The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.12.2016 16:17  В антивирусе McAfee для Linux выявлена удалённая root-уязвимость

В проприетарном антивирусном пакете McAfee VirusScan Enterprise для платформы Linux выявлено 10 уязвимостей, сочетание которых даёт возможность организовать удалённую атаку, которая позволяет неаутентифицированному стороннему злоумышленнику выполнить свой код на сервере с правами пользователя root. Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера. Так как исправление уже доступно, обнаружившие уязвимости исследователи безопасности опубликовали рабочий прототип эксплоита.

По отдельности каждая из 10 уязвимостей не является критичной, но их сочетание позволяет выстроить цепочку для совершения атаки по получению полного контроля за системой. Исследователи также обратили внимание на непростительное для профессионального ПО, связанного с обеспечением безопасности, отношение к собственной защите - процесс выполняется с правами root без сброса привилегий. Второй процесс, обеспечивающий работу web-интерфейса запускается под отдельным пользователем, но все запросы всё равно передаются для обработки процессу, работающему под root

Найденные уязвимости:

  1. CVE-2016-8016: Возможность удалённой проверки наличия файла, не требующая аутентификации;
  2. CVE-2016-8017: Возможность удалённого чтения определённого класса файлов без аутентификации;
  3. CVE-2016-8018: Отсутствие токенов для защиты от CSRF-атак;
  4. CVE-2016-8019: Возможность осуществления межсайтового скриптинга;
  5. CVE-2016-8020: Удалённое выполнение кода и повышение привилегий при наличии аутентифицированного доступа к web-интерфейсу;
  6. CVE-2016-8021: Возможность записи файлов в известные пути через манипуляции с web-интерфейсом;
  7. CVE-2016-8022: Повторное использование токенов аутентификации;
  8. CVE-2016-8023: Возможность подбора токенов аутентификации;
  9. CVE-2016-8024: Разбиение HTTP-запросов;
  10. CVE-2016-8025: Подстановка SQL-кода при наличии аутентифицированного входа.

Метод работы эксплоита сводится к следующим шагам:

  • Подбор токенов аутентификации при помощи уязвимостей 7 и 8;
  • Создание подставного сервера доставки обновлений;
  • Использование седьмой уязвимости для отправки запроса с использованием подобранного токена аутентификации для совершения операции обновления сервера;
  • Сохранение в системе вредоносного скрипта при помощи уязвимости 6;
  • Отправка специально оформленного запроса с использованием подобранного токена аутентификации. Через эксплуатацию 5 и 6 уязвимостей инициируется запуск процесса сканирования на наличие вирусов, который приведёт к выполнению подготовленного ранее скрипта с правами root.


  1. Главная ссылка к новости (https://nation.state.actor/mca...)
  2. OpenNews: Пакет McAfee ScriptScan внесен в черный список дополнений Firefox
  3. OpenNews: Компания McAfee готовит к выпуску пакет для защиты устройств на базе Linux
  4. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  5. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mcafee, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Омомим, 16:26, 13/12/2016 [ответить] [смотреть все]
  • +38 +/
    Потрясающе.
    Вот что было бы интересно узнать, так это статистику использования этого продукта среди пользователей Linux. Лично я только что узнал о его существовании под эту платформу, но по себе, как известно, не равняют.
    Кто им пользуется вообще?
     
     
  • 2.6, abu, 16:34, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –6 +/
    Когда-то он спасал на винде там, где стояла 1с, потому что был легче Касперского... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, safsad, 18:32, 13/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Там где жрет Касперский, спасал DrWeb А еще DrWeb спасает своей ES версией, т к... весь текст скрыт [показать]
     
     
  • 4.56, Аноним, 02:05, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Очепятка по Фрейду Имею несчастье наблюдать кошмарского на ряде машин Оно пери... весь текст скрыт [показать]
     
     
  • 5.71, 1, 14:13, 14/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Просто по всяким регламентам, антивирус необходим И не абы какой, а сертифицир... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 05:36, 17/12/2016 [^] [ответить] [смотреть все]  
  • +/
    «Какие ваши доказательства?» ©
     
  • 2.13, Аноним, 17:00, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Сервера проверки почтового трафика для win пользователей :)
     
  • 2.16, Мяут, 17:23, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    У нас на работе обязательное требование :) Да, даже для Линукса.
     
