[es] - WordPress backdoored

Stator
Marković Stefan
System & Network Administrator
Beograd

Član broj: 14552
Poruke: 199
*.ADSL.neobee.net.

Jabber: stator [ET] gmail com
ICQ: 279546680

Profil

Re: WordPress backdoored

^{03.03.2007. u 18:58}

@cynique: Ne ne kapiras ni ti mene :) Ono sto 'ocu da ti kazem je to da kod boljih distribucija imas viseslojnu zastitu.
1. Mora taj neko da prevari devolepere i da oni objave njegov kod
2. To isto mora da se podkrade i developerima neke distribucije koja ima npr stabilnu i nestabilnu granu (Debian, Gentoo itd)

Pa cak i kada se to desi ti odmah dobijes na mail poruku da je aplikacija koju koristis explojtovana i da je updejtujes

Primer evo ovo sam ja dobio za FF koji jelte koristim

Code:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Gentoo Linux Security Advisory                           GLSA 200703-04
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
                                           http://security.gentoo.org/
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Severity: Normal
    Title: Mozilla Firefox: Multiple vulnerabilities
     Date: March 02, 2007
     Bugs: #165555
       ID: 200703-04

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Synopsis
========

Multiple vulnerabilities have been reported in Mozilla Firefox, some of
which may allow user-assisted arbitrary remote code execution.

Background
==========

Mozilla Firefox is a popular open-source web browser from the Mozilla
Project.

Affected packages
=================

   -------------------------------------------------------------------
    Package                         /  Vulnerable  /       Unaffected
   -------------------------------------------------------------------
1  www-client/mozilla-firefox          < 2.0.0.2        *>= 1.5.0.10
                                                           >= 2.0.0.2
2  www-client/mozilla-firefox-bin      < 2.0.0.2        *>= 1.5.0.10
                                                           >= 2.0.0.2
   -------------------------------------------------------------------
    2 affected packages on all of their supported architectures.
   -------------------------------------------------------------------

Description
===========

Tom Ferris reported a heap-based buffer overflow involving wide SVG
stroke widths that affects Mozilla Firefox 2 only. Various researchers
reported some errors in the JavaScript engine potentially leading to
memory corruption. Mozilla Firefox also contains minor vulnerabilities
involving cache collision and unsafe pop-up restrictions, filtering or
CSS rendering under certain conditions.

Impact
======

An attacker could entice a user to view a specially crafted web page
that will trigger one of the vulnerabilities, possibly leading to the
execution of arbitrary code. It is also possible for an attacker to
spoof the address bar, steal information through cache collision,
bypass the local files protection mechanism with pop-ups, or perform
cross-site scripting attacks, leading to the exposure of sensitive
information, like user credentials.

Workaround
==========

There is no known workaround at this time for all of these issues, but
most of them can be avoided by disabling JavaScript.

Resolution
==========

Users upgrading to the following releases of Mozilla Firefox should
note that this upgrade has been found to lose the saved passwords file
in some cases. The saved passwords are encrypted and stored in the
'signons.txt' file of ~/.mozilla/ and we advise our users to save that
file before performing the upgrade.

All Mozilla Firefox 1.5 users should upgrade to the latest version:

   # emerge --sync
   # emerge --ask --oneshot --verbose ">=www-client/mozilla-firefox-1.5.0.10"

All Mozilla Firefox 1.5 binary users should upgrade to the latest
version:

   # emerge --sync
   # emerge --ask --oneshot --verbose ">=www-client/mozilla-firefox-bin-1.5.0.10"

All Mozilla Firefox 2.0 users should upgrade to the latest version:

   # emerge --sync
   # emerge --ask --oneshot --verbose ">=www-client/mozilla-firefox-2.0.0.2"

All Mozilla Firefox 2.0 binary users should upgrade to the latest
version:

