Zum Inhalt springen
BlogSicherheitLinode Security Digest Februar 20 - 27, 2022

Linode Security Digest Februar 20 - 27, 2022

Linode Security Digest

Diese Woche werden wir kritische Schwachstellen in verschiedenen Produkten und Diensten diskutieren.

Remote Code Execution in Apache Cassandra 

Apache Cassandra ist eine hoch skalierbare und verteilte NoSQL-Datenbank, die sich aufgrund der Vorteile ihrer verteilten Natur großer Beliebtheit erfreut. Einige Unternehmen bieten sogar schlüsselfertige Cloud-basierte Lösungen auf der Grundlage von Cassandra an. Sehen Sie sich das DBaaS-Angebot von Linode an.

Wenn Sie Apache Cassandra mit der folgenden Konfiguration ausführen:

enable_user_defined_functions: true
enable_scripted_user_defined_functions: true
enable_user_defined_functions_threads: false

Ein Angreifer kann einen beliebigen Code auf dem Host ausführen, wenn der böswillige Akteur über ausreichende Berechtigungen verfügt, um benutzerdefinierte Funktionen im Cluster zu erstellen. 

Ursache - Cassandra bietet die Möglichkeit, benutzerdefinierte Funktionen (UDFs) zu erstellen, um eine benutzerdefinierte Verarbeitung von Daten in der Datenbank durchzuführen. UDFs können standardmäßig in Java und JavaScript geschrieben werden. In JavaScript wird die Nashorn-Engine in der Java-Laufzeitumgebung (JRE) verwendet, bei der es sich um eine JavaScript-Engine handelt, die auf der Java Virtual Machine (JVM) läuft. Nashorn ist nicht garantiert sicher, wenn es nicht vertrauenswürdigen Code akzeptiert. Im Blog von JFrog erfahren Sie, wie Nashorn zur Ausführung nicht vertrauenswürdigen Codes verwendet werden kann.

Cassandra-Benutzer können die folgenden Abhilfemaßnahmen gegen CVE-2021-44521 verwenden:

Setzen Sie `enable_user_defined_functions_threads: true`(dies ist der Standard) ODER

3.0-Benutzer sollten auf 3.0.26 aktualisieren
3.11-Benutzer sollten auf 3.11.12 aktualisieren
4.0-Benutzer sollten auf 4.0.2 aktualisieren

Potenzieller Fehler bei der Remote-Code-Ausführung in Redis

Redis ist ein quelloffener In-Memory-Datenspeicher, der als Datenbank, Cache und Message Broker verwendet werden kann. Redis ermöglicht die Ausführung von Lua-Skripten für eine bessere Leistung und ermöglicht die atomare Ausführung aller Schritte innerhalb eines Skripts. Kein anderer Redis-Befehl kann ausgeführt werden, während ein Skript ausgeführt wird.

CVE-2022-0543 wurde in Redis, aufgrund einer Verpackung Problem, das anfällig für eine (Debian-spezifische) Lua Sandbox Escape, was möglicherweise zu einer Remote-Code-Ausführung Schwachstelle entdeckt.

Ursache - Die Sicherheitslücke besteht, weil die Lua-Bibliothek in Debian als dynamische Bibliothek bereitgestellt wird. Eine "package"-Variable wird automatisch ausgefüllt, was wiederum den Zugriff auf beliebige Lua-Funktionen ermöglicht. Da sich diese Funktionalität zum Beispiel auf die "execute" -Funktion des "os" -Moduls erstreckt, könnte ein Angreifer mit der Fähigkeit, beliebigen Lua-Code auszuführen, möglicherweise beliebige Shell-Befehle ausführen.

Es wird empfohlen, dass Sie Ihr Redis-Paket auf Debian gemäß der Empfehlung des Herstellers aktualisieren.

Lokale Privilegieneskalation in snap-confine

Snap ist ein von Canonical entwickeltes System zur Softwarepaketierung und -bereitstellung für Betriebssysteme, die den Linux-Kernel verwenden. Die Pakete werden Snaps genannt, und das Tool zur Verwendung von Snaps ist snapd. Snap funktioniert mit einer Vielzahl von Linux-Distributionen und ermöglicht es Upstream-Softwareentwicklern, ihre Anwendungen direkt an Benutzer zu verteilen. Snaps sind in sich geschlossene Anwendungen, die in einer Sandbox mit vermitteltem Zugriff auf das Hostsystem laufen. 

