ОБНОВЛЕНИЕ NDS

Комментарий редактора. Novell представила обновление своей NDS для NetWare 4.11. Обновленную версию DS 5.99a можно найти в разделе технической поддержки на сервере http://www.novell.com.

Обновленная программа содержит четыре основных изменения. Ниже мы приводим их краткое описание.

1. Удаление схемы (как классов, так и атрибутов). Из-за проблем синхронизации схемы многие, если не все, удаления не будут корректно синхронизированы с серверами NetWare 4.11 без реплик. Это не имеет какого-либо значения в большинстве случаев, просто некоторые элементы остаются определенными, но не используются; вместе с тем с технической точки зрения схема в дереве оказывается рассогласованной.

Запуск DS V5.99a и новой опции Reset Schema в DSRepair V4.56 позволяет ликвидировать возникшие расхождения.

2. Наследование списков контроля доступа (Access Control List, ACL). Новая особенность NetWare 5 — возможность сделать наследуемыми конкретные атрибуты ACL. Это новое поведение будет маскироваться для наследования, если путь наследования включает сервер с любой версией DS до 5.99а. Отметим, что 5.99а не будет действовать на наследуемые ACL, но позволит правильно передать их на сервер NetWare 5.0, содержащий реплику(-и), подчиненные реплике(-ам) на сервере NetWare 4.11. Без 5.99а результаты определения прав на использующих эту новую функцию серверах NetWare 5.0 могут оказаться рассогласованными.

3. Восстановление ссылки на объект на сервере NetWare 5.0. Еще один вопрос, решаемый DS 5.99a, касается восстановления на сервере NetWare 5.0 ссылки на объект вместе с самим объектом. Если указанный объект находится на сервере NetWare 4.11, где 5.99a не установлена, то объект должным образом не востановится.

Рассмотрим следующий пример. Group1.Dept1.Company (объект со множеством членских атрибутов) восстановлен. Group1 имеет членский атрибут Member1.Dept2.Company. На данный момент Member1 в дереве отсутствует, а все реплики Dept2.Company находятся только на серверах NetWare 4.11, ни один из которых не имеет 5.99a.

Это может привести к одному из следующих результатов: объект Member1.Dept2.Company не удастся создать должным образом; восстановление завершается аварийным образом; восстановление завершится, но член группы Member1.Dept2.Company не будет создан.

4. Синхронизация новых добавлений к схеме NetWare 5.0 с одного сервера NetWare 4.11 на другой сервер 4.11. DS 5.99a решает проблему синхронизации схемы при запуске синхронизации новых добавлений к схеме NetWare 5.0 от одного сервера NetWare 4.11 к другому. В NetWare 5.0 схема пополнилась новой зависимостью Tree Root. Она корректно синхронизируется между сервером NetWare 5.0 и сервером NetWare 4.11, но сервер NetWare 4.11 не передает ту же новую схему на другие серверы NetWare 4.11 корректным образом.

Источник: документ Novell за номером 2939922, июль 1998 г.

ПРЕДУПРЕЖДЕНИЕ CERT: ДЫРА В СЕРВЕРЕ INTERNET

Комментарий редактора. По данным CERT Coordination Center (http://www.cert.org , ряд инцидентов со взломом защиты компьютеров был связан с использованием уязвимой версии Named, сервера имен доменов, являющегося частью Berkeley Internet Name Daemon (BIND). Сообщения об инцидентах указывают, что хакерам удалось нанести вред серверам, где используются неисправленные версии Named.

CERT рекомендует обратиться к CERT Advisory CA-98.05 по адресу: http://www.cert.org/advisories/CA98.05.bind_problems.html с информацией об уязвимости при переполнении буфера BIND и о необходимых исправлениях.

После чтения нижеследующего сообщения CERT, описывающего в подробностях метод атаки, мы рекомендуем вам проверить свою систему на наличие похожих признаков взлома. Если вы обнаружите, что система была атакована таким образом, то вам следует обратиться к странице Web организации CERT по адресу: http://www.cert.org/nav/recovering.html с информацией о ликвидации последствий этого конкретного инцидента.

Ниже мы приводим сообщение CERT об уязвимости Named.

"Потенциальные взломщики активно сканируют сети на предмет наличия машин с уязвимыми версиями Named. Их возросшая активность согласуется с тенденциями, наблюдаемыми при обнаружении предыдущих дыр; в предшедствующих случаях взломщики также осуществляли широкомасштабное сканирование с целью поиска машин с уязвимыми версиями серверов IMAP или серверов Web с дырой PHF и затем использовали эти уязвимые места на обнаруженных машинах в своих целях.

Мы получили много сообщений об инцидентах с использованием дыры Named, при этом по крайней мере один инцидент представлял собой, по всей видимости, широкомасштабную атаку на официальные серверы имен доменов.

В некоторых из инцидентов, о которых мы имеем информацию, после взлома сервера Named злоумышленник запускал сценарий, открывавший сеанс telnet с другим хостом (скорее всего, с хостом, откуда производилась атака) через порт 666, копировал скрытый архив инструментария взломщика через NCFTP или FTP и распаковывал и инсталлировал содержимое архива. Этот скрытый архив содержал следующие диверсионные программы по типу "Троянского коня": Ifconfig, INETD, LS, Named, NetstatPS, Pstree, Syslogd, TCPD и Top.

