Security Digest (6/2004)
V dalším pravidelném souhrnu z oblasti bezpečnosti bude řeč např. o distribucích
Knoppix-STD, Openwall a Netwosix, dále projdeme opravy bezpečnostních problémů pro
nejpoužívanější distribuce z minulého týdne a jako obvykle digest
uzavře několik odkazů na zajímavé články z této oblasti.
Bezpečnostní programy
Openwall 2.4.24-ow1
Homepage: ftp://ftp.openwall.com/pub/patches/linux/v2.4/
Platformy: Linux
Projekt Openwall asi není potřeba nijak detailně představovat. Kromě vlastní distribuce Openwall
Linux jsou také k dispozici záplaty jádra, které implementují některé vlastnosti zvyšující bezpečnost
systému. Nyní je k dispozici je záplata Openwall
pro jádro Linuxu 2.4.24, která jako obvykle obsahuje např. non-executable user stack
(zabránění vykonávání kódu na zásobníku), zpřísnění manipulace s odkazy v adresářích
s nastaveným sticky bitem, zpřísnění manipulace s pojmenovanými rourami, omezení přístupových
ve virtuálním souborovém systému /proc a další.
.
Knoppix-STD 0.1
Homepage: http://www.knoppix-std.org/
Platformy: Linux
Knoppix-STD (security tools distribution) je upravenou variantou populární live distribuce,
která se zaměřuje na problematiku zabezpečení systémů. Je vystavěna na jádře 2.4.21 s podporou
zapisování na svazky ntfs, dále obsahuje openmosix a superfreeswan.
Privoxy 3.0.3
Homepage: http://www.privoxy.org/
Platformy: Linux, AmigaOS, HP-UX, Mac OSX, OS/2, Win32
Privoxy je www proxy s pokročilými možnostmi filtrování obsahu zaměřená na ochranu soukromí -
nabízí např. omezení přístupu, správu cookies, odstranění reklamy. Privoxy vychází z projektu
Junkbuster.
Linux Netwosix 1.0
Homepage: http://www.netwosix.org/
Platformy: Linux
Netwosix je linuxová distribuce zaměřená na síťové aplikace a problematiku zabezpečení systémů.
Obsahuje řadu nástrojů pro testování možností průniku a provádění bezpečnostních auditů.
Netwosix 1.0 je postaven na jádře Linuxu 2.6.1, pro instalaci software používá systém
"portů" podobně jako systémy BSD.
Chyby a opravy v uplynulých dnech
| Balíček: |
glibc |
| Oprava: |
Mandrake (9.0)
CVE: CAN-2002-1146.
|
| Popis: |
Přetečení bufferu v kódu DNS resolveru, možnost vyvolání pádu aplikace podstrčením
paketu velikosti větší než 1024 bajtů.
|
| Balíček: |
netpbm |
| Oprava: |
Red Hat (9)
CVE: CAN-2003-0924.
|
| Popis: |
Neopatrná manipulace s dočasně vytvářenými pracovními soubory.
|
| Balíček: |
mpg123 |
| Oprava: |
Debian (3.0 Woody)
CVE: CAN-2003-0865.
|
| Popis: |
Chyba přetečení bufferu při zpracování HTTP hlaviček, zneužitelná tehdy, pokud uživatel stahuje
mp3 stream prostřednictvím HTTP, možnost spuštění kódu.
|
Zajímavé články o bezpečnosti
Securing a Unix Server
Zdroj: www.linuxsecurity.com
Tutoriál o necelých 150 stranách ke stažení ve formátu PDF. Autor postupně rozebírá instalaci
serveru, následuje zabezpečení DNS serveru, poštovního serveru, webového serveru, problematiku
firewallu, IDS.
Countering buffer overflows
Zdroj: www-106.ibm.com
Přehledný tutoriál, který uvede začínající programátory do problematiky chyb přetečení
bufferu, uvádí časté programátorské chyby a způsoby, jak se proti nim bránit. Článek je
doplněn řadou relevantních odkazů.
Automating Security with GNU cfengine
Zdroj: www.linuxjournal.com
Velmi praktický návod, jak si zjednodušit údržbu více strojů pomocí nástroje cfengine,
dokumentováno na příkladech.
SmashGuard
Zdroj: www.smashguard.org
Představení zajímavého hardwarového řešení ochrany proti útokům, které
využívají chyby přetečení bufferu k přepsání návratových adres funkcí.
Součástí je záplata Linuxového jádra, která implementuje podporu procesorů,
které obsahují technologii SmashGuard.
The Design and Implementation of Userland Exec
Zdroj: www.securityfocus.com
Tento článek popisuje způsob, jak docílit spuštění aplikace bez použití
volání jádra execve(). Princip je jednoduchý: vyklidit adresní prostor procesu,
natáhnout linker, zavést binárku, inicializovat zásobník, najít vstupní bod
aplikace a předat tam řízení vykonávání procesu.
A to je pro dnešek vše...
Další části seriálu:
| 
Coolhousing
Anketa