   # emerge --sync
   # emerge --ask --oneshot --verbose ">=www-client/mozilla-firefox-bin-2.0.0.2"

References
==========

[ 1 ] CVE-2006-6077
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6077
[ 2 ] CVE-2007-0775
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0775
[ 3 ] CVE-2007-0776
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0776
[ 4 ] CVE-2007-0777
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0777
[ 5 ] CVE-2007-0778
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0778
[ 6 ] CVE-2007-0779
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0779
[ 7 ] CVE-2007-0780
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0780
[ 8 ] CVE-2007-0800
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0800
[ 9 ] CVE-2007-0801
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0801
[ 10 ] CVE-2007-0981
        http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0981
[ 11 ] CVE-2007-0995
        http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0995
[ 12 ] Mozilla password loss bug
        https://bugzilla.mozilla.org/show_bug.cgi?id=360493#c366

Availability
============

This GLSA and any updates to it are available for viewing at
the Gentoo Security Website:

http://security.gentoo.org/glsa/glsa-200703-04.xml

Concerns?
=========

Security is a primary focus of Gentoo Linux and ensuring the
confidentiality and security of our users machines is of utmost
importance to us. Any security concerns should be addressed to
security@gentoo.org or alternatively, you may file a bug at
http://bugs.gentoo.org.

License
=======

Copyright 2007 Gentoo Foundation, Inc; referenced text
belongs to its owner(s).

The contents of this document are licensed under the
Creative Commons - Attribution / Share Alike license.

http://creativecommons.org/licenses/by-sa/2.5

I ovako slicno se dobija za svaki fail koji ti je instaliran a nadjeno je neki deo loseg coda u njemu. Dakle sve us*** malko boljih distribucija ovaj slucaj uopste nije pogodio.

http://www.bgwireless.net

^{03.03.2007. u 18:58}

unleaded

Član broj: 114756
Poruke: 72
*.teol.net.

Profil

Re: WordPress backdoored

^{03.03.2007. u 19:00}

Ma jok, Microsoft se uopste nije izvinjavao sto su musterije fasovale spyware, nema toga kod komercijalista :).

Citat:

Microsoft have issued an official statement as follows:

"Microsoft was notified of malware that was being served through ads placed in Windows Live Messenger banners. As a result of this notification we immediately investigated the reports and removed the offending ads, as this is a violation of our ad serving policy. We can confirm that the ads are no longer being served by any Microsoft system. We apologize for the inconvenience and are reviewing our ad approval process to reduce the chance of an occurrence such as this happening again. To help customers protect their PCs from malware threats, Microsoft recommends customers follow our Protect your PC guidance at www.microsoft.com/protect." - Whitney Burk, Microsoft.

Programmer is an organism that turns coffee into software.

^{03.03.2007. u 19:00}

vladared
Vladimir Crveni
Sistem Administrator
Novi Sad

Član broj: 50291
Poruke: 550
82.117.201.*

Sajt: www.opensolutions.rs

Profil

Re: WordPress backdoored

^{04.03.2007. u 06:04}

Ma jok... MS je savršen. Zeza ga to što ima puno korisnika, inače da nema ne bio on imao virusa. Doduše, ne bi bio ni ovako siguran kako jeste. Verovatno bi bio bolji, jer bi morao da se trudi da dostigne neki status... Evo pogledajte šta je iznenada popularizacija linuxa donela. Na Visti su baš morali poraditi...

^{04.03.2007. u 06:04}

cynique
Ivan Štambuk
Zagreb@Croatia

Član broj: 93690
Poruke: 155
193.198.17.*

ICQ: 106979934
Sajt: istambuk.blogspot.com

Profil

Re: WordPress backdoored

^{04.03.2007. u 12:17}

Citat:

japan: ali, teško da bilo koja osoba sa bar dvocifrenim IQ, kojoj tramvaji ne lete i brodovi ne idu po šinama, progutati ovu tvrdnju.

S obzirom na koliko gluposti pingvini običavaju gutati, ništa me više začudilo ne bi. No prvi post teme govori sam za sebe, svakome tko ima "dvocifren IQ" :)

Citat:

Stator:Ono sto 'ocu da ti kazem je to da kod boljih distribucija imas viseslojnu zastitu.
1. Mora taj neko da prevari devolepere i da oni objave njegov kod

Ne "vara" nitko developere, strojevi se "bušnu" ((c) by nkrgovic) i kod trojanizira :)

Citat:

2. To isto mora da se podkrade i developerima neke distribucije koja ima npr stabilnu i nestabilnu granu (Debian, Gentoo itd)

Maintaineri paketa distribucije ne analiziraju svaku liniju koda, već pokušavaju minimizirati konflikte između različitih verzija različitih biblioteka različitih programa različitih kernela različitih distribucija. Tu i tamo imaju svoje research timove koji pod njihovim okriljem traže sigurnosne propuste u sorsovima iz open-source komune, kao što si dolje prezentirao, i to je manje više to :)

Citat:

Pa cak i kada se to desi ti odmah dobijes na mail poruku da je aplikacija koju koristis explojtovana i da je updejtujes

Nije "eksplojtovana" nego šuplja k'o švicarski sir:

Code:
Tom Ferris reported a heap-based buffer overflow..

