Tags: , , , , , , , | Categories: Güvenlik, Haber Posted by Editorial on 03.01.2011 21:34 | Yorumlar (0)

Hoster'ları ilgilendirecek ve henüz yamanmamış Zero Day (Şimdiye kadar gün yüzüne çıkmamış, ilk defa duyulan güvenlik açıklarını tanımlar.) bir güvenlik açığı bulundu.

IIS 7.5.7600.16385 versionun'da Windows 7 ve Windows Server 2008 R2 de geçerli olan bu açıklık IIS 7.5'in FTP Servisinin pre-authentication özelliğinin memory corruption (hafıze bozukluğu) tipinde sömürülmesi ile gerçekleştiriliyor ve sonuçunda ise hizmet cevap veremez (denial of service) hale geliyor.

Microsoft konu ile ilgili bir bilgilendirma yayınlamış : http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx

Konu ile ilgili ayrıntılı bilgiyi aşağıdaki adreslerde bulabilirsiniz.

Tags: , , , , , , , | Categories: Güvenlik Posted by Editorial on 20.12.2010 19:54 | Yorumlar (0)

Hosterların kullandığı servisler'le ilgili güvenlik duyurularını elimizden geldiğince paylaşmaya çalışıyoruz. Linux üzerinde bir çok hoster'ın tercih ettiği ProFTPD uygulamasında Orta seviyeli bir güvenlik açığı tespit edildi.

Kaynak: Security Focus
 
Seviye:  Orta
Bildiri Sürümü: -
Açıklanma Zamanı: 02.12.2010
Yenilenme Zamanı: 03.12.2010
Etkilenen Sistemler: ProFTPD 1.3.3c md5sum 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
ProFTPD 1.3.3c md5sum 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz
 
CVE: -
BID: 45150
Referanslar: Firma Ana Sayfa
http://www.proftpd.org/
SecurityFocus 
http://www.securityfocus.com/bid/45150
Yazar(lar): Daniel Austin
 
Açıklama:

ProFTPD, 28 kasım-2 aralık 2010 tarihleri arasında arkakapı kurulumlu bir ProFTPD sürümünü dağıttı. Sürümün arkakapı kurulumlu olması sunucunun başlangıçta tespit edilmeden daha önce tehlikeli bir duruma düşmesine neden oldu. Saldırganlar zorla siteye girdiler ve kötü niyetli yazılımları siteye yüklediler.

 

Etki: Kötü niyetli yazılım yükleme.
Çözüm: Firma gerekli yamaları yayınlamıştır.

Kaynak : http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/proftpd-arkakapi-yetkisiz-erisim-acikligi.html

Tags: , , , , , , | Categories: Güvenlik Posted by Editorial on 23.09.2010 20:10 | Yorumlar (0)

Bir kaç gün önce Microsoft Security Advisory ASP.NET'in tüm version'ları etkileyebilen bir güvenlik açıklığını duyurdu. Daha önce belirlenen fakat resmi olarak tanımlanmamış bu güvenlik açığı ASP.NET'in Cryptography ile ilgili bir zayıflığından faydalanıyor.

Microsoft bu güvenlik açığını kapatmak için çalışmaları halen sürdürüyor yakın zamanda Microsoft Update üzerinden dağıtılacak bir yama çıkması bekleniyor fakat arada geçen sürede geçici çözümleri bulması gereken yine kullanıcılar olacaktır. Yazının ilerleyen kısımlarında açıklıktan etkilenmemek için neler yapabileceğinizi anlatmaya çalışacağız.

Nasıl Etkiliyor?

Açıklık cryptoplojik bilgileri tahmin yolu ile değerlendirip sunucudan dönen hataya göre doğru değerleri bularak exploid ediyor, bu sayede viewstate, session ve web.config bilgilerinize okuma, yazma mümkün olabiliyor.

Açıklık ASO.NET Web Forms, SharePoint ve ASP.NET MVC Framewrok'lerini de etkiliyor. (SharePoint takımının konu ile ilgili blog yazısına burdan ulaşabilrsiniz.)

Saldırıya maruz kaldığımı nasıl anlarım?

Açıklık web server sunucusunda HTTP 500 hata kodu oluşturup yorumlayarak çalışıyor. Bu yorumlamayı yapabilemek için web sunucusuna binlerce http isteği gönderiyor bu yüzden Web Server loglarında HTTP 500 hata kodunu gözlemleyip yoğunluğuna göre rahatlıkla tespit etmeniz mümkün. Ayrıca web suncusunda oluşan hata Windows'un Event Log'una da Application seviyesinde yazılıyor.

Açıklıktan Nasıl Korunabilirim?

Açıklık binlerce http isteği gönderdiğinden bu doğrultuda web suncuusuna gelen anlık http isteklerini sınırlayabilirsiniz. Örneğin: Bir IP Adresinden'den 10 saniyede en fazla 50 istek alınabilir şeklinde firewall kuralı girilebilir. Firewall kuralı girme imkanınız yoksa IIS7 ile blirlikte gelen Dynamic IP Restrictions modülünü de rahatlıkla kullanabilirsiniz.

ASP.NET uygulamalarınızda ki CustomErrors özelliğini aktif etmenizde resmi bir yama çıkana kadar durumu idare etmenizi sağlayabilir. Tabi bunu atlayan bir exploid çıkana kadar demek'te gerekiyor ki konu ile ilgili internet üzerinde henüz yayılmış bir exloid bulunmuyor.

ASP.NET Uygulamalarınızda CustomErrors'u aktif etmek için web.config dosyanızı aşağıdaki şekilde düzenlemenzi yeterlidir.

<configuration>

   <system.web>

     <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />

   </system.web>

</configuration>

* Burda önemli olan redirectMode özelliğinin ResponseRewrite olmasıdır.

Sonuç

Sonuç olarak ASP.NET kullanılan tüm uygulamalar da bu güvenlik açığı mevcut fakat açıklığı kullanarak siteleri hackleyen herhangi bir exploid internette henüz dolaşmadığı için yukarıdaki geçici çözümleri uyguladığınızda bu güncel güvenlik riskinden tamamen olmasada korunmuş oluyorsunuz. Aşağıda geçtiğimiz günlerde yapılmış olan ekoparty Security Conference'indan alınmış bir video var ve güvenlik açıklığının POET denen araçla nasıl gerçekleştirdiğini açıkca göstermekte.

Kaynaklar

    * Microsoft Security Advisory 2416728
    * Understanding the ASP.NET Vulnerability
    * Important: ASP.NET Security Vulnerability
    * SharePoint Team Blog Post
    * Microsoft Security Response Center Blog Post
    * Microsoft Security Response Center Update Post