Подложная программа Named содержала потайную дверь, через которую взломщик мог открыть окно X-терминала со скомпрометированного хоста с системой взломщика. Если, кроме того, взломщик инсталлировал какие-либо другие из перечисленных программ, то он мог получать точную информацию о процессах, сетевых соединениях и файлах, находящихся в системе.

Скрытый архив содержал также несколько других инструментов взломщика и конфигурационных файлов, в том числе /dev/reset, /dev/pmcf1, /dev/pcmf2, /dev/pcmf3, /dev/pcmf4 и Fix.

Программа /dev/reset представляет собой анализатор, перехватывающий и протоколирующий пароли, передаваемые открытым текстом по локальной сети. Файлы PCMF — это конфигурационные файлы для вышеупомянутых программ. Fix — это программа, используемая для установки диверсионных программ на скомпрометированной машине.

В случаях, когда взломщикам удавалось успешно установить свои программы, Fix и скрытый архив удалялись.

Двоичные программы в этом конкретном архиве были скомпилированы под архитектуру Intel x86 и операционную систему Linux, но подобная атака может быть без труда видоизменена для любых других систем.

Уязвимые серверы Named, отличные от Linux, могут прервать операцию и создать дамп ядра (core dump), если взломщик попытается применить эти конкретные инструменты, адаптированные к архитектуре Intel x86. В результате файл ядра на сервере имен доменов может сообщать о неудачной попытке взломать сервер имен доменов, но сервер при этом может быть успешно взломан с использованием других сценариев.

Чтобы определить факт взлома системы, мы рекомендуем вам предпринять шаги, указанные в методике обнаружения злоумышленника по адресу: ftp://ftp.cert.org/pub/tech_tips/intruder_detection_checklist.

Меры по обнаружению данных конкретных действий следующие:

  • сравнение контрольных сумм MD5 для указанных файлов с контрольными суммами MD5 для версий, о которых достоверно известно, что они не скомпрометированы;
  • поиск конфигурационных файлов программ-анализаторов /dev/reset, /dev/pcmf* и файлов с результатами работы анализатора, которые во многих случаях хранились в /usr/lib/libsn.a;
  • проверка системного журнала на наличие сообщений типа следующего:
       May 1 11:28:49 named[28464]:starting.named
   LOCAL-980501.020913 Fri May 1 02:09:13 EDT 1998
   ^Iroot@:/usr/lib/tntbot/bind/named.
  • Это сообщение может указывать на то, что у вас выполняется диверсионная версия Named;
  • анализ любых неожиданных зависаний или перезапусков демонов Named и INETD за последнее время, в частности после 27 апреля 1998 года. Сценарий установки взломщика убивает этих демонов и затем подменяет их на диверсионные версии;
  • изучение дампов ядер зависавших в последнее время серверов Named. Некоторые из атакованных узлов сообщали, что их файлы ядра содержат фрагменты сценария, используемого при атаке. Сообщающие о подобных сбоях узлы работают с иными операционными системами, нежели Linux. В этом случае, вполне возможно, злоумышленнику не удалось скомпрометировать машину. Однако сервер Named потенциально уязвим и может быть взломан при очередной попытке;
  • файл .ncftp в домашнем каталоге root может содержать информацию, сообщающую о необычной передаче файлов по ftp.

Источник: документ CERT за номером CS-98.04, 1998 г.

ОТЧЕТ BUGNET

Комментарий редактора. Мы регулярно печатаем сообщения BugNet в разделе "Тысяча мелочей". Каждый месяц читатель может найти здесь информацию об обнаруженных в сетевом программном обеспечении ошибках и предложенных исправлениях. О других ошибках вы можете узнать на сервере BugNet по адресу: http://www.bugnet.com .

Microsoft Windows NT 4.0

В Windows NT 4.0 Server или Workstation при мониторинге удаленной системы и запросе счетчиков типа Long Image Name удаленная система может блокироваться из-за нарушения прав доступа в Winlogon. При попытке локального мониторинга проблемы запрос объекта счетчика может вызвать зависание приложения.

Microsoft собирается внести исправления в следующем сервисном пакете, но при необходимости вы можете обратиться в службу технической поддержки и спросить следующие файлы:

01/13/98 10:00:09 a.m. 246,032 advapi32.dll (Intel)
01/13/98 09:59:52 a.m. 412,432 advapi32.dll (Alpha)
01/13/98 10:00:12 a.m. 183,568 winlogon.exe (Intel)
01/13/98 09:59:56 a.m. 272,144 winlogon.exe (Alpha).

Novell NetWare 4.11А Client для Windows NT

По информации Novell, NetWare 4.11a Client for Windows NT позволяет синхронизировать время на рабочей станции со временем на сервере. Проблема возникает в том случае, если вы не хотите синхронизировать время, что достигается обычно использованием команды set_time off в сценарии регистрации в контейнере.

Novell заявляет, что проблема была исправлена в ZENclient 4.3 for Windows NT.