Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe worm voor Linux gesignaleerd

Bij Symantec lezen we over een nieuwe worm voor Linux; Linux.Slapper.Worm. De worm maakt gebruik van een fout in OpenSSL, die een buffer overflow oplevert. Via deze bug krijgt Slapper het voor elkaar om een shell op een ander systeem te draaien. Veel distributies zijn doelwit; onder meer SuSe, Mandrake, Red Hat, Slackware en Debian. De eerste tekenen van de worm komen uit Portugal en RoemeniŽ, waar op het moment ook al systemen zijn waargenomen die door toedoen van de worm DDoS-aanvallen uitvoeren. De technische beschrijving van deze nieuwe worm - die te voorkomen is door naar OpenSSL 0.9.6g te upgraden - ziet er als volgt uit:

LinuxThe worm attempts to connect on Port 80 and it sends an invalid GET request to the server to identify the Apache system. Once the worm finds an Apache system it will try to connect on port 443 to send the exploit code to the listening SSL service on the remote system.

The worm uses a Linux shell code exploit which will run only on Intel systems. This code requires the presence of the shell command /bin/sh in order to execute properly. The worm encodes its own source code named ".bugtraq.c" (thus only a "ls -a" command will show the file) with UU encoding, sends it over to the remote system and decodes the file. After this it compiles the file using gcc and runs the binary which will be called ".bugtraq". These file are placed in the /tmp directory.

Lees verder bij Symantec.

Door Mark Timmer

14-09-2002 • 15:36

51 Linkedin Google+

Submitter: Wouter Tinus

Bron: Symantec

Reacties (51)

Wijzig sortering
De bug lijkt al langer bekend te zijn. Zoals het er uitziet zijn openssl 0.9.6d (en eerder) en versie 0.9.7beta2 (en eerder) gevoelig voor deze fout.

Ik gebruik gentoo linux (leuke distro voor de kenner) en die heeft sinds 14 augustus openssl 0.9.6e beschikbaar en sinds 29 augustus openssl 0.9.6g. In de comments voor de update voor 0.9.6e staat:
.

Ik weet niet hoe snel andere firma's hun Linux-spulletjes bijwerken, maar iemand er een beetje op let heeft niets te vrezen dus. ;-)
De bug is rond 30 juli al bekend geworden. Versie 0.9.6e is niet meer 'vatbaar' voor dit virus. De meeste distro's hebben al lang patches en updates voor deze bug. Een upgrade van OpenSSL impliceert vaak ook een aantal andere upgrades zoals bijvoorbeeld OpenSSH en mod_ssl.
Goh, volgens mij bedoelen ze i386 systemen :P

Maar alle gekheid op een stokje, hieruit blijkt maar weer dat ongeacht het OS, het is belangrijk om de updates en securitysites in de gaten te houden.

Het valt mij wel op dat het gros der security bugs op linux-gebied zich bevinden in de 'veilige' verbindingen, denk aan SSH of zoals nu weer openSSL. Niet draaien dus, die services, tenzij het echt niet anders kan.
Het is meer zo dat de wormpies en exploits juist deze software targetten, omdat iedereen die heeft draaien (grotere kans). Daarnaast wordt deze software heel actief ge-audit door diverse groepen, en foutjes worden dus vaak bekend gemaakt. Een blackhat hoeft maar misbruik te maken van een van de vele foutjes die iedere keer gevonden worden.

Natuurlijk is het simpeler een buffer-overrun te vinden in een minder bekend en belangrijk pakket, maar dit draait op veel minder systemen, en veel minder vaak als root.

Daarnaast moet je als blackhat dan zelf gaan zoeken naar de bugs, omdat dit soort code niet door de rest van de wereld wordt geaudit.

[edit/add-on]
Tevens geld natuurlijk (voor de blackhats/script kiddies) dat een exploit/worm voor een 'secure' product als OpenSSL/Apache/SSH/etc zorgt voor een beter/cooler imago in de script-kiddie wereld dan een suffe exploit voor een of ander raar zelden gebruikt tooltje...
[/edit]

\[edit: spelling]
Jeetje, moet ik die pinguin weer laten ontwormen bij de dierenarts :)
Kusje, sommige Windows programma's maken ook gebruik van OpenSSL. Het heeft ook weinig met de Linux kernel te maken. Get a clue.
Je moet niet vergeten dat deze worm geen lek in Linux is maar in een third-party programma, OpenSSL.

