Security Digest (47/2003)
A je tady další pravidelný souhrn z oblasti bezpečnosti. Představíme několik novinek
z oblasti software (firewall builder, bind, ficc, tcptrack, afv, os-sim, oshids),
projdeme opravy bezpečnostních problémů pro nejpoužívanější distribuce a nebude chybět přehled
vybraných článků z oblasti bezpečnosti, na které jsme během uplynulého týdne narazili.
Bezpečnostní programy
Firewall Builder 1.1
Homepage: http://www.net-security.org/software.php?id=230
Platformy: Linux
Firewall Builder je nástroj s grafickým rozhraním, který umožňuje snadno generovat skripty
pro konfiguraci firewallu řady platforem.
Nyní je nově podporován i výstup jako skript pro iptables na Linuxu 2.6.
ISC Releases BIND Security Update
Homepage: http://www.linuxsecurity.com/articles/server_security_article-8412.html
Platformy: Unix, Linux
Konzorcium ISC uvolnilo novou verzi bindu (8.3.7 a 8.4.2), obslužného software služby DNS,
která odstraňuje problém s možným otrávením cache jmenného serveru (možnost vyvolání DoS).
ficc 1.2
Homepage: http://www.firsttracks.net/ficc/overview.php
Platformy: Linux, Unix
File Integrity Command & Control (FICC) je nástroj určený k centrální správě instalací Tripwire
v rámci sítě. (Tripwire je nástroj pro kontrolu integrity souborového systému)
tcptrack 1.0.0
Homepage: http://www.rhythm.cx/~steve/devel/tcptrack
Platformy: Linux, Unix
Tcptrack je nástroj pro analýzu síťového provozu, který pasivně sleduje spojení na určitém síťovém
rozhraní a spojení vypisuje podobnou formou jako nástroj top (zdrojová a cílová IP, porty, stav spojení,
datový tok).
afv 0.5
Homepage: http://freshmeat.net/releases/143010
Platformy: Linux, Unix
Tento klient/server nástroj slouží k přesměrování portů mezi dvěma systémy. Podporuje SSL pro
zabezpečený přenos dat.
os-sim 0.7
Homepage: http://sourceforge.net/projects/os-sim/
Platformy: Linux
Používáte snort, acid, mrtg, ntop, nmap, nessus, rrdtool nebo opennsm? Tento nástroj všechny tyto
nástroje používá a zastřešuje - uživateli tak umožní z jediné aplikace sledovat či analyzovat řadu
aspektů sítě.
oshids 0.2
Homepage: http://www.ossec.net/oshids/
Platformy: Linux
Pomocí oshids, iptables a webového serveru apache můžete sestavit jednoduchý IDS systém.
Stačí nakonfigurovat firewall (iptables) tak, aby logoval neoprávněné pokusy přístup
a oshids na základě logu iptables prostřednictvím webového serveru zpřístupní přehledně
zpracované statistiky spojení zahozených firewallem.
Chyby a opravy v uplynulých dnech
| Balíček: |
gnupg |
| Oprava: |
Mandrake (9.0, 9.1, 9.2)
CVE: neuvedeno.
|
| Popis: |
Vážná chyba v použití algoritmu ElGamal při generování klíčů určených pro digitální podpisy,
doporučuje se tyto klíče vůbec nepoužívat.
|
| Balíček: |
stunnel |
| Oprava: |
Red Hat (7.1 - 8.0), Mandrake (9.0)
CVE: CAN-2002-1563,
CAN-2003-0740.
|
| Popis: |
Nekorektní práce se signály, neopatrná manipulace s deskriptorem souboru, kterou lze zneužít k únosu sezení.
|
| Balíček: |
XFree86 |
| Oprava: |
Red Hat (7.3, 8.0)
CVE: CAN-2003-0690,
CAN-2003-0730.
