¿ALARMA VIRUS QUE AFECTA A LINUX?
Hola a todos. Un amigo mío de toda confianza técnica y personal me acaba de enviar el siguiente mensaje: Fallo gordo en java plugin, desactivalo en el navegador hasta que tengamos un update: Windows and Linux exposed by Java flaw November 24 2004 by Robert Lemos Not even Firefox will keep you safe... A flaw in Sun's plug-in for running Java on a variety of browsers and operating systems could allow a virus to spread through Microsoft Windows and Linux PCs. The vulnerability, found by Finnish security researcher Jouko Pynnonen in June, was patched last month by Sun, but its details were not made public until Tuesday. Security information provider Secunia posted information about the flaw in an advisory that rated it a "highly critical" threat Para vuestro conocimiento. Saludos.
Gracias por el aviso. De todas formas esto me huele algo raro. En linux un virus solo puede infectar la parte del sistema del usuario que ha ejecutado el virus. A no ser que un loco navegue por internet modo 'superusuario' con java. Ya sabia yo que esto de java no era muy seguro, pero bueno, menos mal que no lo uso. Esperemos el parche pronto por si las moscas El Miércoles, 24 de Noviembre de 2004 17:30, csalinux escribió:
Hola a todos. Un amigo mío de toda confianza técnica y personal me acaba de enviar el siguiente mensaje:
Fallo gordo en java plugin, desactivalo en el navegador hasta que tengamos un update:
Windows and Linux exposed by Java flaw November 24 2004 by Robert Lemos Not even Firefox will keep you safe...
A flaw in Sun's plug-in for running Java on a variety of browsers and operating systems could allow a virus to spread through Microsoft Windows and Linux PCs. The vulnerability, found by Finnish security researcher Jouko Pynnonen in
June, was patched last month by Sun, but its details were not made public
until Tuesday. Security information provider Secunia posted information about the flaw in an advisory that rated it a "highly critical" threat
Para vuestro conocimiento.
Saludos.
aunque solo sea por saberlo: como se desactiva el plugin java del mozilla? salutacions, JAUME El jue, 25 de 11 de 2004 a las 00:01, lordacid escribió:
Gracias por el aviso.
De todas formas esto me huele algo raro. En linux un virus solo puede infectar la parte del sistema del usuario que ha ejecutado el virus. A no ser que un loco navegue por internet modo 'superusuario' con java. Ya sabia yo que esto de java no era muy seguro, pero bueno, menos mal que no lo uso. Esperemos el parche pronto por si las moscas
No hace falta desinstalar nada En preferencias desmarca la casilla Activar JAVA -no el javascript-
-- Mensaje original -- Date: Thu, 25 Nov 2004 00:29:36 -0300 From: Juan Erbes <jerbes@arnet.com.ar> To: particular alicia&jaume <irla1@wanadoo.es> Cc: LISTA SUSE <suse-linux-s@suse.com> Subject: Re: [suse-linux-s] ¿ALARMA VIRUS QUE AFEC TA A LINUX?
particular alicia&jaume wrote:
aunque solo sea por saberlo: como se desactiva el plugin java del mozilla?
Borras o renombras el symlink javaplugin.so de la carpeta plugins de mozilla.
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El jue, 25 de 11 de 2004 a las 07:09, csalinux escribió:
No hace falta desinstalar nada
En preferencias desmarca la casilla Activar JAVA -no el javascript-
gracias. Que consecuencias tiene para la navegación normal por la red? lo has desactivad salutacions, JAUME
particular alicia&jaume wrote:
El jue, 25 de 11 de 2004 a las 07:09, csalinux escribió:
No hace falta desinstalar nada
En preferencias desmarca la casilla Activar JAVA -no el javascript-
gracias. Que consecuencias tiene para la navegación normal por la red? lo has desactivad
salutacions, JAUME
A ver si entendí bien, yo sabía que JAVA tiene una capacidad intrinsecamente segura porque NO tiene capacidad de modificar archivos del disco local. Corrijanme por favor.