Recimo heap overflowa imaš na desetine različitih suptilnih podvarijanti, a Vista ima super-hardened heap manager koji ih većinu otklanja... :)

Citat:

I ovako slicno se dobija za svaki fail koji ti je instaliran a nadjeno je neki deo loseg coda u njemu. Dakle sve us*** malko boljih distribucija ovaj slucaj uopste nije pogodio.

Nađeno...ako je nađeno....a kad nije? :)

E, sjećam se jednog intervjua u phracku gdje se jedan liq hvalio da mu je hobi backdooranje open-source softvera...imam neki razlog da mu itekako vjerujem :)

Put the funk in funktion.

^{04.03.2007. u 12:17}

Apatrid
Ottawa, ON

Član broj: 34944
Poruke: 471
47.248.0.*

Profil

Re: WordPress backdoored

^{05.03.2007. u 21:38}

Paaaa saaad... ako se vec o razvojnom modelu "muva bez glave" prica:

Vulnerability in Microsoft Malware Protection Engine Could Allow Remote Code Execution

Ne dese se takve stvari pravome muskarcu?

Citat:

Affected Software:
...<moje makazice izrezale ostatak liste>...
Microsoft Windows Defender in Windows Vista

_{[Ovu poruku je menjao Apatrid dana 05.03.2007. u 22:48 GMT+1]}

^{05.03.2007. u 21:38}

bojan_bozovic
Sir Lancelot

Član broj: 29028
Poruke: 2345
*.dynamic.sbb.co.yu.

Profil

Re: WordPress backdoored

^{05.03.2007. u 22:40}

@svi sem cynique

Ovo nije win vs. lin vec prakticno Theo vs. Linus, jer se radi o kritici razvojnog modela sw, ne licence pod kojom je izdat (citaj, sutra Vista moze da postane GPL).

@cynique

kako smatras da se problem moze izbeci, manjim razvojnim timom i/ili obaveznim auditom svog novog koda?

^{05.03.2007. u 22:40}

cynique
Ivan Štambuk
Zagreb@Croatia

Član broj: 93690
Poruke: 155
161.53.243.*

ICQ: 106979934
Sajt: istambuk.blogspot.com

Profil

Re: WordPress backdoored

^{06.03.2007. u 08:15}

Citat:

Apatrid: Paaaa saaad... ako se vec o razvojnom modelu "muva bez glave" prica:

Vulnerability in Microsoft Malware Protection Engine Could Allow Remote Code Execution

Ne dese se takve stvari pravome muskarcu?

Svaki AV današnjice ima bar nekolicinu remote vulnova, uglavnom vezanih za loše pars*** headera datoteka, jerbo danas AV moraju skenirati sve od .jpg slika pa do .doc dokumenata, u sve se malware može sakriti.

Ovo nije da je netko backdoor-ao MS-ov softver :)

@bojan: Dokle god projekt može primati anonimne "donacije" koda (i pod anoniman smatram nekog Peru Perića iz Urugvaja kojeg nikad ne vidim svojim očima i čija plaća nije direktno proporcionalna kvaliteti submitted koda), uvijek će postojati dovoljno mjesta za muljažu. Pa ako ne direktno (modificiranjem baze koda haknutog servera), onda indirektno - kontribuiranjem koda koji po dizajnu ima neki jako suptilan sigurnosni propust kojeg samo autor može vidjeti (osim toga, kod funkcionira savršeno).