Het zou hetzelfde zijn als ik bijvoorbeeld Netscape op m'n Windows2000 bak zou installeren en vervolgens blijkt er een beveiligingsfout in Netscape te zitten, dan ga je toch ook niet roepen: Dat #@$#4 Windows?
Een systeem dat Linux als hart heeft (de kernel) is modulair. Windows daarentegen is gewoon 1 groot systeem, waar je verder weinig aan kunt veranderen. Daarom is een vergelijking bijna niet te doen. Linux als kernel zal veel minder security issues hebben dan Windows, maar een Linuxdistributie misschien wel meer omdat er cd's vol software bijzitten.

De laatste tijd is OpenSSL (en SSL in het algemeen) wel vaak in het nieuws voor wat betreft security-issues. Wat ik juist zie is dat er bij veel van dit soort berichten flames komen dat Linux zuigt, terwijl Linux er in principe niks mee te maken heeft (hier nog niet gezien overigens, das weer positief).

Je kunt overigens niks zeggen over het aantal bugs in Windows. Je kunt immers niet in de sourcecode kijken. Wie weet houdt Microsoft (of andere mensen/bedrijven) wel vanalles stil. Wanneer de source open is, kunnen er meer mensen meekijken en bugs opsporen en verhelpen. Dat je dan ook een ietwat verhoogde kans loopt dat er een kwaadwillende een exploit voor gaat maken, alvorens iemand anders de bug ontdekt, weegt IMHO nooit op tegen de openheid en dat je er dus zeker van kunt zijn dat er geen bugs verzwegen kunnen worden.
Als je geen https(443) draait zit je goed, in elk geval voor deze worm. Hoe het precies zit met een ssh shell account weet ik niet, maar ik vermoed dat je eerst moet zijn ingelogd voordat je van de bug gebruik kunt maken. Met apache is dat iets anders, omdat 'iedereen' een https verbinding kan maken.
Kortom: apache configureren op alleen http en/of je firewall rules aanpassen. Of ssl updaten natuurlijk.
Volgens mij is je AMD net zo vulnerable als een Intel systeem hoor. Ze bedoelen hier waarschijnlijk x86, dus Intel, AMD, Cyrix, etc, maar niet SPARC, PA-RISC, MIPS, etc.
Da's geen misverstand, dat behoor je weten als je die distributie draait.Hierbij is gewoon de oude OpenSSL versie gepatched (revisie 28) omdat ze bij o.a. RedHat en Debian op die manier hun distributies stabiel houden. Geen nieuwe features, alleen security en reliability fixes. Prima methode overigens, maar je moet wel upgraden natuurlijk! Niet naar -g maar wel naar -28 of wat de nieuwste revisie ook is.
Linux/unix heeft minder bugs
Weet je wel zeker dat dit zo is?

Het pakker Linux, waarbij praktisch niets bijgeleverd zit, is uiteraard een stuk kleiner dan een pakker windows, waar 1001 extra progs bijgeleverd worden. In absolute nummers zal linux/unix dus minder fouten hebben. Maar per aantal regels?

Hier stond een hele lange tijd terug al een artikel over op T.net, waaruit bleek dat windows helemaal zo slecht nog niet is ...
Hopen dat ze gevonden worden, voordat ze ge-exploit-ed worden
Nee, ik hoop gewoon dat de mensen die exploiteren, daar gewoon mee stoppen ... (onmogelijk natuurlijk).
En anders, dat het geexploiteerd word is niet erg, als je je systeem maar up-to-date houdt ...

edit-- > www.tweakers.net/nieuws/18672?highlight=bugs
Dus windows loopt nog wel een beetje voor. Maar ik denk (ik denk dus) dat dit komt omdat er in windows veel meer naar fouten word gezocht (om Microsoft zwart te maken). Als er in Linux/Unix naar wordt gezocht, zal dit vaker zijn om de fouten er ook uit te halen, die dus niet in dit rapportje komen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True