|
| Popis: |
Chyba přetečení bufferu v knihovnách pro práci s fonty - za určitých okolností možnost vyvolání DoS
/ spuštění kódu útočníkem a dále problém s voláním funkce pam_setcred ve správci displeje xdm.
|
| Balíček: |
iproute |
| Oprava: |
Red Hat (7.1 - 9)
CVE: CAN-2003-0856.
|
| Popis: |
Chyba umožňuje lokálnímu uživateli vyvolat DoS.
|
| Balíček: |
pan |
| Oprava: |
Red Hat (7.1 - 9)
CVE: CAN-2003-0855.
|
| Popis: |
Možnost vyvolání pádu aplikace podstrčením zprávy s velmi dlouhou adresou odesílatale.
|
Zajímavé články o bezpečnosti
So when will Linux vendors charge for security fixes?
Zdroj: www.theregister.co.uk
Čas vývojářů komerčních společností zabývajících se Linuxem konzumuje v nemalém
množství vývoj a vydávání bezpečnostních oprav. (Např. pro společnost Red Hat Inc. toto
byl jeden z důvodů, proč upustili od distribuce Red Hat Linux.) Autor tohoto článku
prosazuje myšlenku, že by se za vydávání oprav mělo platit.
GnuPG's ElGamal signing keys compromised
Zdroj: www.linuxsecurity.com
V programu GnuPG's byla objevena závažná chyba týkající se používání klíčů ElGamal pro
digitální podpisy. ElGamal je jeden z šifrovacích algoritmů, který GnuPG podporuje.
I když jeho použití pro digitální podpisy není optimální (protože zde existují určité
slabiny algoritmu, navíc digitální podpisy pak jsou mnohem delší než např.
často v případě použití RSA nebo DSA klíče a navíc je ověření podpisů s tínto algoritmem výpočtově
náročnější) GnuPG tyto klíče podporoval hlavně kvůli tomu, aby vyhověl standardu OpenPGP.
Ve verzi 1.0.2 GnuPG byly parametry algoritmu ElGamal nastaveny tak, aby více vyhovovaly
použití pro šifrování dat, než pro digitální podpisy - a bohužel tak, že klíče určené pro šifrování
i pro podpis vygenerované GnuPG 1.0.2 a pozdejšími verzemi lze prolomit.
DVD security cracker turns to iTunes, faces court
Zdroj: www.out-law.com
O další rozruch se postaral Jon Johansen, který dříve publikoval nástroj decss - ten umožnil
obejít ochranný systém CSS (Content Scrambling System) DVD. Jon Johansen teď uvolnil QTFairUse,
což je pro změnu nástroj, který prolomí DRM ochranu služby iTunes společnosti Apple.
'Cyber diversity' research aims to strengthen security
Zdroj: www.linuxworld.com.au
Monokultura nesvědčí ani počítačovým sítím. Pokud většina systémů pracuje se stejným software,
je relativně snadné způsobit velké výpadky ve fungování propojených systémů.
Java security, Part 1: Crypto basics
Zdroj: www-106.ibm.com
První část tutoriálu na téma Java a bezpečnost. Pro přístup ke článku se vyžaduje
registrace uživatele na webu IBM.
Debian servers hacked, archive safe
Zdroj: www.linuxsecurity.com
Ještě krátký návrat ke kauze napadaných serverů Debianu. Problémy s kompromitací některých serverů se nedotkly obsahu
archívů dostupných na serverech Debianu.
Proposed Spam-Blocking Technology Is A Long Way Away
Zdroj: www.securitypipeline.com
Neustálý boj se spamem je každodenní realitou dnešního Internetu. Článek v krátkosti
shrnuje některá řešení, který by se mohla do budoucna prosadit jako skutečná řešení
ochrany proti nevyžádané reklamě v e-mailech - současné antispamové filtry se snaží
řešit pouze následky vyplývající z nedostatků SMTP protokolu, který se pro transport
elektronické pošty používá.
A to je pro dnešek vše...
Další části seriálu:
| 
Coolhousing
Anketa
