Ubuntu vs Gentoo (Apache Açıkları)
Ubuntu Linux dağıtımı dün "Full Disclosure" listesine bir e-posta gönderdi. "
[USN-731-1] Apache vulnerabilities" başlıklı bir güvenlik duyurusu ile Apache paketlerini güncellediğini belirtti ve sistem yöneticilerinin güncelleme yapmasını önerdi.
Biz diyoruz ki (
1,
2) Microsoft'a ve Oracle'a güvenlik açığı bildirin ve unutun, nasıl olsa onlar da unutacak. Lakin Linux dağıtımlarının durumunun da -maalesef- pek parlak olmadığı ortada. Güvenlik açığı bulunduğunda üretici/geliştirici uyarılır (Yukarıdaki örnekte Apache Vakfı) , güvenlik duyurusu yayınlanması ve açığın kapatılması beklenir. Bu sürecin farklı adımları vardır, daha önce bu konularda da birşeyler (
1,
2) karalamıştım. Güvenlik açığı bir ortak yazılımda bulunmuş ise o zaman işler karışır, açığın duyurulması sırasında diğer dağıtımların durumu, açığın önceliği ve kapatılma yöntemi gibi çok şey devreye girer (
1).
Gelelim konumuza Ubuntu Linux'un gönderdiği e-posta da atıfta bulunduğu açıklar : CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939. Apache bir güvenlik duyurusu sayfasına
sahip ve orada bu açıklar ile ilgili duyurularını da yayınlamış. Gentoo Linux ise "6 Temmuz 2008"de ilgili açıkları bir güvenlik duyurusu ile duyurup
kapatmış. Ubuntu Linux ise 8 ay beklemiş görünüyor -2007 yılının açığına hiç girmiyorum-, bu süre zarfında durumu farkeden kaç sistem yöneticisi Apache dağıtımını elle günceller ki ? Açıkların önem seviyesi, saptanan bileşen ve kurumlara etki türü şu anda konun dışında; çünkü illa ki bu durum birilerini ilgilendiriyor, yoksa niye duyurulsun.
Özetle, Linux sunucu kullanmak ta güvenlik duyurularını takip etmeyi, yama güncelleme kalitesini sorgulamayı ve hatta gerekiyorsa elle güncelleme yapmayı gerektiriyor. Bu konuda dağıtım seçiminin de bir kriter olduğu ve güvenlik önceliklerine uygun dağıtım kullanmanın gerekliliği de, altı çizilmesi gereken önemli bir noktadır.
Fatih Ozavci
IT Security Consultant
Devamı
Microsoft Duyuruları (MS09-00[6-7-8]) ve Teşekkürler
Microsoft dün itibariyle Microsoft DNS sunucusu, WINS sunucusu, SChannel ve GDI bileşenlerini ilgilendiren 3 adet güvenlik duyurusu yayınladı. Tabiki güvenlik duyurularında detaylı açıklama yok, klasik "specially crafted XXX package" veya "specially crafted XXX file" ile istismar edilen açıklar.
Microsoft Duyuruları (10 Mart 2009) :
MS09-006 ? Critical: Vulnerabilities in Windows Kernel Could Allow Remote Code Execution (958690)MS09-007 - Important: Vulnerability in SChannel Could Allow Spoofing (960225)MS09-008 ? Important: Vulnerabilities in DNS and WINS Server Could Allow Spoofing (962238)Duyuruların detayında ayrıntı belirtilmese de 8 adet açığın duyurulduğu ve yamalandığı anlaşılıyor.
MS09-008'de teşekkür edilen kişinin "Kevin Day" olması, önemli bir ayrıntı olarak dikkat çekiyor. "
Kevin Day"i geçen haftadan DjbDNS'in DNSCache bileşenine yapılan Tampon Bellek Zehirlemesi saldırısından hatırlayacaksınız diye umuyorum.
Microsoft ne kadar detayını gizlese de, DjbDNS için açıklanan saldırının Microsoft DNS sunucusu için de geçerli olduğu görünüyor. Bu doğrultuda Internet kullanımına açık olan Microsoft DNS sunucularının ivedilikle güncellenmesi gerekmektedir. Güvenlik açığının yaygın bir kullanım yöntemi ortaya çıkmadıkça gerekli yamayı yüklemeyen sistem yöneticilerine duyurulur.
Fatih Özavcı
IT Security Consultant
Devamı
Geçen Haftaya Bakış
Geçtiğimiz hafta birçok ilginç gelişme vardı, vaktiyle yazamadım ama kısa kısa notlarımı paylaşmak istedim.