Snap-confine ist ein Programm, das intern von snapd verwendet wird, um die Ausführungsumgebung für Snap-Anwendungen zu gestalten.

CVE-2021-44730 und CVE-2021-44731, zwei lokale Fehler zur Privilegienerweiterung, wurden in snap-confine entdeckt. Bei dem ersten handelt es sich um einen Hardlink-Angriff, der nur in einer Nicht-Standardkonfiguration ausnutzbar ist, wenn fs.protected_hardlinks des Kernels auf 0 gesetzt ist. Und der zweite wird durch eine Race-Condition verursacht, die in Standardinstallationen von Ubuntu Desktop und standardnahen Installationen von Ubuntu Server ausnutzbar ist. Die erfolgreiche Ausnutzung dieser Schwachstellen erlaubt es jedem unprivilegierten Benutzer, Root-Rechte auf dem verwundbaren Host zu erlangen. 

Die beiden Schwachstellen werden durch einen Patch von snap-confine auf Version 2.54.3 behoben. Ubuntu gibt auf seiner Beratungsseite außerdem an, dass "im Allgemeinen ein Standard-Systemupdate alle notwendigen Änderungen vornimmt".

Kritische Bugs in Adobe Commerce, Magento, Chrome und Firefox

CVE-2022-24086 ist eine Schwachstelle bei der Eingabevalidierung in Adobe Commerce und Magento Open Source, die mit einem CVSS-Score von 9,8 bewertet wurde. Diese Schwachstelle könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf einem betroffenen System ohne Anmeldeinformationen ermöglichen, wodurch digitale Skimming-Angriffe auf E-Commerce-Websites, auf denen die CMS-Software läuft, möglich wären. Obwohl die Zahl der Angriffe in freier Wildbahn sehr begrenzt zu sein scheint, macht die Tatsache, dass Adobe am 13. Februar 2022 einen Out-of-Band-Patch veröffentlicht hat, die Sicherheitslücke zu einem hohen Risiko.

CVE-2022-0609 ist eine Use-after-free-Schwachstelle in der Komponente Animation von Chrome. Sie könnte einem entfernten Angreifer die Ausführung von beliebigem Code auf einem Rechner ermöglichen, indem er eine speziell gestaltete Webseite erstellt und Nutzer durch Phishing zum Besuch der Seite verleitet. Google hat Kenntnis von Berichten, dass ein Exploit für CVE-2022-0609 in freier Wildbahn existiert. Google empfiehlt den Nutzern, auf Version 98.0.4758.102 zu aktualisieren, um diese Sicherheitslücke zu schließen.

CVE-2021-38503 is an Improper authorization flaw in Firefox. The root cause of this vulnerability is incorrect implementation of  iframe sandbox rules for XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.

Willkürlicher Download von Sicherungskopien im WordPress-Plugin UpdraftPlus

UpdraftPlus ist ein beliebtes Backup-Plugin für WordPress-Websites, mit dem Sie Ihre Backups herunterladen können. Eine der Funktionen, die das Plugin implementierte, war die Möglichkeit, Download-Links für Backups an eine E-Mail der Wahl des Website-Besitzers zu senden. Leider war diese Funktion unsicher implementiert, so dass es für Benutzer mit geringer Authentifizierung, wie z. B. Abonnenten, möglich war, einen gültigen Link zu erstellen, über den sie Sicherungsdateien herunterladen konnten.

Das UpdraftPlus WordPress-Plugin Free vor Version 1.22.3 und Premium vor Version 2.22.3 überprüft nicht ordnungsgemäß, ob ein Benutzer über die erforderlichen Berechtigungen verfügt, um auf die Nonce-Kennung eines Backups zuzugreifen, wodurch jeder Benutzer mit einem Konto auf der Website (z. B. ein Abonnent) das neueste Website- und Datenbank-Backup herunterladen kann.

Ursache - Der Angriff beginnt mit der WordPress-Heartbeat-Funktion. Der Angreifer muss eine speziell gestaltete Heartbeat-Anfrage mit einem data[updraftplus][updraft_credentialtest_nonce] -Parameter senden, während ein Backup ausgeführt wird. Gelingt es dem Angreifer, diese Anfrage auf einen beliebigen Zeitpunkt zu legen, während ein Backup läuft, gibt die Antwort die Backup-Nonce zurück, die für das Herunterladen dieses bestimmten Backups erforderlich ist.

Diese Schwachstelle wurde in Version 1.22.3 von UpdraftPlus behoben.

Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet