Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Linux-lek laat aanvallers malware in webverkeer injecteren

donderdag 11 augustus 2016, 11:41 door Redactie, 26 reacties
Laatst bijgewerkt: 11-08-2016, 12:31

Onderzoekers hebben een ernstige kwetsbaarheid in een internetprotocol ontdekt waar Linux gebruik van maakt en waardoor het voor aanvallers mogelijk is om in het verkeer tussen websites en hun bezoekers malware te injecteren of de verbinding van bezoekers te verbreken.

Het probleem (pdf) bevindt zich in de implementatie van de RFC 5961-standaard, bedoeld om verschillende soorten aanvallen te voorkomen. De standaard blijkt internetgebruikers echter aan aanvallen bloot te stellen. Aanvallers, ongeacht waar ze zich bevinden, kunnen via de kwetsbaarheid namelijk detecteren wanneer twee partijen met elkaar op het internet communiceren. Vervolgens is het mogelijk om de verbinding te verbreken en in het geval het om een onversleutelde verbinding gaat kan er zelfs kwaadaardige code in het verkeer worden geïnjecteerd.

De onderzoekers van de Universiteit van Californië en het Onderzoekslaboratorium van het Amerikaanse leger hebben gisteren tijdens een beveiligingsconferentie in de Verenigde Staten een demonstratie gegeven, waarbij ze malware op de inlogpagina van USA Today injecteerden. USA Today maakt geen gebruik van encryptie, waardoor de onderzoekers kwaadaardige JavaScript-code aan bezoekers van de inlogpagina konden voorschotelen.

RFC 5961 is nog niet volledig op Windows en Mac OS X geïmplementeerd. De meeste Linux-distributies ondersteunen het wel. Inmiddels is er een update voor Linux uitgekomen om het probleem te verhelpen, maar die is onder de meeste grote distributies nog niet uitgerold. Om de aanval te laten slagen moet één van de twee partijen kwetsbaar zijn, wat inhoudt dat veel grote websites die op Linux draaien kunnen worden aangevallen, zo meldt Ars Technica. Hieronder een video waarin de aanval wordt gedemonstreerd.

Image

Sleutelsysteem miljoenen auto's Volkswagen Group gekraakt
Tor Project: we zullen nooit backdoors toevoegen
Reacties (26)
11-08-2016, 11:49 door Anoniem
Tijdelijke oplossing: The Register meldt dat er een tussentijdse oplossing is door de regel net.ipv4.tcp_challenge_ack_limit = 999999999 aan /etc/sysctl.conf toe te voegen en sysctl -p uit te voeren als root.

Bron: http://www.theregister.co.uk/2016/08/10/linux_tor_users_open_corrupted_communications/
11-08-2016, 12:08 door Anoniem
TOP, altijd https gebruiken. Verder houd jouw software updater in de gaten en kijk naar een update voor dit geval.
11-08-2016, 12:09 door Anoniem
Geldt niet voor oudere Linux kernels, bijv. 2.6 en lager.
11-08-2016, 12:26 door Anoniem
Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.
11-08-2016, 14:47 door potshot
pfew ! ik heb gelukkig windows..!
11-08-2016, 14:57 door [Account Verwijderd] - Bijgewerkt: 11-08-2016, 14:57
[Verwijderd]
11-08-2016, 15:00 door [Account Verwijderd]
[Verwijderd]
11-08-2016, 15:01 door Anoniem
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. Bij windows hoor je dagelijks wel een lek artikel, al was het over een virus of exploit. Daarnaast is een oplossing gegeven (eerste post), als je het zelf moest doen in windows ben je dagelijks wel wat minuten kwijt of is er gewoon geen oplossing vrijgegeven, buiten dat je moet wachten op de reactie van windows update die dagen lang kan duren terwijl de lek daar dan ook dagen lang in blijft zitten.
11-08-2016, 15:04 door Anoniem
Updaten is goed! Upgraden is beter!
11-08-2016, 16:27 door Anoniem
@Taxus @Bert Linux: Ubuntu 16.04 gebruikt kernel 4.4 en die is ook kwetsbaar hiervoor.
11-08-2016, 17:02 door Anoniem
Door Anoniem:
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. .

