نوشته‌های ترمینالی

نوشته‌های ترمینالی

بچه ها چه از firefox استفاده می‌کنید چه کروم، مرورگرهاتون رو آپدیت کنید. این هفته برای هردوشون zero day کشف شده. کروم-بیس ها: https://www.ghacks.net/2024/03/29/microsoft-edge-fixes-0-day-vulnerability-confirms-all-chromium-based-browsers-vulnerable/ فایرفاکس:…

آسیب‌پذیری های نرم‌افزارها این روزها همچنان ادامه داره

روز ۲۹ مارچ یه آسیب‌پذیری روی xz کشف شده، ولی تفاوتش با آسیب‌پذیری های معمولی اینه که این، به شکل عمدی توی نرم‌افزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک می‌کنه قضیه رو، چون هم اینطوریه که کدی که روی ریپوزیتوری بوده رو عینا نگذاشته بلکه تو tarball یه سری اسکریپت مخرب هم گذاشته. دوم اینکه این آدم در چند تا پروژه مرتبط دور و نزدیک هم مشارکت داشته و احتمال این می‌ره که اونا هم آلوده شده باشند.

سوال: آسیب‌پذیری از چه نوعیه؟ چه بلایی ممکنه سرمون بیاد؟ آسیب‌پذیری از نوع پرخطرترین آسیب‌پذیری هاست یعنی remote code execution یا همون RCE. به این معنی که هکر می‌تونه رو سیستم شما، هر کدی که بخواد رو اجرا کنه بدون اینکه شما خبر داشته باشید یا نیاز باشه کاری بکنید! در واقع مثل اینه که دسترسی shell داره به سیستم شما.

سوال: اصلا xz چیه؟ لازمه نگرانش باشیم؟ این یه ابزار برا کاربا فایلهای زیپ هست که به احتمال خیلی بالایی رو سیستمتون نصبه. مخصوصا اگه یه توزیع لینوکس مرسوم دارید که از ابزارهای گنو و libc استفاده میکنید.

سوال: لازمه فایل زیپ مخربی باز کنم؟ من زیپ هامو با به ابزار دیگه باز میکنم.
دقت کنید که این ابزار تو کلی از ابزارهای دیگه هم استفاده میشه پس صرف اینکه مستقیم ازش استفاده نمی‌کنیم به این معنی نیست که نصب نداریمش، مثلا اکثر guiها خودشون منطق باز کردن فایل زیپ رو پیاده سازی نمیکنن و از ابزارهای موجود مثل همین xz استفاده میکنن.
دوم اینکه مدل آسیب پذیری نیازی به اقدامی از سمت شما نداره!

سوال: آیا سیستم من آسیب‌پذیره؟ احتمالا بله. دقت کنید که اصلا نیاز نیست شما فایل زیپ باز کنید، همین که نسخه آسیب‌پذیر به همراه glibc و systemd و sshd رو سیستمتون باشه، سیستم شما یه در پشتی برای attacker داره. البته اسکریپت مخرب رو که بررسی کردت انگار تا حدی جامعه هدفش رو بررسی می‌کنه مثلا تمرکرشغرو توزیع های Deb و Rpm بیس و پردازنده های AMD64 هست.


سوال: نسخه اسیر پذیر کدومه؟ میتونم حذفش کنم؟ نسخه های ۵.۶.۰ و ۵.۶.۱ از xz میدونیم آسیب پذیر هستن ولی شاید ابزارهای دیگه هم آسیب‌پذیر باشن و کم کم رفع بشن بنابراین سیستمتون رو، مخصوصا اگر با ssh از بیرون بهش دسترسی دارن، مدام آپدیت کنید این روزها تا ببینیم چی میشه.
احتمالا هم نمی‌تونید xz رو حذف کنید چون عملکرد کلی از نرم‌افزارها بهش وابسته‌س، راه منطقی همون آپدیت کردنشه.
البته یکسری داونگرید کردن به نسخه ۵.۴ رو توصیه کردن. یکسری هم گفتن ssh رو غیرفعال کنید ولی تو سرورها شاید غیرمنطقی باشه.

اطلاعات بیشتر:
این صفحه مختصر و مفید توضیح داده و توصیه میشه به عنوان کاربر این نرم‌افزار بخونید:
https://xeiaso.net/notes/2024/xz-vuln/

این صفحه هم اطلاعات خوبی داشت:
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils

این صفحه یه جمع‌بندی از اتفاقات انجام داده:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

این صفحه تو سایت رسمی xz توسط maintainer اصلی (غیرمخرب) نوشته شده
https://tukaani.org/xz-backdoor/

این صفحه هم شامل اسم CVE و لینکهای مرتبط این آسیب‌پذیری در توزیع های مختلفه.