Warvox - Wardialing'in Yeniden Doğuşu
Metasploit'in geliştiricisi HD Moore tarafından
Warvox isimli bir araç duyuruldu. Sözkonusu duyuru wardialing yönteminin yeniden doğuşu olarakta yorumlanabilir. Telefon hatları kullanılarak çağrı yapmak suretiyle cevap veren telefon numaraları ve cihazların türlerini saptamak Wardialing olarak bilinmektedir. Geçmişte arka kapı girişlerini saptamak, yönlendiricilerin yönetim arayüzlerine erişimleri saptamak ve uzak erişim sunucularını saptamak için kullanılmaktaydı. Wardialing yazılımları bir veya daha fazla modemi kullanarak aramalar yapmakta, alınan sinyallerin türüne göre cihazları kayıt etmekteydi. Warvox ise Wardialing yöntemini VoIP altyapısını kullanarak yeniden canlandırdı. Warvox, IAX uyumlu VoIP servis sağlayıcıları üzerinden çalışabilmekte ve çağrıların cevaplanması durumunda alınan sinyalleri veritabanından karşılaştırarak analizler üretmektedir. VoIP altyapısını kullandığı için modemlerden çok daha hızlı sonuçlar üretilmesini sağlıyor. VoIP analizlerinde, cihaz yönetiminde ve sistem sızma testlerinde birçok aşamada kullanımı mümkün görünüyor; ancak lisansının gayri-ticari olduğunu belirtmekte fayda var.
DjbDNS'te Güvenlik Açığı
DjbDNS, D.J. Bernstein tarafından geliştirilmiş ve
güvenlik garantisi verilmiş olan bir DNS sunucusudur. Güvenlik garantisi nedeniyle çok sayıda sistem yöneticisi tarafından tercih edilmekte ve kullanılmaktadır. Geçtiğimiz hafta DjbDNS'te 2 adet güvenlik açığı bulunduğu, açıkların DNSCache bileşeninden kaynaklandığı ve tampon bellek zehirlemesinin mümkün olduğu
duyuruldu. Daha önce Kaminsky tarafından duyurulan zehirleme saldırısından DjbDNS yaklaşık 40-45 saat civarında bir süre sonunda etkileniyor iken yayınlanan güvenlik açığı ile bu süre 2-18 dk. aralığına kadar düşüyor. D.J. Bernstein ve Jeff King tarafından güvenlik açıklarını kapatmak üzere yamalar (
1,
2) yayınlandı. D.J. Bernstein 1.000$'lık ödülünü de Matthew Dempsky'nin kazandığını
duyurdu, lakin
web sitesinde bu konuya ilişkin birşeyler göremedim. Bu noktada DjbDNS'i DNSCache ile beraber kullanan kişilerin yamaları yüklemesi ve güncellemeleri önerilmektedir. Belirtmeden geçmemek lazım, DNS sunucusu kullanılacak ise sunulacak alan kayıtları ile geçici sorguların farklı sunucularda konumlandırılması, görev ayrıştırmasının yapılmasının gerekliliği bir kez daha ortaya çıkıyor. Kişisel hırslar/tatmin neticesinde geliştirilmiş ve desteği olmayan bir yazılım kullanımının, kurumsal güvenlik ile ne kadar örtüştüğü üzerine de birşeyler yazmak gerekiyor; ancak bu ayrı bir yazının konusu olacak kadar geniş bir tartışma.
Dradis - Sistem Sızma Denetmenleri Bilgi Paylaşım Aracı
Dradis ilk sürümüyle çok ilgimi çekmiş ve kendi projelerime nasıl entegre ederim diye uzun uzun düşünmüştüm. Düşünceler sırasında birçok eksiklik görmüş ve eklenmesi gereken şeylerin çokluğu beni bir süre daha adım atmamaya itmişti. Geçtiğimiz hafta Dradis'in de yeni sürümü duyuruldu, tamamen yenilenmiş ve geliştirilmiş bir araç olarak karşımıza çıktı. Konsept korunmasına rağmen ciddi değişiklikler var, bence daha kullanışlı olmuş. Hedef kitle biraz kısıtlı olduğu için inceledikten sonra nerede kullanılacağına karar vermek daha doğru olacaktır.
L0phtCrack'in Dirilişi
L0pthCrack, Windows şifre kırma yazılımlarının ilk gelişmiş aracı ve efsanesiydi. Symantec atStake'i satın alınca L0pthCrack'in fişini çekmişti. Bizler de
Ophcrack ,
RainbowCrack ve
Cain&Abel ile yolumuza devam ediyorduk. Unutmadan hatırlatalım RainbowCrack'in de 13 şubatta yeni sürümü duyuruldu. L0pthCrack'in geliştiricilerinin (Mudge ve Weld Pond) aracın haklarını geri aldığı, yeniden geliştirme çalışmalarına başladığı ve "SOURCE Boston" konferansına yetiştireceği
duyuruldu. Yeni özellikleri arasında 64 bit mimaride çalışmak ta yer alıyor. Ancak biz zaten bu imkanlara sahip iken yeni ne vaad edeceğini tam olarak anlayamadım, yine de 12 Mart'ta yapacakları sunuma dikkat etmekte fayda var.
PS: Bu yazım
Gezegen'e ilk inişim olacak -umarım kalıcı olur-, Oğuz Yarımtepe'ye de şimdiden teşekkürler. Genelde kendimce yazardım, birilerinin okuyacak olması biraz endişe de kattı hayatıma.
Fatih Özavcı
IT Security Consultant
Devamı
