Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe worm voor Linux gesignaleerd

Bij Symantec lezen we over een nieuwe worm voor Linux; Linux.Slapper.Worm. De worm maakt gebruik van een fout in OpenSSL, die een buffer overflow oplevert. Via deze bug krijgt Slapper het voor elkaar om een shell op een ander systeem te draaien. Veel distributies zijn doelwit; onder meer SuSe, Mandrake, Red Hat, Slackware en Debian. De eerste tekenen van de worm komen uit Portugal en RoemeniŽ, waar op het moment ook al systemen zijn waargenomen die door toedoen van de worm DDoS-aanvallen uitvoeren. De technische beschrijving van deze nieuwe worm - die te voorkomen is door naar OpenSSL 0.9.6g te upgraden - ziet er als volgt uit:

LinuxThe worm attempts to connect on Port 80 and it sends an invalid GET request to the server to identify the Apache system. Once the worm finds an Apache system it will try to connect on port 443 to send the exploit code to the listening SSL service on the remote system.

The worm uses a Linux shell code exploit which will run only on Intel systems. This code requires the presence of the shell command /bin/sh in order to execute properly. The worm encodes its own source code named ".bugtraq.c" (thus only a "ls -a" command will show the file) with UU encoding, sends it over to the remote system and decodes the file. After this it compiles the file using gcc and runs the binary which will be called ".bugtraq". These file are placed in the /tmp directory.

Lees verder bij Symantec.

Door Mark Timmer

14-09-2002 • 15:36

51 Linkedin Google+

Submitter: Wouter Tinus

Bron: Symantec

Reacties (51)

Wijzig sortering
Elk prog dat statischis gelinked met de SSL libraries is ook vulnerable en moet ook geupdate worden. Dus ook mod_ssl, apache-ssl, stunnel, sshd, ssh.
hee prutser, deze worm werkt alleen op apache-ssl dus de ret is *niet* vulnerable. En je moet een systeem hebben dat al 2.5 maand geen beheer heeft gehad, want op 29 juni was er bij Debian al een auto-upgrade voor apache-ssl (en alle andere ssl progs)....
Maar als user nobody, web of www-data kan apache doorgaans nog prima bij een compiler (zoals /usr/bin/gcc) hoor.
Als user nobody, web of www-data (of hoe de user ook heet) kan apache geen schade aanrichten, behalve daar waar hij schrijfrechten heeft (meestal alleen /var/www). Maar compilen kan hij gewoon.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True