Ovaj drugi pristup se savršeno uklapa u moderne demokratske sheme, u kome naivnoj pastvi pružiš iluziju izbora pružanjem nekoliko jednakovrijednih varijanti, od kojih svaku ti kontroliraš. U praksi se ovo da svesti na pisanje suber-hardening linux kernel patcha kojeg će svi koristiti jer je prej**** (PaX), a na par pikantno odabranih pozicija ubaciš prostora za remote exploitovanje. Bez obzira na fascinatni feature set, anonimnost principijelnog autora PaX-a meni ne ulijeva puno povjerenja, bez obzira na sve te "oči" open-source komune koje su uperene u sam kod. Jer i kad se propust otkrije, nitko ne može sa sigurnošću radi li se o subverziji ili lošem dizajnu (khm VMA mirroring khm).

The truth is out there :)

Put the funk in funktion.

^{06.03.2007. u 08:15}

japan

Član broj: 34328
Poruke: 397
*.BVCOM.NET.

Profil

Re: WordPress backdoored

^{06.03.2007. u 10:58}

daj cynique, pa smejao si se i pokazivao prstom kad su ljudi ovde iznosili slične molderovske konstrukcije, tvrdeci da sw zatvorenog koda nosi tu mogućnost backdoora, samo zato što je closed i što nije svima dostupan na uvid, a sad ti iznosiš tvrdnje koje su čak i teže od ovih.

koliko suptilan treba da bude taj backdoor da ga ne primeti niko sem autora? propusti tipa

Code:
if(current->uid = 0)

ne da nisu suptilni, nego će bar 80% srednjoškolaca da primeti ovo. sticaj okolnosti je što ova greška dovodi do većih privilegija. e sad stupa na scenu bojanova tvrdnja - nije greška dati peri periću da piše kod, ali uvrstiti ga u stablo bez dooobre provere je već prilično glupo i nepromišljeno, bez obzira da li je pera na tvom platnom spisku ili ne. da li sad ja treba da linkujem tebi onaj thompsonov klasik koji si ti meni linkovao?

^{06.03.2007. u 10:58}

Apatrid
Ottawa, ON

Član broj: 34944
Poruke: 471
216.48.172.*

Profil

Re: WordPress backdoored

^{06.03.2007. u 13:44}

Citat:

cynique: Svaki AV današnjice ima bar nekolicinu remote vulnova, uglavnom vezanih za loše pars*** headera datoteka, jerbo danas AV moraju skenirati sve od .jpg slika pa do .doc dokumenata, u sve se malware može sakriti.

Ovo nije da je netko backdoor-ao MS-ov softver :)

Cynique, ja nijesam spodoba koja ce se radovati tudjoj nesreci ili prizeljkivati da su neciji, BILO CIJI, racunari suplji i podlozni hakovanju. Moja poruka UOPSTE nije napisana da mjeri patke sa Microsoftom, nego da ukaze BAS na to sto si u ovom pasusu napisao.

Nijesam ja taj koji je ovdje ode i elegije (od N gusto kucanih strana) sigurnosti OS naisao. Ti si, za Vistu.

Sa Vistinom sigurnoscu jedan jedini problem ima i veoma je ocigledan. Vista je bloatware, ogroman softver. Bas zbog tog efekta, sto idealan kod NIKAD ne postoji (there is always another bug), sigurni sistemi se prave (uvijek su se pravili, uvijek ce se praviti) tako sto se MINIMALIZUJE kolicina softvera koju voze, pa se taj smanjeni skup linija koda onda drzi sto cistijim, sto sigurnije napisanim, sto robustnijim sto se moze. I trpa se zastita u hardver, jer je XBox 360 sada SIGURNO sigurniji od Viste i bilo cega sto postoji.

Nije to prica o Windowsima ili Linuxu, ili bilo kom Operativnom Sistemu ikad napisanom. To je koncept koji je koriscen i koristi se otkad se javila potreba da se podigne sigurnost kriticnih sistema.

Nikakvi super-duper NAKALEMLJENI mehanizmi, nikakvi borci protiv malware, nikakvi anti-virusi od tako velike kolicine koda ne prave "najsigurniji operativni sistem danas". To su sve zakrpe i "kupus", samo sto dolazi iz Redmonda, ne iz dubina cyber-svijeta.

Statistika je neumoljiva, tu propusta mora da ima, jer su taj softver takodje pisali LJUDI, ne supermeni.