no parece que se trate de un virus, si no de una vulnerabilidad en java. En la lista de seguridad cuentan algo y dan una pagina de test: there is a test for this problem on the german news site heise.de (sorry, only in German). http://www.heise.de/security/dienste/browsercheck/tests/java.shtml On this site is the following paragraph: Am 23.11.2004 wurde ein Problem bekannt, dass bei Suns Java-Plug-ins JavaScript auf Java-Objekte zugreifen und dabei die Beschränkungen der Sandbox umgehen kann. Sie können dies __hier__ testen. Geht beim Klick auf den Link ein Fenster auf, mit dem Hinweis "Sie sind verwundbar", sollten Sie eine neuere Java-Version installieren. Sun hat den Fehler in Version 1.4.2_06 beseitigt. You have to click on the word __hier__. If a window pops up with the message: Sie sind verwundbar: class sun.text.utility then you are vulnerable. Some more informations and links you may find on http://www.heise.de/newsticker/meldung/53582 (also German, I'm sorry) O sea: Firefox en 9.2 y mozilla en 9.0 estan afectadas. He deshabilitado en firefox el java y ya no aparece la vulnerabilidad dichosa (bueno, eso espero :-D) -- Saludos, miguel
miguel gmail wrote:
no parece que se trate de un virus, si no de una vulnerabilidad en java. En la lista de seguridad cuentan algo y dan una pagina de test:
there is a test for this problem on the german news site heise.de (sorry, only in German).
http://www.heise.de/security/dienste/browsercheck/tests/java.shtml
On this site is the following paragraph:
Am 23.11.2004 wurde ein Problem bekannt, dass bei Suns Java-Plug-ins JavaScript auf Java-Objekte zugreifen und dabei die Beschränkungen der Sandbox umgehen kann. Sie können dies __hier__ testen. Geht beim Klick auf den Link ein Fenster auf, mit dem Hinweis "Sie sind verwundbar", sollten Sie eine neuere Java-Version installieren. Sun hat den Fehler in Version 1.4.2_06 beseitigt.
You have to click on the word __hier__. If a window pops up with the message: Sie sind verwundbar: class sun.text.utility
then you are vulnerable.
Some more informations and links you may find on
http://www.heise.de/newsticker/meldung/53582 (also German, I'm sorry)
O sea: Firefox en 9.2 y mozilla en 9.0 estan afectadas. He deshabilitado en firefox el java y ya no aparece la vulnerabilidad dichosa (bueno, eso espero :-D)
San Google: (este es el texto traducido con google de aleman a ingles, del parrafo después del cubo rubik) ------------------------- The Java programs run off thereby in a sand box in such a way specified. That means, the applet run in an environment closed in itself, the Java Virtual Machine (JVM), which does not have an access to local resources such as files or programs. By this concept Java is actually a safe technology -- unfortunately occasionally errors creep also with the implementation of the JVM, which lead to safety gaps. Then special Java applet can access local files for example nevertheless. An example of it is Brown Orifice httpd, which uses an error in all êr versions (until including 4.74) of the Netscape of navigator, in order to install a Web server in the Browser. Over this server can then jederman files of the computer concerned download. In addition the server can manufacture also entrance to protected servers behind a Firewall. Also the InterNet Explorer is affected by similar nose. Due to platform independence all operating systems are affected by such nose, which support Java - and those are nahzu all. Thus Brown Orifice runs also with the Linux version of the Communicators. To 23.11.2004 became a problem admits that with Suns Java Plug in Javascript can access Java objects and go around the restrictions of the sand box. They can test this here. If a window comes up, with the reference "you is vulnerable" with clicks on the left, you should install a newer Java version. Sun eliminated the error in version 1.4.2_06. The test can fail for example with old Java versions. In the case of doubt you examine the Java version in the following window. All Sun versions smaller than 1.4.2_06 are vulnerable, Blackdown the error in version 1.4.2_01 repaired. Opera users should consider the message Java implementation in Opera incompletely. -------------------------- Entonces no es para privarse de java, bastaría con usar uno mayor que 1.4.2_06 Saludos
LeoRivas wrote:
miguel gmail wrote:
no parece que se trate de un virus, si no de una vulnerabilidad en java. En la lista de seguridad cuentan algo y dan una pagina de test:
there is a test for this problem on the german news site heise.de (sorry, only in German).
