Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Frissítőszerda - 2013. április 17.

2013.04.18. 13:14 | buherator | 5 komment

Oracle

A tegnapi nap legnagyobb száma az Oracle első negyedéves CPU-ja, valamint az ezzel együtt megjelentetett Java biztonsági frissítőcsomag volt. A figyelmeztetők szokásosan szűkszavúak, azt azonban érdemes megjegyezni, hogy az Oracle Database Workload Managert illetve a JRockit JVM-et it 10.0-ás CVSS besorolású (távolról, autentikáció nélkül, könnyen kihasználható, teljes rendszerkomprommittációhoz vezető) problémák sújtják. Részletesebb leírást egyelőre csak egy kevésbé veszélyes HTTP header injection/cache poisoning problémáról találtam a SEC Consult jóvoltából.

A Java esetében a független kutatóknak köszönhetően valamivel talán jobb a helyzet - már ami a sérülékenységek jellegének megismerését illeti. A 42 foltozott sérülékenység jelzi, hogy bár a Java-t célzó támadások - feltehetően a gyártó által bevezetett (végre működőképes) biztonsági szinteknek illetve a böngészőgyártók click-to-play megvalósításainak köszönhetően - az utóbbi időben alábbhagytak, a futtatókörnyezet továbbra is számos lehetőséget ad a támadásra. 

A sérülékenységek dokumentálásában természetesen most is élen jár a Security Explorations: A mostani frissítés hét darab, a cég által bejelentett problémát orvosol, melyek kihasználására készített PoC kódok elérhetők az SE jól ismert projekt oldalán. A csapat ezen túl nyilvánosságra hozott egy, az Oracle által 6 hete figyelmen kívül hagyott problémát a bytecode verifierben, valamint arra is felhívta a figyelmet, hogy egy, az Oracle által most új biztonsági fejlesztésként aposztrofált konfigurációs módosítás valójában egy nyolc éve ismert probléma megoldása:

A Java világ távoli eljáráshívást megvalósító RMI protokollja eddig alapértelmezetten lehetővé tette ún távoli kódbázisok használatát. Ezzel lényegében rá lehetett venni az RMI kiszolgálókat, hogy az RMI kliens által megadott osztályokat töltsenek be, így a kliens-oldali sandbox-kitörések szerver-oldalra is kiterjeszthetővé váltak. Bár a most javított 42 sérülékenység közül a hivatalos figyelmeztető csak 2-t említ szerver-oldalon  is kihasználhatónak, ilyen vagy hasonló módszerrel a maradék is hasznot hajthat a támadónak. Az Update 21 a távoli kódbázisok használatát letiltja a konfigurációban. 

Bár nem közvetlenül a Java platformot érinti a SEC Consult egy, az Internet Explorerbe történő intergrációt elősegítő ActiveX vezérlőt érintő probléma részleteit is közzé tette - a most megjelent frissítés ezt a problémát is orvosolja.

Apple felhasználóknak ezt a posztot érdemes elolvasni a frissítésről.

Cisco

Bár ez már mai hír, azért felhívnám a figyelmet, hogy a Cisco egy tetszőleges kódfuttatásra alkalmat adó SQL injection problémát javított a Network Admission Control Managerben, valamint a TelePresence szolgáltatás lelövésére alkalmat adó hibát is orvosolt.

Google Chrome

Frissült a Google böngészője is: külön érdekesség, hogy a gyártó Ralf-Philipp Weinmannt 31337-1 dollárral jutalmazta három maga által felfedezett bug együttes kihasználására készített PoC exploitért illetve leírásért. A problémák elsősorban a WebGL interfészeléséért felelős O3D komponenst érintették (thx @Balo).

Van egy olyan érzésem, hogy az MSF modulkészlete szépen fog bővülni az elkövetkező napokban :)

Címkék: java patch cisco oracle google chrome

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

P1sty 2013.04.18. 15:59:36

problémák súlytják. ->> sújtják , nem vagyok nyelvtannáci, de ez feltűnt

buherator · http://buhera.blog.hu 2013.04.18. 16:08:28

<korrektorblog>
@P1sty: Igen, ezt mindig elb*om, egyszerűen nem szétválasztható fogalmak a fejemben a "súly"-"sújt" páros (lesújtanak rád->rád esik valami nehéz)...
</korrektorblog>

buherator · http://buhera.blog.hu 2013.04.18. 16:12:42

(ez egyébként remek faktor lehetne, hogy a más néven közölt írásaimat összegyűjtse valaki ;) )

|Z| 2013.04.21. 10:57:19

A Cisco NAC link rossz helyre mutat, szerintem ez a helyes link:
seclists.org/fulldisclosure/2013/Apr/146