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

xeiaso.net

liblzma and xz version 5.6.0 and 5.6.1 are vulnerable to arbitrary code execution compromise

Xe Iaso's personal website.

www.tgoop.com/terminal_stuff/2879

1.3K viewsMar 31, 2024 at 05:46

آسیب‌پذیری های نرم‌افزارها این روزها همچنان ادامه داره

روز ۲۹ مارچ یه آسیب‌پذیری روی xz کشف شده، ولی تفاوتش با آسیب‌پذیری های معمولی اینه که این، به شکل عمدی توی نرم‌افزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک می‌کنه قضیه رو، چون هم اینطوریه که کدی که روی ریپوزیتوری بوده رو عینا نگذاشته بلکه تو tarball یه سری اسکریپت مخرب هم گذاشته. دوم اینکه این آدم در چند تا پروژه مرتبط دور و نزدیک هم مشارکت داشته و احتمال این می‌ره که اونا هم آلوده شده باشند.

سوال: آسیب‌پذیری از چه نوعیه؟ چه بلایی ممکنه سرمون بیاد؟ آسیب‌پذیری از نوع پرخطرترین آسیب‌پذیری هاست یعنی remote code execution یا همون RCE. به این معنی که هکر می‌تونه رو سیستم شما، هر کدی که بخواد رو اجرا کنه بدون اینکه شما خبر داشته باشید یا نیاز باشه کاری بکنید! در واقع مثل اینه که دسترسی shell داره به سیستم شما.

سوال: اصلا xz چیه؟ لازمه نگرانش باشیم؟ این یه ابزار برا کاربا فایلهای زیپ هست که به احتمال خیلی بالایی رو سیستمتون نصبه. مخصوصا اگه یه توزیع لینوکس مرسوم دارید که از ابزارهای گنو و libc استفاده میکنید.

سوال: لازمه فایل زیپ مخربی باز کنم؟ من زیپ هامو با به ابزار دیگه باز میکنم.
دقت کنید که این ابزار تو کلی از ابزارهای دیگه هم استفاده میشه پس صرف اینکه مستقیم ازش استفاده نمی‌کنیم به این معنی نیست که نصب نداریمش، مثلا اکثر guiها خودشون منطق باز کردن فایل زیپ رو پیاده سازی نمیکنن و از ابزارهای موجود مثل همین xz استفاده میکنن.
دوم اینکه مدل آسیب پذیری نیازی به اقدامی از سمت شما نداره!

سوال: آیا سیستم من آسیب‌پذیره؟ احتمالا بله. دقت کنید که اصلا نیاز نیست شما فایل زیپ باز کنید، همین که نسخه آسیب‌پذیر به همراه glibc و systemd و sshd رو سیستمتون باشه، سیستم شما یه در پشتی برای attacker داره. البته اسکریپت مخرب رو که بررسی کردت انگار تا حدی جامعه هدفش رو بررسی می‌کنه مثلا تمرکرشغرو توزیع های Deb و Rpm بیس و پردازنده های AMD64 هست.


سوال: نسخه اسیر پذیر کدومه؟ میتونم حذفش کنم؟ نسخه های ۵.۶.۰ و ۵.۶.۱ از xz میدونیم آسیب پذیر هستن ولی شاید ابزارهای دیگه هم آسیب‌پذیر باشن و کم کم رفع بشن بنابراین سیستمتون رو، مخصوصا اگر با ssh از بیرون بهش دسترسی دارن، مدام آپدیت کنید این روزها تا ببینیم چی میشه.
احتمالا هم نمی‌تونید xz رو حذف کنید چون عملکرد کلی از نرم‌افزارها بهش وابسته‌س، راه منطقی همون آپدیت کردنشه.
البته یکسری داونگرید کردن به نسخه ۵.۴ رو توصیه کردن. یکسری هم گفتن ssh رو غیرفعال کنید ولی تو سرورها شاید غیرمنطقی باشه.

اطلاعات بیشتر:
این صفحه مختصر و مفید توضیح داده و توصیه میشه به عنوان کاربر این نرم‌افزار بخونید:
https://xeiaso.net/notes/2024/xz-vuln/

این صفحه هم اطلاعات خوبی داشت:
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils

این صفحه یه جمع‌بندی از اتفاقات انجام داده:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

این صفحه تو سایت رسمی xz توسط maintainer اصلی (غیرمخرب) نوشته شده
https://tukaani.org/xz-backdoor/

این صفحه هم شامل اسم CVE و لینکهای مرتبط این آسیب‌پذیری در توزیع های مختلفه.

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

BY نوشته‌های ترمینالی