Inderdaad grappig dat zelfs in 2016 er nog altijd mensen zijn die dat sprookje geloven.

Kijk eens op CVEDetails, bijvoorbeeld voor Ubuntu: http://www.cvedetails.com/product/20550/Canonical-Ubuntu-Linux.html?vendor_id=4781

En dan moet je hierbij bedenken dat het om puur en alleen het core-OS gaat. Daar moeten alle cve's van de services en applicaties die er op draaien nog bij.

Er zit geen, geen millimeter verschil tussen de diverse OS'n als het gaat om kwetsbaarheden. Ze worden allemaal door mensen gemaakt, en die maken allemaal fouten. Er zit wel verschil in hoe aantrekkelijk een OS is om aan te vallen. En vooruit: in de manier waarop de producent software voortbrengt. En geloof het of niet, maar op dat vlak wordt Microsoft gezien als voorbeeld (zoek eens op 'Secure Development Lifecycle').

En nee, 'open source' en dat andere sprookje van 'many eyes' veranderd daar niks aan. Niks mis met open source (mooi zelfs!) maar niemand gaat voor de lol security bugs zoeken in miljoenen regels open source. Daar verdien je nou eenmaal niks mee.
11-08-2016, 17:21 door Anoniem
Zowiezo vreemd dat een protocol toevoeging wat eigenlijk alleen zinvol is op routers die 24/7 aan staan EN voor veel verschillende soorten klanten actief zijn geimplementeerd moest worden op client-systemen.

Alsof je BGP gaat draaien op de linux doos...
En dan nog, als je BGP peers niet kunt vertrouwen, wat voor nut heeft het uberhaupt dan nog?
Dit ruikt echt zo ontzettend als een NSA plantage...

Een RFC maken voor een probleem wat geen probleem is op een plek (werkstations) waar die problemen helemaal niet plaats vinden.
Als je al vind dat je BGP sessies afgeluisterd en overgenomen kunnen worden moet je DAAR iets aan doen...
Als er iemand tussen mijn router en de AMS-IX kan wroeten op de BGP laag (afgezien van dat ik dat automatisch laat doen door de box van AMS-IX zelf) dan moet ik misschien toch eens gaan nadenken waarom ik in de IT zit.

In ieder geval heeft deze rotzooi RFC niets te zoeken op mijn Windows 10-16 bak noch op mijn Ubuntu 16.04 bak.
11-08-2016, 18:11 door karma4
Een server die kwetsbaar Is is veel ernstiger dan wat apart staande werkstations. Even bijwerken? Met een beetje pech wordt zo'n ding echt gebruikt met applicaties. Als die kritisch zijn heb je voor het weet een vele maandenlang kostbaar testtraject voor de boeg. Als je met een cloud dan wel appliance zit mag je kijken wat je leverancier gaat doen. Je hebt niet veel in te brengen. Hoe zou het met al die AWS servers zijn? Enige planning impact of wat dan ook gehoord..
11-08-2016, 18:21 door potshot
Door Anoniem:
Door potshot: pfew ! ik heb gelukkig windows..!
Grappig dat je het zegt. Misschien sarcasme? Hopelijk.... In windows zitten er namelijk veel meer lekken, dit is 1 van de zeldzame bekend making van een linux lek. Bij windows hoor je dagelijks wel een lek artikel, al was het over een virus of exploit. Daarnaast is een oplossing gegeven (eerste post), als je het zelf moest doen in windows ben je dagelijks wel wat minuten kwijt of is er gewoon geen oplossing vrijgegeven, buiten dat je moet wachten op de reactie van windows update die dagen lang kan duren terwijl de lek daar dan ook dagen lang in blijft zitten.

wat denk je dat er zou gebeuren als linux een marktaandeel zou hebben zoals windows?
dan vielen de hackers over elkaar heen om linux binnenste buiten te keren.
'safety in obscurity'..
11-08-2016, 19:21 door Anoniem
Door Anoniem: Updaten is goed! Upgraden is beter!