http://www.heise.de/security/dienste/browsercheck/tests/java.shtml
On this site is the following paragraph:
Am 23.11.2004 wurde ein Problem bekannt, dass bei Suns Java-Plug-ins JavaScript auf Java-Objekte zugreifen und dabei die Beschränkungen der Sandbox umgehen kann. Sie können dies __hier__ testen. Geht beim Klick auf den Link ein Fenster auf, mit dem Hinweis "Sie sind verwundbar", sollten Sie eine neuere Java-Version installieren. Sun hat den Fehler in Version 1.4.2_06 beseitigt.
You have to click on the word __hier__. If a window pops up with the message:
Yo estoy usando Mozilla 1.85a (con gtk y xft), y me da: "Siet gut aus, der Versuch lieferte einen Fehler: undefined" ¿Quiere decir que está bien?
Yo estoy usando Mozilla 1.85a (con gtk y xft), y me da:
"Siet gut aus, der Versuch lieferte einen Fehler: undefined"
¿Quiere decir que está bien?
Bueno a mi tambien me da eso en FireFox, pero es que casualmente no tengo el java metido, no me carga las imagenes de la pagina :-) Sin embrago konqueror dice : Sie sind verwundbar: [object Object ref=9363478] Glups !!?? Saludos Jose
install a newer Java version. Sun eliminated the error in version 1.4.2_06. The test can fail for example with old Java versions. In the case of doubt you examine the Java version in the following window. All Sun versions smaller than 1.4.2_06 are vulnerable, Blackdown the error in version 1.4.2_01 repaired. Opera users should consider the message Java implementation in Opera incompletely. --------------------------
Entonces no es para privarse de java, bastaría con usar uno mayor que 1.4.2_06 Saludos Pues no se yo si eso es asi ... Resulta que tenemos la java2 jre 1.4.2_129 (rpm original de SuSE 9.1) Y el test con konqueror dice: Sie sind verwundbar: [object Object ref=9363478] Es bueno o malo ?? Saludos Jose
El Viernes, 26 de Noviembre de 2004 10:28, Jose Rodriguez escribió:
install a newer Java version. Sun eliminated the error in version 1.4.2_06. The test can fail for example with old Java versions. In the case of doubt you examine the Java version in the following window. All Sun versions smaller than 1.4.2_06 are vulnerable, Blackdown the error in version 1.4.2_01 repaired. Opera users should consider the message Java implementation in Opera incompletely. --------------------------
Entonces no es para privarse de java, bastaría con usar uno mayor que 1.4.2_06 Saludos
Pues no se yo si eso es asi ... Resulta que tenemos la java2 jre 1.4.2_129 (rpm original de SuSE 9.1) Y el test con konqueror dice: Sie sind verwundbar: [object Object ref=9363478] Es bueno o malo ?? Saludos Jose
Si, es malo, porque significa, que desde Java Script se puede acceder a los objetos de Java (SUN), si mirais el codigo del JavaScript, lo que vereis es que se accede a un objeto al que no deberia tener acceso. Y con esos objetos, se puede escribir archivos en el disco duro, que eso supone un peligro. Sobretodo porque existe todavia la posibilidad de que existan bugs todavia, o metodos en el sistema linux, para convertirse en root. -- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
El Viernes, 26 de Noviembre de 2004 10:28, Jose Rodriguez escribió:
install a newer Java version. Sun eliminated the error in version 1.4.2_06. The test can fail for example with old Java versions. In the case of doubt you examine the Java version in the following window. All Sun versions smaller than 1.4.2_06 are vulnerable, Blackdown the error in version 1.4.2_01 repaired. Opera users should consider the message Java implementation in Opera incompletely. --------------------------
Entonces no es para privarse de java, bastaría con usar uno mayor que 1.4.2_06 Saludos
Pues no se yo si eso es asi ... Resulta que tenemos la java2 jre 1.4.2_129 (rpm original de SuSE 9.1) Y el test con konqueror dice: Sie sind verwundbar: [object Object ref=9363478] Es bueno o malo ?? Saludos Jose
miraré a ver, exactamente que se puede hacer con los objetos de java. Para ver hasta que punto corremos peligro. -- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
miguel gmail wrote:
Some more informations and links you may find on
http://www.heise.de/newsticker/meldung/53582 (also German, I'm sorry)
O sea: Firefox en 9.2 y mozilla en 9.0 estan afectadas. He deshabilitado en firefox el java y ya no aparece la vulnerabilidad dichosa (bueno, eso espero :-D)
Ups! Firefox en 9.2 y mozilla en 9.0? Todavía no salieron, y ya están afectados? :-D ;-)
Juan Erbes wrote:
miguel gmail wrote:
Some more informations and links you may find on
http://www.heise.de/newsticker/meldung/53582 (also German, I'm sorry)
O sea: Firefox en 9.2 y mozilla en 9.0 estan afectadas. He deshabilitado en firefox el java y ya no aparece la vulnerabilidad dichosa (bueno, eso espero :-D)
Ups!
Firefox en 9.2 y mozilla en 9.0?
Todavía no salieron, y ya están afectados? :-D ;-)
No es el browser el problema sino JAVA, actualice JAVA y el problema desaparecerá
El 2004-11-25 a las 08:41 -0300, LeoRivas escribió:
A ver si entendí bien, yo sabía que JAVA tiene una capacidad intrinsecamente segura porque NO tiene capacidad de modificar archivos del disco local. Corrijanme por favor.
Correcto, te tiene que pedir permiso. -- Saludos Carlos Robinson
El 2004-11-25 a las 09:19 +0100, particular alicia&jaume escribió:
gracias. Que consecuencias tiene para la navegación normal por la red? lo has desactivad
Es imprescindible en muchas webs donde haya que rellenar formularios, como las de los bancos, busqueda de empleo, compras... También lo usan webs de cines y otros, para añadir espectacularidad. -- Saludos Carlos Robinson
Yo no estoy de acuerdo. Pero lo pregunto, porque sólo soy un ignorante que quiere aprender... Si el virus consigue inyectar código, aprovechando un buffer overflow o cualquiera método, y consigue obtener privilegios de root, ¿acaso no podrá extenderse en todas las unidades? También podría inyectar un troyano. Por ejemplo, sustituir nuestro ls por un ls troyano, de forma que al hacer un simple listado fueramos engañados... Salut. Sebas. ----- Original Message ----- From: "lordacid" <fonseka@ono.com> To: <suse-linux-s@suse.com> Sent: Thursday, November 25, 2004 12:01 AM Subject: Re: [suse-linux-s] ¿ALARMA VIRUS QUE AFECTA A LINUX? Gracias por el aviso. De todas formas esto me huele algo raro. En linux un virus solo puede infectar la parte del sistema del usuario que ha ejecutado el virus. A no ser que un loco navegue por internet modo 'superusuario' con java. Ya sabia yo que esto de java no era muy seguro, pero bueno, menos mal que no lo uso. Esperemos el parche pronto por si las moscas
Y como va a loguearse como root si no sabe la contraseña? Vamos digo yo. Saludos El jue, 25-11-2004 a las 23:24, secobau escribió:
Yo no estoy de acuerdo. Pero lo pregunto, porque sólo soy un ignorante que quiere aprender... Si el virus consigue inyectar código, aprovechando un buffer overflow o cualquiera método, y consigue obtener privilegios de root, ¿acaso no podrá extenderse en todas las unidades?
También podría inyectar un troyano. Por ejemplo, sustituir nuestro ls por un ls troyano, de forma que al hacer un simple listado fueramos engañados...
Salut. Sebas.
----- Original Message ----- From: "lordacid" <fonseka@ono.com> To: <suse-linux-s@suse.com> Sent: Thursday, November 25, 2004 12:01 AM Subject: Re: [suse-linux-s] ¿ALARMA VIRUS QUE AFECTA A LINUX?
Gracias por el aviso.
De todas formas esto me huele algo raro. En linux un virus solo puede infectar la parte del sistema del usuario que ha ejecutado el virus. A no ser que un loco navegue por internet modo 'superusuario' con java. Ya sabia yo que esto de java no era muy seguro, pero bueno, menos mal que no lo uso. Esperemos el parche pronto por si las moscas
miguel gmail wrote:
Y como va a loguearse como root si no sabe la contraseña? Vamos digo yo.
descargando y ejecutando como usuario un keylogger, hasta que haga el fatidico 'su' y recoja tb la contraseña...
keylogger en linux? existe algo asi?
keylogger en linux? existe algo asi?
no se, no lo he visto nunca, no se hacerlo, no lo he oido... pero porqué no iba a haberlo? es por eso por lo que hay q tener muuuuuucho cuidado con lo que se ejecuta (más como root, claro), asegurarse que la fuente de donde lo has obtenido es fiable. La verdad, igual que en windows ja ja -- Saludos, miguel
El Viernes, 26 de Noviembre de 2004 20:31, miguel gmail escribió:
keylogger en linux? existe algo asi?
no se, no lo he visto nunca, no se hacerlo, no lo he oido... pero porqué no iba a haberlo? es por eso por lo que hay q tener muuuuuucho cuidado con lo que se ejecuta (más como root, claro), asegurarse que la fuente de donde lo has obtenido es fiable. La verdad, igual que en windows ja ja
-- Saludos, miguel
Es muy facil hacer un keylogger, basta con hacer un programa, que lee de la entrada estandard, y escribe en la entrada estandard de un bash, (en una pipe) y a un fichero. La salida del bash, la muestras por la salida estandard, y nadie se da cuenta, de que estas escribiendo todo lo que escribes por teclado. Aunque hay un pequenyo problema, has de conseguir escribir un ejecutable, y no se si eso lo permite los objetos de java. Por lo que he visto, en unix parece que no puedes escribir un ejecutable. Es una suerte porque en windows, si puedes, no hace falta cambiar ningun permiso para crear un ejecutable. Por tanto, por lo que he visto, de momento, en linux no estamos afectados (a no ser que te cambien un script que se ejecute a menudo) Pero he estado mirando, y en SuSE, no hay ningun archivo ejecutable con permisos de escritura. Si quereis comprobar si teneis un ejecutable con permisos de escriutra, ejecutad esta orden: ls -lR / | grep -P "-.......wx|-....wx" Si no os muestra ninguno , no teneis ninguno, no hay riesgo alguno (a no ser que consulteis internet como usuario root) -- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
El 2004-11-24 a las 17:30 +0100, csalinux escribió:
Fallo gordo en java plugin, desactivalo en el navegador hasta que tengamos un update:
Por cierto, se me ocurre una cosa. Éste fallo solo afectará cuando se navegue por una pagina web que use Java, obviamente, pero sólo si esa web es "malvada", o ha sido comprometida por terceros "malvados". No creo que afecte si usamos el java en páginas consideradas fiables. Lo digo porque desactivar el java significa, por ejemplo, no poder acceder a las páginas de los bancos. O... ¿estoy metiendo la pata? -- Saludos Carlos Robinson
No , no la metes, pero, por otro lado, si hay una pagina con ese virus corre un riesgo, ser buscada por el Google (tambien indexa los strings de javascript). Si quereis, podemos hacer una investigación, y buscar páginas que metan virus a traves de ese bug. El Sábado, 27 de Noviembre de 2004 19:34, Carlos E. R. escribió:
El 2004-11-24 a las 17:30 +0100, csalinux escribió:
Fallo gordo en java plugin, desactivalo en el navegador hasta que tengamos un update:
Por cierto, se me ocurre una cosa.