Idealni sistemi ne postoje, jer ljudi nijesu savrseni. Ni Linus, ni druzina iz Redmonda. Svaku bravu koju ljudski um napravi, drugi ljudski um ce naci nacin da je otvori, samo je pitanje vremena, sredstava i motivacije da se to ucini.

^{06.03.2007. u 13:44}

fearless

Član broj: 74584
Poruke: 156
212.62.59.*

Sajt: www.phearless.org

Profil

Re: WordPress backdoored

^{06.03.2007. u 20:53}

Citat:

Idealni sistemi ne postoje, jer ljudi nijesu savrseni. Ni Linus, ni druzina iz Redmonda. Svaku bravu koju ljudski um napravi, drugi ljudski um ce naci nacin da je otvori, samo je pitanje vremena, sredstava i motivacije da se to ucini.

Cela poenta one teme o Visti kao najsigurnijem OS-u nije u tome da je ona neprobojna već da je superiornija
u odnosu na druge, što se sigurnosti tiče. Ako nas je istorija ičemu naučila, to je da se u svemu pre ili kasnije
nađe neki propust. To je činjenica. Ali nije činjenica da ćeš ga tek tako lako iskoristiti (exploitati), to je ono
protiv čega se Vista generalno bori.

Phearless - Serbian/Croatian Security Magazine: www.phearless.org

^{06.03.2007. u 20:53}

Apatrid
Ottawa, ON

Član broj: 34944
Poruke: 471
216.48.172.*

Profil

Re: WordPress backdoored

^{07.03.2007. u 02:00}

"Generalno bori", fearless, is not good enough za titule tipa "najsigurniji operativni sistem".

Poodavno je na moju tezu izrecenu na ovom istom forumu, a da je OpenBSD alatka za pravljenje "sigurnih" sistema (nije Vista uopste bila u igri) ovdje utrcao neko od Advocacy ekipe i iskomentarisao "moze Theo da radi sto hoces, kad na to montiras nesigurni servis (cini mi se da sendmail spomenu), da vidis sto ce se desiti."

I ja nijesam imao sto tu vise da kazem, covjek je do koske u pravu. Sigurnost Operativnog Sistema se ne moze posmatrati odvojeno od simbioze aplikacije koja na tome trci, operativnog sistema i hardvera, od sistema kao cjeline. Cio sistem je siguran onoliko koliko je sigurna NAJRANJIVIJA karika u tom lancu. Jer uopste nije bitno kako je sistem "pao", da li je backdoor-ovan operativni sistem sam ili je neko skrkao podatke kljucne aplikacije. Steta se ne mjeri time koliko ce haker moci da se hvali, koliko je to "cool" ili "l33t", vec parama(vremenom, trudom) nesrecnika kome nesto propadne.

Problem sa tvrdnjom "Vista je najsigurniji operativni sistem" je sto se ocigledno o nekakvom poredjenju radi. Onda se ulazi u pitanje sto se poredi, sto je to definicija funkcionalnosti koja treba da je zadovoljena e da bi se sve svelo na nesto sto moze da se poredi.

I onda ni sa tobom, ni sa bilo kim iz Windows tabora je diskusija bespredmetna, e za sve vas koncept "operativnog sistema", uopste PC-a i racunara kao koncepta, definise i drzi Microsoft. Moja argumentacija "Vista je bloatware, ogroman softver od koga se po definiciji ne prave sigurni sistemi" tebi nista ne znaci, e je tebi Vista, sa pripadajucim hardverom, mjerilo "sto masina treba da radi". Ako alternativa koja se poredi nije BAS TO, e bas tebe briga sto je embedded linux na tvom ruteru generalno sigurnije okruzenje na koga se oslanjas da te stiti preko i povrh Vistinih zastita, e ruter ne definise racunar koji TEBI treba.

To je vrcenje u krug i jalova diskusija u kojoj argumenti druge strane ne igraju, ne na osnovu logicke ili tehnoloske snage tih argumenata, vec na osnovu nekompatibilnog seta aksioma koji definisu polazno stanoviste.

Nego, ovo je off topic i primjereno onoj drugoj temi, ovdje je tema razvojni model "muva bez glave" i univerzalnost tvrdnje da se doticni model trosi i nalazi samo u OOS svijetu.

^{07.03.2007. u 02:00}