• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Уязвимости Debian Linux

Mr_VVoodman

Резидент
Сообщения
337
Реакции
278
0 руб.
prtsbzy9t0pyd-8041ujseekvm8.jpeg

Debian Linux — операционная система, впервые выпущенная 16 августа 1993 года. Одно из самых популярных воплощений Linux, Debian подходит для использования как на рабочих станциях, так и на серверах.

Забавный факт: все рабочие версии ОС носят названия имен персонажей анимационного фильма «История игрушек». А вот нестабильная версия именуется Сид (так звали мальчика в том же мультике, которые издевался над игрушками).

o1l9nwu7bkw_k_t3mndwwa4-8f4.jpeg


DoS

Всего — 500 уязвимостей. Однако среди такого большого числа только 16 набрали 10 баллов.

Уязвимость №1

Функция xmlNextChar в libxml2 позволяла с помощью созданного XML документа организовать DoS удаленным взломщиком.

Уязвимость №2

Переполнение буфера в куче функции encode_msg в encode_msg.c в модуле SEAS Kamailio позволяло удаленному взломщику устроить DoS или исполнить код через большой SIP пакет.

Уязвимость №3

Множество неустановленных уязвимостей в браузере Mozilla Firefox до версии 46.0 и Firefox ESR 45.x до версии 45.1 позволяли удаленному злоумышленнику организовать DoS через неустановленный вектор.

7b_sllityka5f_qvoop6dw3woww.jpeg

Таблица уязвимостей категории «DoS» в ОС Debian Linux

Обход чего-либо

Из 67 уязвимостей только 4 набрали 10 баллов.

Уязвимость №1

Gallery версии 1.4.3 и старше позволял обойти аутентификацию и получить права администратора Gallery.

Уязвимость №2

Google Chrome, старше 48.0.2564.116, позволял обойти правило ограничения домена Blink и обойти протоколы безопасности песочницы через неустановленный вектор.

Уязвимость №3

Функция pam_sm_authenticate в pam_sshauth.c в libpam-sshauth давала контекстнозависимым взломщикам обойти аутентификацию или получить привилегии через системный аккаунт пользователя.

cfe1qlhv8bqycjrhqshpxpmh9im.jpeg

Таблица уязвимостей категории «Обход чего-либо» в ОС Debian Linux

Исполнение кода

Всего — 200. 10 баллов — 25.

Уязвимость №1

Множество неустановленных уязвимостей в браузере Mozilla Firefox до версии 46.0 и Firefox ESR 45.x до версии 45.1 позволяли удаленному злоумышленнику организовать DoS через неустановленный вектор.

Уязвимость №2

Функция OpenBlob в blob.c в GraphicsMagick до версии 1.3.24 и ImageMagick позволяла взломщику исполнить произвольный код через использование символа «|» ы начале имени файла.

Уязвимость №3

Уязвимость Use-after-free в функции __sys_recvmmsg в net/socket.c в ядре Linux до версии 4.5.2 позволяла удаленному злоумышленнику исполнить произвольный код через векторы, обусловленные использованием ненадлежащего системного вызова recvmmsg во время обработки ошибок.

dqjdwjqzsvd6ncsxceaa73xowpc.jpeg

Таблица уязвимостей категории «Исполнение кода» в ОС Debian Linux

Повреждение памяти

Всего — 37 уязвимостей. Из них 10 баллов набрали 4.

Уязвимость №1

Множество неустановленных уязвимостей в браузере Mozilla Firefox до версии 46.0 и Firefox ESR 45.x до версии 45.1 позволяли удаленному злоумышленнику организовать DoS через неустановленный вектор.

Уязвимость №2

Переполнение буфера в куче функции encode_msg в encode_msg.c в модуле SEAS Kamailio позволяло удаленному взломщику устроить DoS или исполнить код через большой SIP пакет.

Уязвимость №3

Множество неустановленных уязвимостей в браузере Mozilla Firefox до версии 46.0 и Firefox ESR 45.x до версии 45.1 позволяли удаленному злоумышленнику организовать DoS через неустановленный вектор.

tkcgrzzikwk8mavufe2p6cmcp64.jpeg

Таблица уязвимостей категории «Повреждение памяти» в ОС Debian Linux

Доступ к информации

Всего — 77. 10 баллов — 0 уязвимостей.

Уязвимость №1 (9.0)

Скрипт oarsh в OAR до версии 2.5.7 позволял удаленному аутентифицированному пользователю кластера получить ценную информацию и получить привилегии через векторы, включающие опции OpenSSH.

Уязвимость №2 (7.5)

Функция htmlParseComment в HTMLparser.c в libxml2 позволяла получить доступ к информации через незакрытый HTML комментарий.

Уязвимость №3 (7.2)

x86 эмуляция Xen от 3.2.x до версии 4.5.x неверно игнорировала переопределение сегментов для инструкций с операндами регистра, что позволяло локальному пользователю-гостю получить информацию через неустановленный вектор.

Операнд — аргумент операции.

ifr3pnf_3rht_4tl8vljg5ysjuy.jpeg

Таблица уязвимостей категории «Доступ к информации» в ОС Debian Linux

Увеличение привилегий

Всего обнаружено 41 уязвимость. 10 баллов набрали 2 из них.

Уязвимость №1 (10)

rpc.statd в пакете nfs-utils в различных дистрибутивах Linux неверно строки с ненадежным форматом, что позволяло удаленно получить привилегии.

Уязвимость №2 (10)

Функция pam_sm_authenticate в pam_sshauth.c в libpam-sshauth давала контекстнозависимым взломщикам обойти аутентификацию или получить привилегии через системный аккаунт пользователя.

Уязвимость №3 (9.0)

PostgreSQL неверно ограничивала доступ для неустановленных пользовательских конфигурационных настроек для PL/Javа, что позволяло взломщику получить привилегии через неустановленный вектор.

u_fsto6biw1a302b95_xgaynqag.jpeg

Таблица уязвимостей категории «Увеличение привилегий» в ОС Debian Linux

Переполнение

Всего — 294. 10 баллов — 25.

Уязвимость №1

Программное переполнение в конструкторе PointGFp в Botan позволяло удаленному злоумышленнику переписать память и исполнить произвольный код через созданную ECC точку, что провоцировало переполнение кучи.

ECC — error-correcting code.

Уязвимость №2

Переполнение буфера в куче функции encode_msg в encode_msg.c в модуле SEAS Kamailio позволяло удаленному взломщику устроить DoS или исполнить код через большой SIP пакет.

Уязвимость №3

Множество неустановленных уязвимостей в браузере Mozilla Firefox до версии 46.0 и Firefox ESR 45.x до версии 45.1 позволяли удаленному злоумышленнику организовать DoS через неустановленный вектор.

6mgjptw40qa4wucbdp2tddttxzw.jpeg

Таблица уязвимостей категории «Переполнение» в ОС Debian Linux

Несмотря на довольно большое количество уязвимостей, особенно в категории DoS, уровень их эксплойта и соответствующих последствий не столь велик. В виду специфической архитектуры, ОС Debian Linux может противостоять большинство злонамеренных атак, что делает ее крайне популярной среди компаний, дорожащих своими данными. Даже NASA использует данную ОС на рабочих станциях астронавтов на МКС.
 
Сверху Снизу