.
Más interesante que leerse el exploit es comprobar que tu máquina no esté infectada y para ello debes descargar este binario y ejecutarlo con un usuario que no sea root ( recuerda que es sólo para máquinas x86_64 -> uname -p )
$ wget -N https://www.ksplice.com/support/diagnose-2010-3081
$ chmod +x diagnose-2010-3081
$ ./diagnose-2010-3081
Diagnostic tool for public CVE-2010-3081 exploit — Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)
$$$ Kernel release: 2.6.18-194.11.3.el5
$$$ Backdoor in LSM (1/3): checking…not present.
$$$ Backdoor in timer_list_fops (2/3): not available.
$$$ Backdoor in IDT (3/3): checking…not present.
Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.
Para evitar que se explote el fallo hay una solución que lo mitiga y consiste en no permitir ejecutar binarios x86 o i386 en la máquina usando esta linea
# echo ‘:32bits:M::\x7fELF\x01::/bin/echo:’ > /proc/sys/fs/binfmt_misc/register
Provoca que los binarios de 32 bits sólo hagan un “echo” con su nombre de fichero y sus parámetros. El problema es que necesites algunos binarios de 32 bits como es el caso del drweb-update.
De todas formas ya hay kernel nuevo para instalar, reiniciar y listo.
Más información en :
https://access.redhat.com/kb/docs/DOC-40265
https://www.ksplice.com/uptrack/cve-2010-3081
https://rhn.redhat.com/errata/RHSA-2010-0704.html
https://rhn.redhat.com/errata/RHSA-2010-0705.html
http://seclists.org/fulldisclosure/2010/Sep/268
La Rebelión de los spammers es un interesante artículo de David Barroso que leí hace años y ahora lo he vuelto a encontrar por casualidad. El documento habla de la metodología que usa para localizar e identificar procesos maliciosos, cómo identifica el fallo de seguridad, y análisis del enemigo. Se detalla el uso de herramientas de sistema lsof, strace, etc.. etc… Aunque para muchos este tipo de tareas es trivial por realizarlas a diario, no deja de ser un documento interesante para leer.
Dejo copia en el servidor del documento que he localizado en http://his.sourceforge.net/proy_his/papers/spammers/spammers.es.html del proyecto Honeynet In Spanish aparantemente muerto en 2006
El documento lo podeis encontrar en http://www.hostingaldescubierto.com/rebelion-spammers/spammers.es.html
© 2012 Hosting Al Descubierto · Proudly powered by WordPress & Green Park 2 by Cordobo.
Valid XHTML 1.0 Transitional | Valid CSS 3