Nee je kunt beter even de kat uit de boom kijken, en zeker niet voorop lopen met je upgrades. Ik ken genoeg mensen die meteen gratis windows10 installeren, of het nieuwste van het nieuwste willen hebben, en dan als 'test' panel dienen om alle bugs er alsnog uit te halen.
12-08-2016, 07:15 door [Account Verwijderd]
[Verwijderd]
12-08-2016, 08:34 door [Account Verwijderd] - Bijgewerkt: 12-08-2016, 08:36
[Verwijderd]
12-08-2016, 08:55 door Anoniem
Oud nieuws:
http://www.openwall.com/lists/oss-security/2016/03/03/11
12-08-2016, 11:58 door Anoniem
Door Muria: wat denk je dat er zou gebeuren als linux een marktaandeel zou hebben zoals windows?
dan vielen de hackers over elkaar heen om linux binnenste buiten te keren.
'safety in obscurity'..
Linux heeft een marktaandeel zoals Windows, als je verder kijkt dan desktopsystemen. Kijk eens naar servers, routers, embedded systemen, tv's (mijn tv van Sony draait bijvoorbeeld op Linux) smartphones (Android gebruikt de Linux-kernel, en dit is een probleem in de kernel), en dan zie je dat Linux alom aanwezig is.
Door karma4: Een server die kwetsbaar Is is veel ernstiger dan wat apart staande werkstations. Even bijwerken? Met een beetje pech wordt zo'n ding echt gebruikt met applicaties. Als die kritisch zijn heb je voor het weet een vele maandenlang kostbaar testtraject voor de boeg.
Nou, nee. De Linux-kernel heeft stabiele API's voor applicaties. Binnen het domein van de kernel is dat anders, daar kunnen interfaces veranderen en alle aanroepers binnen de kernel worden dan meeveranderd (makers van proprietaire drivers kunnen daar last van hebben), maar de API's die de kernel aan applicaties aanbiedt zijn stabiel. Dat de kernel wordt gebruikt door applicaties betekent nog niet dat de precieze kernel-versie kritisch is voor die applicaties. Dat zal maar zelden het geval zijn, en hier zal het repareren van de fout alleen tot een ander patchlevel leiden en die API's dus al helemaal niet raken. Het risico is dus heel klein.

En ook een omgeving die in beginsel alle wijzigingen grondig test moet voorzieningen hebben om noodpatches door te voeren. Een beetje systeembeheerder weet precies wat hij moet doen om het systeem terug te brengen in de staat van voor de wijziging als die problemen met applicaties blijkt te geven.
12-08-2016, 19:03 door karma4
Door Muria: [Knoeier... In wat voor omgeving werk jij? (Applicaties die afhankelijk zijn gemaakt van de onderliggende software infrastructuur - bah!.)
Je kan/kon het terug vinden in het Limux verhaal dika strac it@m, met het 9 vlaks model van maes is dat verklaarbaar.
De evaluatie van de situatie nu is nog terug te vinden als fase 1. De volgende reorganisatie is al weer gepland.

Door Muria:
Door karma4:
Als je met een cloud dan wel appliance zit mag je kijken wat je leverancier gaat doen. Je hebt niet veel in te brengen.Hoe zou het met al die AWS servers zijn? Enige planning impact of wat dan ook gehoord...
Maak je niet druk, dat zijn professionals die hun zaakjes wel voor elkaar hebben...
Zoek het eens goed uit in plaats van de marketing mensen zo maar te geloven. Die professionals hebben de verdiensten in de ogen staan, dacht je nu echt dat ze meteen aan het updaten gaan en dan aangesproken worden op ellende daar van.

