Politica di gestione dei bug di sicurezza in FreeBSD

iDefense negli scorsi giorni ha pubblicato due advisory (1 e 2) per problemi di sicurezza nel Kernel di FreeBSD, il FreeBSD Security Team ha classificato i due bug locali spiegando la loro particolare gestione di essi:

The policy of the FreeBSD Security Team is to not issue security advisories for local denial of service attacks; since we have not been able to demonstrate that this bug can result in anything more severe than a denial of service, we will not be issuing a security advisory relating to this problem.

The policy of the FreeBSD Security Team is that local denial of service bugs not be treated as security issues; it is possible that this problem will be corrected in a future Erratum.

Non so il perchè di questa decisione nel team di sicurezza, ma mi piacerebbe avere un parere da chi usa FreeBSD in produzione, meglio sarebbe averlo da chi la usa per lo shared hosting.

 

ModSecurity acquistato da Breach

Lo scorso 25 Settembre è stato siglato l’accordo di vendita tra Breach e Ivan Ristic, autore di ModSecurity.

La comunità e i gli utilizzatori come accade spesso in queste acquisizioni sono molto preoccupati per il progetto, Ivan ha subito rassicurato tutti che questa cosa non può far altro che bene al team di ModSecurity infatti da adesso ci sarà più tempo per lo sviluppo e la scrittura della documentazione.
ModSecurity, come dice l’autore stesso, rimarrà OpenSource e l’unica novità sarà la possibilità di richiedere supporto commerciale.

Ricordo che il 2 Ottobre è la data scelta per il rilascio ufficiale di ModSecurity 2.0.

Maggiori informazioni sull’acquisizione possono essere trovare direttamente nel blog dell’autore.

 

Rilasciata la patch vgx.dll (VML Language)

Nella giornata di ieri Microsoft ha deciso di rilasciare la path per la vulnerabilità critica nella libreria vgx.dll.

Tale path può essere reperita direttamente da windowsupdate oppure può essere scaricata come file singolo dal sito di Microsoft. Invito chiunque non lo avesse già fatto a installare questo aggiornamento vista la criticità della vulnerabilità.

Per chi avesse installato la path rilasciata da ZERT è necessario che tolga prima questa path per poi installare quella ufficiale.
per chi avesse disabiliato la libreria interessata dal bug la riattivi con:

regsvr32 “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll

Per scaricare la path singola, scegliete la versione di Windows in vostro possesso:

 

Internet Explorer daxctle.ocx 0day exploit

Il 13 Settembre è stato rilasciata una advisory per Microsoft Multimedia Controls ActiveX (daxctle.ocx) nella funzione CPathCtl::KeyFrame() esiste un errato controllo sui valori in input che può causare un Heap Overflow.
L’autore della scoperta ha rilasciato un PoC, funzionante su Internet Explorer 5.01 e 6 su Windows 2000, XP e 2003, capace di eseguire codice arbitrario durante la visualizzazione di una pagina appositamente creata.

Nella notte tra il 24 e 25 settmbre è stato scoperto un sito Internet che distribuisce una versione modifcata del PoC rilasciato che installa una versione fake di svchost.exe e crea una libreria (%system%\hehesox.dll) la quale resta in ascolto per ricevere comandi da un server remoto.

Consiglio a chi non lo avesse già fatto a disalibitare il DirectAnimation Path. Per farlo basta seguire le isctruzioni di Microsoft presenti nella KB e usare come riferimento il CLSID: {D7A7D7C3-D47F-11d0-89D3-00A0C90833E6}.

 

VML exploit aiutato da CPanel

HostGator è stato vittima di un mass-deface su un numero imprecisato di siti ospitati sui propri server.
Alcuni cracker dopo aver avuto accesso alle macchine, con installato CPanel, hanno modificato le pagine in essi contenute inserendo un iframe con destinazione una pagina esterna che riproduceva il VML exploit.

Secondo HostGator gli attacker hanno utilizzato una vulnerabilità ancora sconosciuta al momento dell’attacco che risiede nel software di gestione dei server utilizzato dalla società: CPanel.
CPanel ha confermato il problema, spiegando che questo bug risiedeva nel suo software da molti anni in tutti i brach di sviluppo: Stable, Release, Current e Edge. Chi avesse questo software installato sui propri server lo invito a dare un /scripts/upcp se non lo avesse già fatta o non lo avesse inserito nei cronjob della macchina.
Sulla vulnerabilità in questione è stato anche spiegato che senza un account locale sulla macchina non era riproducibile.

Nel frattempo Microsoft sta pensando se rilasciare la patch per i problemi nella libreria VML prima del 10 Ottobre, data per la quale sono già programmati altri rilasci di patch.