Приближаются тяжелые дни лета, и пока мы были заняты обсуждением того, жара это или влажность (это влажность), или тестирование возможностей центрального кондиционирования воздуха, наша надежная база данных продолжала собирать данные о безопасности из открытых источников. , так что мы все можем попытаться расслабиться, уверенные в том, что компоненты с открытым исходным кодом, которые мы все используем, безопасны.
Наша исследовательская группа составила список из 5 самых популярных новых известных уязвимостей безопасности с открытым исходным кодом за июль, собранный базой данных WhiteSource, которая постоянно обновляется из Национальной базы данных уязвимостей (NVD), а также из нескольких дополнительных общедоступных, одноранговых источников. рассмотрел рекомендации по безопасности и средства отслеживания проблем.
В июльском списке 5 самых уязвимых компонентов с открытым исходным кодом есть несколько старых фаворитов, которые многие из нас, вероятно, используют, хотя мы можем даже не знать об этом. Некоторые из компонентов поддерживаются с 90-х годов, а некоторые представляют собой новые захватывающие инструменты автоматизации. В любом случае, вы захотите просмотреть список и убедиться, что ваши компоненты с открытым исходным кодом обновлены и исправны.
Ядро Linux №1
CVE-2016–9604
Оценка уязвимости: высокая — 7,3.
Затронутые версии: до 4.11-rc8
Исследователи безопасности обнаружили локальную уязвимость обхода системы безопасности в ядре Linux.
Уязвимость в связке ключей в ядре Linux может по ошибке позволить специальным внутренним связкам ключей присоединиться к связкам ключей пользовательского пространства. Хакеры могут использовать эту уязвимость для доступа к аутентификации, обходя определенные ограничения безопасности, такие как проверка модуля, и выполнять несанкционированные действия, которые могут помочь им в проведении дополнительных атак.
Учитывая популярность ядра и повсеместное распространение ядра Linux в разработке корпоративного программного обеспечения, мы настоятельно рекомендуем пользователям проверить и убедиться, что они используют обновленную версию, свободную от уязвимостей.
Трудолюбивые люди из Linux уже предоставили исправление для этой уязвимости. Вы можете найти больше информации об исправлении здесь и здесь, или прочитать о других уязвимостях ядра Linux, обнаруженных в этом году, здесь.
№2
CVE-2018–0500
Оценка уязвимости: средняя — 6
Затронутые версии: от 7.54.1 до curl 7.60.0 включительно.
Проблема переполнения буфера на основе кучи была обнаружена в cURL, инструменте командной строки и библиотеке для передачи данных с синтаксисом URL.
Переполнение буфера происходит при отправке данных по SMTP и использовании уменьшенного буфера чтения. Злонамеренный удаленный пользователь, запускающий эти условия в целевой системе, может вызвать отказ в обслуживании или выполнить произвольный код в целевой системе.
Эта уязвимость является уязвимостью, поскольку cURL используется в автомобилях, маршрутизаторах, принтерах, звуковом оборудовании, мобильных устройствах, таких как планшеты и телефоны, медиаплеерах и многом другом. Страница проекта cURL может похвастаться тем, что cURL является магистралью интернет-передачи для тысяч программных приложений, ежедневно затрагивающих миллиарды людей, поэтому непроверенная уязвимость системы безопасности может нанести организациям и отдельным лицам дорогостоящий ущерб.
Вы можете найти больше информации об этой уязвимости и ее исправлении здесь и здесь.
#3 Самба:
CVE-2017–12150
Оценка уязвимости: высокая — 7,3.
Затронутые версии: до 4.4.16, 4.5.x до 4.5.14 и 4.6.x до 4.6.8.
CVE-2017–12151
Оценка уязвимости: высокая — 5,3
Затрагиваемые версии: с 4.1.0 по 4.6.7.
CVE-2017–12163
Оценка уязвимости: средняя — 6
Затрагиваемые версии: все версии Samba.
Эти здоровенные три по цене одного предложения представлены вам другой OG с открытым исходным кодом, Samba — реализацией с открытым исходным кодом протокола блока сообщений сервера (SMB) и связанного с ним протокола общей файловой системы Интернета (CIFS), которые позволяют компьютерам, совместимым с ПК, обмениваться файлами, принтерами и информацией.
Эти три проблемы, обнаруженные в Samba в июле, могут позволить удаленным пользователям перехватывать соединения и позволять удаленным пользователям, прошедшим проверку подлинности, получать конфиденциальную информацию.
Первая проблема, CVE-2017–12150, представляет собой уязвимость обхода безопасности человек посередине (MitM) из-за того, что уязвимые версии Samba не применяют подпись SMB при включении определенных параметров конфигурации. Это может позволить злоумышленнику обойти ограничения безопасности и получить информацию с помощью атаки MitM. Команда Samba уже предоставила исправление.
Во второй уязвимости, CVE-2017–12151, клиентское ПО неправильно подписывает и шифрует перенаправления DFS при использовании определенных настроек максимального протокола для исходного соединения. Соединение может потерять требование подписи и шифрования для любых перенаправлений DFS, что приведет к тому, что злоумышленник прочитает или изменит содержимое соединения с помощью атаки злоумышленник посередине. Добрые люди из Samba предоставили информацию о проблеме и ее устранении.
