Nyheter från CERT-SE

SR12-025 Novell - iPrint sårbart

2012-02-09T14:55:00Z

Flera sårbarheter har hittats i Novells iPrint klient, vilka kan utnyttjas av en angripare för att kompromettera en användares system, till exempel för att köra godtycklig kod på det sårbara systemet.

Novell vill tacka gwslabs.com, Brian Gorenc samt Ivan Rodriguez.

SR12-024 Google - Chrome uppdaterad

2012-02-08T21:32:41Z

Google har släppt Chrome 17.0.963.46 och vill speciellt tacka miaubiz, Drew Yao och Braden Thomas från Apple, Sławomir Błażek, Aki Helin från OUSPG, Chamal de Silva och Atte Kettunen från OUSPG.

Internetkameror en säkerhetsfara?

2012-02-07T15:28:29Z

Mer information:

http://www.bbc.co.uk/news/technology-16919664

CERT-SE:s veckobrev v.5

2012-02-03T13:08:00Z

Nyheter i veckan

SpiderLabs analyserar HOIC (High Orbit Ion Cannon): ett verktyg som används vid överbelastningsattacker
http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html

Android-telefoner kan läcka känslig information om trådlösa nät, via specialkonstruerade applikationer
http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Säkerhetsföretag påstår sig kunna knäcka FileVault 2 på ~40 minuter med hjälp av minnesanalys

http://reviews.cnet.com/8301-13727_7-57369983-263/filevault-2-easily-decrypted-warns-passware

Kristin Paget visade på årets "Shmoocon" hur kreditkort med RFID-chip kan attackeras

http://www.forbes.com/sites/andygreenberg/2012/01/30/hackers-demo-shows-how-easily-credit-cards-can-be-read-through-clothes-and-wallets

"PDF-slides" från ovan presentation

http://www.tombom.co.uk/Paget-shmoocon-credit-cards.pdf (PDF)

S4: Ralph Lagner presenterade sina bevis för att Stuxnet var ämnat för "Natanz" (video)
http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video

Google om en ny tjänst som söker efter skadlig kod bland applikationerna på Android Market
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Modifierad variant av botnätet Kelihos/Hlux är tillbaka..
http://www.securelist.com/en/blog/655/Kelihos_Hlux_botnet_returns_with_new_techniques

Verisign utsattes för dataintrång under 2010

http://threatpost.com/en_us/blogs/update-verisign-admits-security-breaches-2010-020212

Verisign uttalar sig själva om intrången

http://verisigninc.com/en_US/news-events/press-room/articles/index.xhtml?artLink=aHR0cHM...

Ökat antal e-postmeddelanden med skadliga .htm-filer bifogade enligt Symantec
http://www.symantec.com/connect/blogs/email-malicious-html-attachments

Infektera någon med skadliga fraktaler inpräntade i skelettet = winning!
http://www.f-secure.com/weblog/archives/00002307.html

CERT-SE i veckan

SR12-023 PHP - Sårbarhet i PHP version 5.3.9
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

SR12-021 Apple - Ett flertal sårbarheter i OS X
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

SR12-019 VMware - Uppdateringar till ESXi och ESX

SR12-018 HP - Sårbarhet i HP Network Automation

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

SR12-016 Cisco - IronPort-produkter sårbara

Ny "single-block collision"-attack mot MD5

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

Färggranna tidslinjer i log2timeline

SR12-023 PHP - Sårbarhet i PHP version 5.3.9

2012-02-03T09:39:54Z

En sårbarhet som kan medge godtycklig kodexekvering har identifierats i PHP 5.3.9 och rättats i version 5.3.10.

Sårbarheten introducerades när en annan brist skulle rättas i version 5.3.9 och den nya sårbarheten kan utnyttjas av en extern angripare för att exekvera godtycklig kod på ett system som använder version 5.3.9 av PHP.

Mer specifikt så finns sårbarheten i "php_register_variable_ex()" och en extern angripare kan skicka specialkonstruerad data för att utnyttja den. Angriparens kod exekveras sedan med samma rättigheter som den sårbara PHP-instansen har.

Stefan Esser identifierade sårbarheten och användare av PHP 5.3.9 uppmanas att uppgradera till 5.3.10 så snart som möjligt.

SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

2012-02-03T08:55:26Z

Apache har släppt version 2.2.22 av sin HTTP-server och rättar ett antal sårbarheter i produkten.

Totalt är det 6 sårbarheter som rättas och de kan bland annat utnyttjas av lokala användare för att eskalera sina rättigheter, externa angripare i tillgänglighetsattacker samt medge informationsläckage.

För detaljerad information om respektive sårbarhet, se länken nedan.

SR12-021 Apple - Ett flertal sårbarheter i OS X

2012-02-02T13:47:35Z

Apple har släppt APPLE-SA-2012-02-01-1 och rättar ett flertal sårbarheter i OS X.

Sårbarheterna kan bland annat utnyttjas i tillgänglighetsattacker, vid otillbörligt förhöjande av rättigheter samt potentiellt för att exekvera godtycklig kod på ett sårbart system.

Uppdateringen innehåller rättningar till nyligen upptäckta sårbarheter i:

Address Book, CFNetwork, CoreMedia, CoreText, CoreUI, libresolv, OpenGL, Internet
Sharing, Kernel, Time Machine, QuickTime, och WebDAV.

För detaljerad information om respektive sårbarhet, se länkarna nedan.

SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

2012-02-01T10:26:28Z

Mozilla har släppt uppdateringar som rättar ett antal sårbarheter i Firefox, Thunderbird och Seamonkey.

Totalt är det 9 stycken sårbarheter som rättas varav 5 klassificeras av Mozilla som kritiska. Sårbarheterna finns i Firefox webbläsarfunktionalitet, vilket gör att Thunderbird och SeaMonkey indirekt blir drabbade.

Flera av sårbarheterna beror på problem med hantering av minne och kan potentiellt utnyttjas för godtycklig kodexekvering.

Uppdateringar finns att tillgå. För mer information, se länkarna nedan.

SR12-019 VMware - Uppdateringar till ESXi och ESX

2012-02-01T09:26:00Z

VMware har släppt en bulletin innehållande säkerhetsuppdateringar till tredjepartsprogram för ESXi / ESX och ESX Service Console: VMSA-2012-0001.

Sårbarheterna som rättas finns i följande produkter:

COS Kernel (Console Operating System Kernel)

COS cURL

COS rpm

COS samba

COS python

Python library

För detaljerad information om respektive sårbarhet och rättning, se länkarna nedan.

SR12-018 HP - Sårbarhet i HP Network Automation

2012-01-31T18:51:05Z

Sårbarheten kan utnyttjas av en extern icke-autentiserad användare för att ta kontroll över ett sårbart system.

I skrivandets stund finns det ingen detaljerad information om sårbarheten att tillgå. Versioner tidigare än: HP Network Automation 9.10.02 är sårbara. Versioner till följande plattformar är drabbade:

Microsoft Windows

Linux

Solaris

HP har släppt rättningar, för mer information, se länken nedan.

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

2012-01-30T15:40:49Z

Ett flertal sårbarheter har identifierats i programbiblioteket FFmpeg. Sårbarheterna kan utnyttjas i tillgänglighetsattacker samt potentiellt för att exekvera godtycklig kod på ett sårbart system.

En angripare kan utnyttja sårbarheterna genom att förmå en användare att köra en specialkonstruerad fil i ett program som använder sig av en sårbar version av FFmpeg.

Lista på produkter som använder sig av FFmpeg: http://ffmpeg.org/projects.html

Sårbarheterna identifierades av Mateusz "j00ru" Jurczyk, Gynvael Coldwind och John Villamil.

För mer information om respektive sårbarhet, se länkarna nedan.

Ny "single-block collision"-attack mot MD5

2012-01-30T14:04:24Z

Säkerhetsforskaren Marc Stevens har publicerat en forskningsrapport i vilken han redogör för ett nytt sätt att attackera den kryptografiska hashfunktionen MD5.

Rapporten är ett svar på den utmaning som Tao Xie och Dengguo Feng formulerade efter att själva ha attackerat MD5 i en så kallad "single-block collision"-attack.

Information om utmaningen finns här: http://eprint.iacr.org/2010/643

Marc Stevens forskningsrapport finns här: http://marc-stevens.nl/research/md5-1block-collision/md5-1block-collision.pdf (PDF).

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

2012-01-29T17:32:43Z

Malwr.com är ny webbaserad tjänst för analys av skadlig kod. Projektet stöds av Shadowserver och är baserad på "Cuckoo Sandbox". Som grädde på moset är tjänsten gratis.

Mer information:

http://malwr.com/about/

http://www.cuckoobox.org/

http://www.shadowserver.org/

Färggranna tidslinjer i log2timeline

2012-01-28T19:18:47Z

log2timeline är ett verktyg skrivet i Perl som skapar en tidslinje från filer som kan vara i en mängd olika format, exempelvis Apache-loggfiler, Windows event-loggar, PCAP-filer eller Internet Explorer historik. Tanken är att log2timeline ska kunna extrahera tidsstämplar och viss meta-data från alla sorters olika filer och generera en kombinerad tidslinje. På så sätt kan en händelse som är spridd över många loggfiler lätt analyseras. En rad olika utdataformat stöds också, till exempel CSV och SQLite.

I veckan publicerade SANS Excel-mallar som färgkodar den genererade tidslinjen vilket underlättar analysen.

Mer information:

http://log2timeline.net/

http://computer-forensics.sans.org/blog/2012/01/25/digital-forensic-sifting-colorized-super-timeline-template-for-log2timeline-output-files

SR12-016 Cisco - IronPort-produkter sårbara

2012-01-27T14:39:54Z

Telnet-demonen (telnetd) i Cisco IronPort Email Security Appliances (ESA) och Cisco IronPort Security Management Appliances (SMA) innehåller en sårbarhet, vilken kan resultera i att en extern angripare kan exekvera godtycklig kod. Observera att angriparen inte behöver vara autentiserad.

För närvarande finns ingen uppgradering från Cisco. Istället bör telnetd inaktiveras och SSH användas istället (vilket man bör göra i vilket fall som helst).