To już trzecia część z serii artykułów mającej za zadanie podnieść bezpieczeństwo twojego Linux’a. W tym odcinku dowiesz się o:
* zwiększaniu bezpieczeństwa LILO
* Nessus
* nmap
* zmianie informacji o wersji apache
* prosty backup
* logi, logi
Tekst możesz przeczytac tutaj
Wczoraj została udostępniona nowa wersja Apache, jednego z najpopularniejszego serwera WWW. W nowej wersji wprowadzono między innymi poprawki związane z przesunięciem UTC w logach – rotatelogs oraz dokonano poprawki podczas wyswietlania pustych nagłówków przy używaniu mod_proxy.
Także pojawił się nowy moduł kryptograficzny dla nowego Apache 1.3.20 umożliwiający pracę z serwerem httpd poprzez Secure Sockets Layer (SSL v2/v3) i protokół Transport Layer Security (TLS v1). Zapowiedziano jednocześnie, że jest to ostatni moduł dla Apache 1.3 – następne prace będą prowadzone tylko dla wersji 2.0.
Więcej informacji na stronach:
– http://www.apache.org
– http://www.modssl.org/
Specjaliści z Alliance Security Labs znaleźli w SecureIIS błędy, które wystawiają użytkowników na zagrożenia, przed którymi program ten miał ich chronić.
Błędy ma wersja 1.0.4 oraz wcześniejsze. Ironią losu jest, że dotyczą one zabezpieczeń, które reklamowane są przez firmę eEye jako główne atuty produktu. Oto niektóre nieprawidłowości:
1. Sprawdzanie słów kluczowych.
SecureIIS nie sprawdza zakodowanych znaków w żądaniach. Tak więc słowo „ADMIN” zostanie wykryte, ale „%41DMIN” już nie. Część główna (body) posta nie jest sprawdzana wogóle. Przykład:
GET /whatever.script?user=%41DMIN HTTP/1.0
oraz:
POST /whatever.script HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Lenght: 10
user=ADMIN
2. Ochrona zasobów przed nieautoryzowanym dostępem.
Podobnie jak w p.1, związane to jest z brakiem kontroli nad zakodowanymi ciągami znaków. Wystarczy więc zakodować kropkę jako %2e lub slash jako %2f, aby pozwolić niepowołanym osobom na swobodny dostęp do wszystkich plików. Przykładowo, następujące żądanie nie zostanie odrzucone przez SecureIIS:
GET /whatever.script?file=/%2e%2e/%2e%2e/boot.ini HTTP/1.0
oraz:
POST /whatever.script HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 20
page=/../../boot.ini
3. Przepełnienie bufora (nagłówki HTTP).
Pomimo ustawionego „Host protection” (z domyślnym limitem 256b), wysłanie więcej niż 256b w nagłówku hosta przechodzi przez SecureIIS i nie jest odrzucone:
GET / HTTP/1.0
Host: [500 x losowe znaki a-z ]
4. Przepełnienie bufora (SecureIIS).
Jeśli żądanie jest duże (kilkanaście tysięcy znaków), może się zdażyć, że atakujący pozna treść żądań poprzednich użytkowników, sposób wewnętrznej konfiguracji strony lub inne poufne dane.
Stwarza to dla witryny WWW poważne zagrożenie bezpieczeństwa, jakkolwiek incydenty z p.4 występowały losowo i były trudne do powtórzenia. (czyli zdarzyć się może wszystko :))
Osoby zainteresowane zgłaszać się powinny do firmy.
Microsoft ostrzega użytkowników przeglądarki Internet Explorer, że dzięki dwóm nowo odkrytym błędom, hackerzy mogą podszywać się pod renomowane witryny internetowe.
Najpoważniejszy z nich związany jest z CRL (internetowymi certyfikatami bezpieczeństwa). Jeśli opcja ta jest włączona, atakujący może uniemożliwić przeglądarce weryfikację ważności certyfikatu, zgodności nazwy na serwerze z nazwą w dokumencie oraz stwierdzenia czy dana witryna jest godna zaufania czy nie.
Druga „dziura” umożliwia atakującemu wyświetlenie na pasku adresu fałszywego, niezgodnego z rzeczywistością adresu URL. Może to doprowadzić do przekazania w niepowołane ręce poufnych danych, lub uruchomienia plików i poleceń, które w innej sytuacji byłyby uznane za niebezpieczne.
Microsoft ostrzega, że zagrożenie występuje nawet w czasie sesji z wykorzystaniem SSL.
Poprawka dostępna pod adresem
O atak na strone stanu Waszyngton www.leg.wa.gov podejrzewa się Chińskich hackerów. Strona została zdefasonowana poprzez zamieszczenie na niej tekstów w języku chińskim. Atak został szybko wykryty i skutki szybko usunięte. W wyniku włamania nie odnotowano uszkodzeń czy utraty danych.
Oracle wypuściło oprogramowanie Data Guard przeznaczone do utrzymywania kopii baz danych w wypadku uszkodzenia systemu. Data Guard zapewnia stały i nieprzerwany dostęp do danych nawet w krytycznych warunkach. Działa pod kontrolą Oracle 8i. Wersja 9i stosować będzie podobną technologię.
Firmy te podpisały akt założycielski nowej spółki informatycznej Incentii SA. Firma będzię się zajmować modnym ostatnio zagadnieniem dystrybucji oprogramowania przez sieć. Kapitał zakładowy wynosi 5 milionów złotych. TPSA obejmuje 2,55 miliona stanowiących 51% kapitału zakładowego.
No Limits udostępniać będzie użytkownikom funkcje wyboru, czy chcą szbyko przeglądać strony w sieći (szybki rendering) czy też ma być ona jak najbardziej kompatybilna z obowiązującymi standardami. Programiści planują by rolę szybkiej przeglądarki oprzeć na Mozilli, a kompatybilność oprzeć na engine IE czy Konqueror.
W porównaniu do 1998r. liczba ataków nieco wzrosła lecz specjaliści twierdzą że 98% z nich jest dokonywana z łatwo dostępnych narzędzi i nie stanowią one dużego zagrożenia dla bezpieczeństwa.