Éste fallo solo afectará cuando se navegue por una pagina web que use Java, obviamente, pero sólo si esa web es "malvada", o ha sido comprometida por terceros "malvados".
No creo que afecte si usamos el java en páginas consideradas fiables. Lo digo porque desactivar el java significa, por ejemplo, no poder acceder a las páginas de los bancos.
O... ¿estoy metiendo la pata?
-- Saludos Carlos Robinson
-- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
El 2004-11-27 a las 21:10 +0100, Urbez Santana Roma escribió:
No , no la metes, pero, por otro lado, si hay una pagina con ese virus corre un riesgo, ser buscada por el Google (tambien indexa los strings de javascript). Si quereis, podemos hacer una investigación, y buscar páginas que metan virus a traves de ese bug.
Googlearé con lynx a partir de ahora ;-) Pero creo que no han dicho que haya páginas que exploten el agujero, sino que puede haberlas. Ningún servidor web responsable haría eso voluntariamente, imagino. -- Saludos Carlos Robinson
El Lunes, 29 de Noviembre de 2004 02:06, Carlos E. R. escribió:
El 2004-11-27 a las 21:10 +0100, Urbez Santana Roma escribió:
No , no la metes, pero, por otro lado, si hay una pagina con ese virus corre un riesgo, ser buscada por el Google (tambien indexa los strings de javascript). Si quereis, podemos hacer una investigación, y buscar páginas que metan virus a traves de ese bug.
Googlearé con lynx a partir de ahora ;-)
Pero creo que no han dicho que haya páginas que exploten el agujero, sino que puede haberlas. Ningún servidor web responsable haría eso voluntariamente, imagino.
-- Saludos Carlos Robinson
La mayoria de Spyware y Troyanos, estan en páginas web, aprovechando la seguridad por defecto del Internet Explorer, que tiene activada la Secuencia de comandos Active-X y que tiene un fallo similar al del Java y aun no lo han reparado. (Ahora bien, muchas de esas páginas son gratuitas y anónimas). -- ################################################ #- Urbez Santana i Roma - #- Email: urbez@linuxupc.upc.es #- Private Web: http://linuxupc.upc.es/~urbez/ ################################################
Con desactivar Java basta... no hace falta que navegues en modo texto. :)
-- Mensaje original -- Date: Mon, 29 Nov 2004 02:06:06 +0100 (CET) From: "Carlos E. R." <robin1.listas@tiscali.es> To: Lista de Suse Linux Español <suse-linux-s@suse.com> Subject: Re: [suse-linux-s] ¿ALARMA VIRUS QUE AFECTA A LINUX?
El 2004-11-27 a las 21:10 +0100, Urbez Santana Roma escribió:
No , no la metes, pero, por otro lado, si hay una pagina con ese virus corre un riesgo, ser buscada por el Google (tambien indexa los strings
de
javascript). Si quereis, podemos hacer una investigación, y buscar páginas que metan virus a traves de ese bug.
Googlearé con lynx a partir de ahora ;-)
Pero creo que no han dicho que haya páginas que exploten el agujero, sino que puede haberlas. Ningún servidor web responsable haría eso voluntariamente, imagino.
-- Saludos Carlos Robinson
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
participants (11)
-
Carlos E. R. -
csalinux -
Jose Rodriguez -
Juan Erbes -
LeoRivas -
lordacid -
miguel gmail -
particular alicia&jaume -
secobau -
Sergio Frutos -
Urbez Santana Roma