Третья уязвимость Samba, на которую мы обращаем внимание на этот раз, — CVE-2017–12163, уязвимость записи произвольного файла, которая может позволить удаленное раскрытие информации. Удаленный аутентифицированный пользователь может отправлять специально созданные данные SMB1, чтобы части содержимого памяти сервера записывались в файл на целевом общем ресурсе Samba или на общий принтер. Команда Samba приготовила для вас исправление.
Samba существует с начала 90-х годов для предоставления файлов и услуг печати для клиентов, использующих протоколы SMB/CIFS, такие как все версии DOS и Windows, OS/2, Linux и другие. Это означает, что он существует во многих системах, используемых в организациях. Эти уязвимости затронули продукты таких гигантов, как HP, Debian и redhat, и это лишь некоторые из них.
Убедитесь, что вы используете обновленные версии Samba, и ознакомьтесь с дополнительной информацией об уязвимостях здесь, а также от хороших ребят из Samba здесь, здесь и здесь.
# 4 Ансибл
CVE-2017–7481
Оценка уязвимости: высокая — 7
Затронутые версии: 2.3.1.0 и 2.4.0.0
В уязвимых версиях Ansible при обработке данных, отправляемых из клиентских систем, была обнаружена проблема неправильной проверки данных. Злоумышленник, контролирующий клиентскую систему, управляемую Ansible, которая может отправлять факты обратно на сервер Ansible, может воспользоваться этой уязвимостью, чтобы обойти определенные ограничения безопасности и выполнить произвольный код на сервере Ansible, используя привилегии сервера Ansible.
По сравнению с остальными проектами, представленными на этой неделе, Ansible — новичок в блоке с открытым исходным кодом, фаворит команд DevOps. Это платформа автоматизации ИТ, предназначенная для упрощения развертывания приложений и систем, чтобы разработчики могли лучше и быстрее работать вместе в соответствии с практиками открытого исходного кода. Согласно их документации, основными целями Ansible являются простота и удобство использования, а один из их главных принципов проектирования — быть самой простой в использовании системой автоматизации ИТ. Если этого недостаточно, чтобы сделать их любимыми для разработчиков и остальных крутых ребят, вот еще один забавный факт: их релизы названы в честь песен Led Zeppelin (или, в более ранних версиях, Van Halen).
Вы можете найти больше информации об уязвимости и ее исправлении на github.
# 5 библиотека PNG
CVE-2018–13785
Оценка уязвимости: средняя — 5,5.
Затронутые версии: 1.6.34
Уязвимые версии libpng неправильно обрабатывают определенные PNG-файлы из-за просчета в функции png_check_chunk_length. Эта проблема может вызвать целочисленное переполнение при обработке созданного файла PNG, что хакеры могут использовать для вызова отказа в обслуживании.
libping, официальная справочная библиотека PNG, является еще одним ветераном проекта с открытым исходным кодом для разработки и поддержки справочной библиотеки для приложений, которые считывают, создают файлы растровых изображений PNG (Portable Network Graphics) и управляют ими. Проект запущен и активно используется и тестируется с середины 90-х годов. Сколько разработчиков вы знаете, которые могут сказать это?
Подробнее об исправлении можно узнать здесь и здесь.
Уязвимости безопасности с открытым исходным кодом: просто продолжайте отслеживать
Это были наши лучшие выборы для 5 лучших новых уязвимостей безопасности с открытым исходным кодом за июль. Июльская партия ясно показывает, что сообщество открытого исходного кода продолжает проверять и анализировать компоненты с открытым исходным кодом на предмет проблем с безопасностью, и что ни один проект не застрахован от уязвимостей, независимо от того, как давно он существует или насколько популярен.
На самом деле, чем больше сообщество, использующее и поддерживающее проект с открытым исходным кодом, тем больше внимания уделяется проверке проблем безопасности и предоставлению исправлений. Следующий шаг зависит от нас, пользователей — наши программные проекты должны постоянно отслеживаться, чтобы мы могли немедленно получать предупреждения, если мы работаем с уязвимым компонентом.
Автоматизированный инструмент для управления безопасностью с открытым исходным кодом в организациях может отслеживать использование открытого исходного кода на протяжении всего жизненного цикла разработки и сопоставлять компоненты с открытым исходным кодом с постоянно обновляемой базой данных с открытым исходным кодом, чтобы гарантировать, что вы предупреждены о любых известных уязвимостях в системе безопасности с открытым исходным кодом, которые в вашем коде, и что вам предоставлена вся информация, необходимая для решения проблемы. Вы можете бесплатно увидеть, как это работает, с помощью нового средства проверки уязвимостей WhiteSource.
Хотите узнать об уязвимостях с открытым исходным кодом, выпущенных ранее в 2018 году? Посетите нашу страницу основных уязвимостей с открытым исходным кодом.
Первоначально опубликовано на сайте resources.whitesourcesoftware.com.
