OpenNews.opennet.ru: Проблемы безопасности
  • 19.4% из 1000 самых популярных контейнеров Docker содержат пустой пароль root
    Джерри Гамблин (Jerry Gamblin) решил выяснить насколько распространена недавно выявленная проблема в Docker-образах дистрибутива Alpine, связанная с указанием пустого пароля для пользователя root. Анализ тысячи самых популярных контейнеров из каталога Docker Hub показал, что в 194 из них (19.4%) для root установлен пустой пароль без блокировки учётной записи ("root:::0:::::" вместо "root:!::0:::::").

  • Взлом дискуссионной площадки Stack Overflow (дополнено)
    Представители дискуссионной площадки Stack Overflow объявили о выявлении следов проникновения атакующих в инфраструктуру проекта. Подробности инцидента пока не приводятся, сообщается лишь, что неавторизированный доступ был совершён 11 мая и текущий ход разбирательства позволяет судить, что данные пользователей и клиентов не пострадали. Инженеры Stack Overflow провели анализ известных уязвимостей, через которые мог быть совершён взлом, и устранили выявленные проблемы. После завершения расследования будет опубликован подробный отчёт о случившемся.

  • Представлен новый класс уязвимостей в процессорах Intel
    Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах - MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel также передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по определению возможных векторов атак и доставке исправлений. Процессоры AMD и ARM проблеме не подвержены.

  • Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО
    Раскрыты сведения о критической.

  • Уязвимость в сетевом стеке ядра Linux
    В коде обработчика протокола RDS на базе TCP (Reliable Datagram Socket, net/rds/tcp.c) выявлена уязвимость (CVE-2019-11815), которая может привести к обращению к уже освобождённой области памяти и отказу в обслуживании (потенциально не исключается возможность эксплуатации проблемы для организации выполнения кода). Проблема вызывается состоянием гонки (race condition), которое может возникнуть при выполнении функции rds_tcp_kill_sock в момент очистки сокетов для пространства сетевых имён.

  • Представлен более эффективный метод определения коллизий для SHA-1
    Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) разработали усовершенствованный метод атаки на алгоритм SHA-1, существенно упрощающий создание двух разных документов с одинаковыми хэшами SHA-1. Суть метода в сведении операции полного подбора коллизии в SHA-1 к коллизионной атаке с заданным префиксом, при которой для существующих данных можно подобрать определённые дополнения, при которых для общего набора возникает коллизия. Иными словами, для двух существующих документов можно вычислить два дополнения, и если одно присоединить к первому документу, а другое ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы.

  • Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов
    Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил, что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 - Picreel и 3435 - Alpaca Forms).

  • Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)
    Сообщается о волне атак, направленных на шифрование Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. Атакующие очищают репозиторий и оставляют сообщение с просьбой отправить 0.1 BTC (примерно $700) для восстановления данных из резервной копии (на деле лишь портятся заголовки коммитов и информация может быть восстановлена). На GitHub подобным образом уже пострадал 371 репозиторий.

  • Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB
    Исследователь безопасности Боб Дьяченко (Bob Diachenko) выявил новую крупную общедоступную БД, в которой из-за ненадлежащих настроек доступа СУБД MongoDB оказались выставлены сведения о 275 млн жителей Индии. База включает в себя такие сведения как ФИО, email, номер телефона, дата рождения, данные об образовании и профессиональных навыках, историю трудоустройства, информацию о текущей работе и зарплате.

  • Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
    В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar" и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar".