Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια

[nnn]

Για χρόνια το Yahoo Mail εξέθετε προσωπικά δεδομένα χρηστών του, επειδή απέτυχε να αναβαθμίσει ένα ευρέως χρησιμοποιούμενο λογισμικό επεξεργασίας εικόνας, που έχει σοβαρές ευπάθειες.

Ο Chris Evans που το εντόπισε και ενημέρωσε τους μηχανικούς της Yahoo, το ονόμασε Yahoobleed, επειδή οι ευπάθειες "αιμορράγησαν" δεδομένα από τους servers του.

Η προβληματική βιβλιοθήκη είναι η ImageMagick, που υποστηρίζεται από τις HP, Ruby, NodeJS, Python και τουλάχιστον άλλες 12 γλώσσες προγραμματισμού. Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015, ενώ η 2η ευπάθεια επισκευάστηκε πρόσφατα από τους developers της ImageMagick .

The vulnerability discovered by Evans could be exploited by e-mailing a maliciously manipulated image file to a Yahoo Mail address. After opening the 18-byte file, chunks of Yahoo server memory began leaking to the end user. Evans called this version of the attack "Yahoobleed1." "Yahoobleed2" worked by exploiting the vulnerability fixed in January 2015.

Σύμφωνα με τον Evans

mageMagick usage is a real mess. I'm sure there are lots of sites out there which are still vulnerable to this. To give a couple of data points, I found big Silicon Valley companies such as Box and Yahoo! were using two-year old versions of ImageMagick. So it seems unlikely that everyone has updated for this very recent issue.

Πηγή : Arstechnica

[nnn]

πόσο πιο κάτω πια.

[DVader]

" Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015"

Τι εννοεί ο ποιητής ανικανότητα..? Πόσο ανίκανος μπορέι να είσαι να βάλεις ένα pacth ..?

[nnn]

" Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015"

Τι εννοεί ο ποιητής ανικανότητα..? Πόσο ανίκανος μπορέι να είσαι να βάλεις ένα pacth ..?

Ανίκανος να το βρει και να το βάλει.

[ludist]

I found big Silicon Valley companies such as Box and Yahoo! were using two-year old versions of ImageMagick.

abandoncloud!

Απίστευτοι, να πεις πως είναι κανένα νεκρό project.
http://www.imagemagick.org/script/changelog.php

[tzelen]

Με όλα αυτά, απορώ πως εξακολουθεί και έχει χρήστες. Θα μου πείτε είναι πολλοί αυτοί που δεν ενημερώνονται, και πολλοί αυτοί που και να ενημερωθούν θα τα γράψουν στα παλαιότερα...

[badweed]

δεν την πηρε η aol την yahoo προσφατα ;
αν ειναι ετσι , σιγα μην τους ενοιαζαν τετοιες λεπτομεριες , φτιαξανε ενα πιο ντιζαινατο interface (και δυσλειτουργικο ) για συσκευασια στο πακετο του νεου ιδιοκτητη και αντε γεια .

[DVader]

Ανίκανος να το βρει και να το βάλει.

Ένα patch είναι πόσο ανίκανος να είσαι ........ Πολύ θα μου πείτεεεεεεεεε

[dimitri_ns]

Με όλα αυτά, απορώ πως εξακολουθεί και έχει χρήστες. Θα μου πείτε είναι πολλοί αυτοί που δεν ενημερώνονται, και πολλοί αυτοί που και να ενημερωθούν θα τα γράψουν στα παλαιότερα...

Χρήστης εδώ (ImageMagick, οχι yahoo)
Σε linux
Μετατροπές format εικόνας από κονσόλα ?
Τις ξεσκίζει..

mogrify baby, mogrify

Και ενημερωμένος

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade

Τόσο δύσκολο

[MitsakosGR]

" Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015"

Τι εννοεί ο ποιητής ανικανότητα..? Πόσο ανίκανος μπορέι να είσαι να βάλεις ένα pacth ..?

Η ανικανότητα δεν είναι μόνο των system admin! Μπορεί οι ίδιες οι διαδικασίες της yahoo! να έκαναν το patchαρισμα πολύ δύσκολο! Μην ξεχνάτε ότι πρόκειται για μία υπηρεσία με εκατομμύρια χρήστες που δεν θέλουν να σταματήσει να δουλεύει! Αν οι διαδικασίες ελέγχου του patch το έκαναν υπερβολικό και δεν είχε επικοινωνηθεί σωστά η κρισιμότητά του, είναι λογικό να μην το είχαν βάλει αμέσως, αλλά να περίμεναν και κάτι άλλο για να μπει μαζί!

[mrsaccess]

Όποιος είναι έξω από τον χορό, πολλά τραγούδια ξέρει.

[eyw]

Η YAHOO! μόνο και μόνο που είναι η YAHOO! ποτέ δεν πεθαίνει, υπάρχει κόσμος (συνήθως senior citizens) που δεν πάνε αλλού ακόμα και να τους δέσεις με σκοινί και να τους τραβάς.
Οτι έχει καταντήσει μπάτε σκύλοι αλέστε το ξέρουμε, 1-2 φορές το μήνα γίνεται ρεζίλι στα πρωτοσέλιδα.
Εχει αγορασθεί πρόσφατα, ας ελπίσουμε ότι θα συνελθει αλλιώς να γίνει community project κλπ.

Για τον Μάη ξοφλήσαμε, επόμενες κακές ειδήσεις για την πολυαγαπημένη μας ομάδα yahoo! στο πρώτο δεκαπενθήμερο του Ιουνίου.
Αυτά για την ώρα και βλέπουμε.

[goku]

Off Topic

Γιατί μόλις διάβασα το όνομα Chris Evans μου ήρθε στο μυαλό αμέσως ο Captain America;

Καλά, τι είναι αυτή η Yahoo; τουλάχιστον 5-6 ειδήσεις που σχετίζονται με την εν λόγω εταιρία τους τελευταίους 12 μήνες.

[Symos]

Όποιος είναι έξω από τον χορό, πολλά τραγούδια ξέρει.

Όπως το είπες. Λες και το πρόβλημα είναι πως οι admins της Yahoo δεν ξέρουν να χρησιμοποιούν το apt-get.

Η υπόθεση του ImageMagick είναι αρκετά πιο περίπλοκη. Το bug βρέθηκε (από τους "καλούς", γιατί οι "κακοί" φαίνεται πως το γνώριζαν ήδη) πριν 1 χρόνο και δόθηκε σχεδόν άμεσα στη δημοσιότητα, πριν προλάβει να βγει patch. Ακόμα και όταν βγήκε το patch, δεν ήταν πλήρες, όπως αποδείχθηκε αργότερα. Αυτό είχε ως αποτέλεσμα για πολύ καιρό το ImageMagick να είναι εκτεθειμένο και μόνο με "workarounds" να μπορεί να αντιμετωπιστεί το πρόβλημα. Έτσι πάρα πολλές εταιρείες βρέθηκαν εκτεθειμένες και όχι μόνο η Yahoo, όπως π.χ. το Facebook:
https://www.computerworld.com.au/art...-facebook-40k/

Για να πω την αλήθεια, δεν ξέρω καν αν είναι ακόμα και τώρα ασφαλές το ImageMagick. Το άρθρο λέει πως ένα από τα 2 vulnerabilities που βρέθηκαν στη Yahoo ήταν καινούργιο. Εμείς πάντως ακόμα δεν έχουμε αφαιρέσει τα προαναφερθέντα "workarounds" από τους servers μας.

[eyw]

για να μαθαίνω και γω, η ImageMagick τι σχέση έχει με e-mail και pop?
Για όσους δεν κατάλαβαν υπαινίσσομαι ότι αν κάτι δεν ειναι ασφαλές τότε να το αποσυνδέουν προσωρινά, πχ για 1 ώρα, μέρα, μήνα ή 10ετία μέχρι να το φτιάξουν.