     
  • 3.22, Аноним, 18:36, 13/12/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Линукс хоть сам и не поражается вендовой заразой хотя в вайне некоторые вири та... весь текст скрыт [показать]
     
  • 2.28, DmA, 19:46, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Если эта фигня от McAffee встречается на предустановленном компе или ноутбуке сн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 08:55, 14/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Поступаю почти схожим образом, обычно оставляю встроенный в десятке антивирус е... весь текст скрыт [показать]
     
  • 1.4, Michael Shigorin, 16:27, 13/12/2016 [ответить] [смотреть все]  
  • +1 +/
    Сапожник без сандалий...
     
     
  • 2.7, ann, 16:42, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    times new roman завезли?
     
     
  • 3.10, алекс, 16:48, 13/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    вам PS Sans не нравится?
     
  • 3.17, Michael Shigorin, 17:43, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    > times new roman завезли?

    Этот? -- http://packages.altlinux.org/fonts-ttf-ms

     
     
  • 4.21, Аноним, 18:35, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Видимо это был вопрос на тему https://www.linux.org.ru/forum/talks/13073862
     
  • 4.42, not ann, 20:52, 13/12/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    т.е. в дистрибутиве альта пиратские шрифты из коробки?
     
     
  • 5.58, Crazy Alex, 02:22, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Кхм, похоже, что да
     
  • 5.60, Аноним, 07:14, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Если бы только шрифты Там ещё пиписитарные модули ядра драйверы на видеокарты ... весь текст скрыт [показать]
     
  • 1.5, Максим, 16:32, 13/12/2016 [ответить] [смотреть все]  
  • +2 +/
    Теперь я знаю о его существовании)))
     
  • 1.8, Аноним, 16:45, 13/12/2016 [ответить] [смотреть все]  
  • +/
    а не надо было криса увольнять!
     
     
  • 2.11, Онаним, 16:53, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Касперского?
     
     
  • 3.23, Ilya Indigo, 18:55, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Тоже на ум пришла только эта фамилия.
     
  • 3.68, Аноним, 10:43, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    да
     
  • 2.57, Аноним, 02:06, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Все ненавидят Криса.
     
  • 1.9, алекс, 16:47, 13/12/2016 [ответить] [смотреть все]  
  • +1 +/
    бэкдор!
     
     
  • 2.59, SampleID, 04:41, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Нет, это баги.
    Бэкдор у них наверняка без багов работает =).
     
  • 1.12, Аноним84701, 16:59, 13/12/2016 [ответить] [смотреть все]  
  • +8 +/
    > Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера.

    Зато теперь мы знаем, насколько очередного проприетарщика заботят проблемы клиентов ;)

    > обратили внимание на непростительное для профессионального ПО для обеспечения безопасности отношение к собственной защите - процесс [B]выполняется с правами root без сброса привилегий[/B].

    А это уже "виндузячьи" привычки.
    AV-щиков тыкают носом в глупые ошибки уже не первый год:
    http://joxeankoret.com/download/breaking_av_software_44con.pdf
    2014 год: noexec, aslr, mprotect -- не, не слышали! Зато свои либы, не умеющие в способы защиты десятилетней+ давности (aslr, pax) в каждый процесс системы заинъектить  -- святое дело!
    AV софт все так же, как и 15 лет назад, падает от классической Zip-бомбы? Cовсем-совсем скоро исправим! Обещаем торжественно, просто подождите еще немного ... кстати, не забудте лицензию за 20+$/год обновить!

     
     
  • 2.51, Аноним, 23:40, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Проблемы проблемами, а исправления по расписанию ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, тоже Аноним, 17:11, 13/12/2016 [ответить] [смотреть все]  
  • +4 +/
    - А нельзя эту строчку - просто выкинуть?!
    - Ты чё? Ради нее все и писалось!
     
  • 1.15, th3m3, 17:16, 13/12/2016 [ответить] [смотреть все]  
  • +3 +/
    Антивирусы - сами угроза для безопасности. Эта проблема уже давно актуальна. Они имеют повышенные привилегии, но многие забывают, что они тоже не идеальны и содержат бреши в безопасности.
     
     
  • 2.18, booka, 18:26, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Но что же делать?
     
     
  • 3.24, антончик, 19:07, 13/12/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    Повышать собственную техническую грамотность, перестать отдавать предпочтение яз... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 19:20, 13/12/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    Писать ядра, драйверы, загрузчики, линковщики и компиляторы на жаве?
     
     
  • 5.75, ТТТ, 22:49, 14/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    На джаваскрипте
     
  • 4.35, DmA, 19:58, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Oberon Не ... весь текст скрыт [показать]
     
  • 4.38, DR94, 20:19, 13/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Еще один неосилятор, практически в любой книге по сям очень подробно расписывают... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 20:45, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    в каждой книге писано, да не каждый книгу читывает.
     
  • 5.50, Аноним, 23:38, 13/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Это был выперд в сторону разработчиков OpenBSD?