Vandaag, 11:58 door Anoniem
Een beetje systeembeheerder weet precies wat hij moet doen om het systeem terug te brengen in de staat van voor de wijziging als die problemen met applicaties blijkt te geven. ...
Eén enkele beheerder die overal toegang tot heeft zelfstandig beslissingen neemt wat wanneer en hoe en zelf buiten elke controle valt? Sorry dat is een niet professionele situatie.
Wat is de praktijk:
- Sponsors die hebben het geld ingebracht en zij bepalen uiteindelijk wat er gebeurt.
- Proces managers waaronder het change management proces waarbij de keten (ijzer / OS / tools - paketten-software / klant applicaties) geregisseerd wordt.
- uitvoerenden / operationeel beheerders. Compleet afgeblokt in de mogelijkheden om wat te doen. De weerstand tegen een update wordt constant groter bij elke tegenslag. Redenen budget / tijd /politiek - strategie.
- Er wordt op aanraden van externe leveranciers beslissingen genomen. Die zitten echt niet te wachten op patches van derden. Het verkopen als doel dan gaat het naar wat de gebruikers leuk vinden. Degelijk beheer is maar lastig en te vaak te kostbaar. Je mag al blij zijn als er een wil tot samenwerking is om wat goeds af te leveren.

En ja ben het met je eens als je goede beheerders hebt die a/ weten wat ze doen en b/ weten hoe ze heen en weer kunnen en c/ de waardering en vrijheid krijgen om het werk goed te doen, dat zou een prima situatie zijn. Helaas iets te veel utopie. Die ervaring is vanuit die server omgevingen. Een desktop interesseert me niet zo veel.
12-08-2016, 22:04 door [Account Verwijderd]
[Verwijderd]
12-08-2016, 22:18 door [Account Verwijderd]
[Verwijderd]
14-08-2016, 08:47 door Anoniem
Door Anoniem: Geldt niet voor oudere Linux kernels, bijv. 2.6 en lager.

Uhm, wie werkt er nog met kernel 2.6? Ook Linux moet je up to date houden...
14-08-2016, 08:50 door Anoniem
Door Anoniem: Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.

Linux is ook niet helemaal 100% veilig want dat is geen enkel OS. Maar Linux is nog altijd vele malen veiliger dan welke Windows versie dan ook...
15-08-2016, 16:23 door Anoniem
Door Anoniem:
Door Anoniem: Lijkt mij niet simpel voor een leek die van Windows overgestapt is omdat hij / zij gelezen heeft dat Linux helemaal veilig is.

Linux is ook niet helemaal 100% veilig want dat is geen enkel OS. Maar Linux is nog altijd vele malen veiliger dan welke Windows versie dan ook...

En dat is gebaseerd op welke objectieve maatstaf?

In elk geval niet op het aantal kwetsbaarheden dat gevonden wordt: http://www.cvedetails.com/product/20550/Canonical-Ubuntu-Linux.html?vendor_id=4781

Of de lekken die in het wild gevonden worden: https://www.wired.com/2016/01/hack-brief-years-old-linux-bug/ of http://www.computerworld.com/article/2860843/vulnerability-in-embedded-web-server-exposes-millions-of-routers-to-hacking.html, etc, etc

Maar een mening hebben mag natuurlijk.

Mijn mening is dat de beveiliging van een systeem primair afhangt van hoe goed hij beheerd wordt.
16-08-2016, 08:03 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

10 reacties
Aantal stemmen: 572
Image
De verkiezingsprogramma's doorgelicht: Deel 1 cybersecurity
25-01-2021 door Redactie

Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...

29 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 2 privacy
29-01-2021 door Redactie

Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...

20 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 3 Big Tech
14-02-2021 door Redactie

Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...

9 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter