OpenNews.opennet.ru: Проблемы безопасности
  • Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
    Исследователь безопасности Max Justicz, известный выявлением уязвимостей в репозиториях Packagist, NPM и RubyGems, опубликовал информацию о новой критической уязвимости в пакетном менеджере APK, применяемом в дистрибутиве Alpine Linux (используется по умолчанию для контейнеров Docker). Уязвимость несколько дней назад уже устранена в APK, а проект Alpine Linux выпустил обновление 3.8.1, в который включено данное исправление.

  • Компрометация репозиториев дополнений к Kodi привела к распространению вредоносного кода
    Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющим майнинг криптовалюты.

  • В Ghostscript 9.25 продолжено исправление опасных уязвимостей
    Доступен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.25, в котором продолжено исправление уязвимостей. После публикации выпуска Ghostscript 9.24, в котором были устранены критические уязвимости, исследователи безопасности пришли к выводу, что реализованный метод блокирования уязвимостей не охватывает все возможные векторы атаки. В частности, выявлено три новых варианта (CVE-2018-16802) эксплуатации уязвимости CVE-2018-15909, позволяющих через манипуляцию с инструкцией "pipe" в PostScript-файле добиться исполнения кода атакующего.

  • Ошибка настройки MongoDB привела к утечке 445 млн email-адресов клиентов компании Veeam
    Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил наличие в открытом доступе базы данных компании Veeam, специализирующейся на системах мониторинга и резервного копирования виртуальных окружений. Из-за ошибки в конфигурации СУБД MongoDB, размещённой в облачном хостинге Amazon, в интернет без аутентификации оказалась выставлена база данных, включающая более 445 млн записей.

  • Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x
    Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension.

  • В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей
    В официальном Chrome-дополнении MEGA, предоставляющем доступ к облачному хранилищу mega.nz и установленном у 1.6 млн пользователей, выявлен вредоносный код, осуществляющий накопление и передачу сведений об учётных записях и связанных с ними паролях. Перехват паролей выполнялся для избранных сайтов, среди которых сервисы Google, Facebook, Amazon, GitHub и Microsoft Live/OneDrive, а также разнообразные web-кошельки и интерфейсы для работы с криптовалютой, включая MyEtherWallet, MyMonero и idex.market.

  • Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика
    Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847.

  • Выпуск Ghostscript 9.24 с исправлением уязвимостей, эксплуатируемых через ImageMagick, Evince и Nautilus
    Компания Artifex Software выпустила релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.24. Ghostscript позволяет обрабатывать как язык Postscript, так и документы PDF, переводить их в растровые форматы для показа на экране или для вывода на печать на принтерах без поддержки Postscript. Код проекта распространяется под лицензией AGPLv3, а содержимое каталога CMap по специальной лицензии Adobe.

  • Уязвимость в гипервизоре KVM
    В поставляемом в составе ядра Linux гипервизоре KVM выявлена уязвимость (CVE-2018-10853), позволяющая непривилегированному пользователю гостевой системы выполнить код с правами ядра в данной гостевой системе.

  • Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
    В Packagist, крупнейшем репозитории пакетов на языке PHP, ежемесячно обслуживающем более 400 млн загрузок и по умолчанию применяемом в пакетной менеджере Composer, выявлена критическая уязвимость, позволяющая выполнить код на сервере проекта через передачу специально оформленных значений в форму добавления нового пакета.