     
     
  • 6.54, DR94, 01:11, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    В сторону неосиляторов "ужс как сложна" языков...
     
  • 5.81, Аноним, 06:08, 17/12/2016 [^] [ответить] [смотреть все]  
  • +/
    и почему-же [I]ВСЕ[/I] так не пишут и оставляют потенциальные лазейки?
     
  • 3.29, DmA, 19:48, 13/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Запускать ОС с привилегиями пользователя, а все процессы пользователя запускать ... весь текст скрыт [показать]
     
  • 3.48, Led, 22:35, 13/12/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    > Но что же делать?

    Страдать, вендузоед, страдать.

     
  • 2.25, Запрещенка, 19:15, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Антивирусы пишут для внедрения в инфраструктуры чужих предприятий государст бэкд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, DmA, 19:51, 13/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Так вот почему у бюджетников денег нет, из-за антивирусов, а я думал кризис и по... весь текст скрыт [показать]
     
     
  • 4.82, Аноним, 06:11, 17/12/2016 [^] [ответить] [смотреть все]  
  • +/
    есть такое понятие как промышленный шпионаж, ознакомься с ним кому принадлежит M... весь текст скрыт [показать]
     
  • 3.45, Анонимс, 22:21, 13/12/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    филантропия типа люди идеальны, а программы нет ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 18:34, 13/12/2016 [ответить] [смотреть все]  
  • +/
    Кто там DrWeb рекомендовал Имел опыт репорта десятка вирусов в него вот с такой... весь текст скрыт [показать]
     
     
  • 2.27, A, 19:32, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Как посчитать два года на двух датах, если первая указывает на 16-й месяц?
     
  • 2.34, DmA, 19:57, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я тоже один раз обнаружил некую тварь, которую ни доктор веб, ни касперский не о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 08:19, 14/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Мы однажды заразу подхватили, у нас на виндовом серваке в корне диска С создава... весь текст скрыт [показать]
     
  • 2.37, Zenitur, 20:10, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    По моему субъективному мнению, не являющееся истиной в последней инстанции, Dr ... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, Аноним, 20:19, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Видимо, ты харей не вышел Всё, что я им сдавал анализировалось и добавлялось в ... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Выключатель, 19:58, 13/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Как можно сбросить привилегии с основного процесса? Ведь ему теоретически может потребоваться доступ на чтение/запись к любому файлу в системе.
     
     
  • 2.40, тоже Аноним, 20:26, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Антивирусу, который держит оборону системы при действиях пользователя, никакие п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Выключатель, 20:57, 13/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    И как быть если в системе работает несколько пользователей одновременно?
     
     
  • 4.44, тоже Аноним, 21:37, 13/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы же не запускаете файловый менеджер с рут-правами только потому, что с ним мог... весь текст скрыт [показать]
     
     
  • 5.62, Выключатель, 08:20, 14/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    В отличии от файлового менеджера, антивирус вероятно будет использовать перехват... весь текст скрыт [показать]
     
     
  • 6.65, тоже Аноним, 09:29, 14/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Под окошками этот тупиковый путь уже давно пройден Антивирус, который обязатель... весь текст скрыт [показать]
     
  • 3.55, Анонимс, 01:41, 14/12/2016 [^] [ответить] [смотреть все]  
  • +/
    а если легальное прерывание завершается эскалацией привилегий ... весь текст скрыт [показать]
     
  • 2.76, DmA, 08:21, 15/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    тупизм,зачем ему доступ и проверка тех файлов, в которых по определению нет виру... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Выключатель, 20:58, 15/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Я правильно понимаю, что Вы можете предложить архитектуру антивирусной защиты в ... весь текст скрыт [показать]
     
  • 1.53, cat666, 00:57, 14/12/2016 [ответить] [смотреть все]  
  • +/
    Лет эдак 10 назад сей продукт на Винде потряс меня реализацией, всего чего только можно, через RPC, кучей уязвимостей да кривым оркестратором. Приятно видеть что даже спустя столько лет даже на Linux McAfee продолжает держать марку.
     
  • 1.64, Адекват, 09:14, 14/12/2016 [ответить] [смотреть все]  
  • –3 +/
    Каждый раз, когда я узнаю о какой-то серъезной проблеме в линукс, я думаю, что б... весь текст скрыт [показать]
     
     
  • 2.69, Аноним, 11:20, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И еще при этом какой Дабл килл https www youtube com watch v bKgf5PaBzyg ... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Аноним, 22:07, 14/12/2016 [ответить] [смотреть все]  
  • +1 +/
    с такими антивирусами и вирусы не нужны
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor