URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 103772
[ Назад ]

Исходное сообщение
"В TCP-стеке FreeBSD устранена DoS-уязвимость"

Отправлено opennews , 22-Июл-15 11:12 
Во всех поддерживаемых ветках FreeBSD устранена (https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...) неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.


При редком стечении обстоятельств проблема также может проявляется при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся (http://mc-notes.blogspot.ru/2008/04/opennet.html) на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики (http://www.opennet.me/test/crash/) не принесли успеха, поэтому для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений.


Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:


<font color="#461b7e">
   netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'
</font>


URL: https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...
Новость: http://www.opennet.me/opennews/art.shtml?num=42643


Содержание

Сообщения в этом обсуждении
"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено анон , 22-Июл-15 11:12 
win xp, 2000, 2003 тоже подвержены? )))

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Анонимъ , 22-Июл-15 14:29 
Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 14:53 
> Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).

Я не знаю. Но исходящие порты у них до сих пор ведут себя так. И лечится только перегрузом. Форточка-с(С)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 15:40 
> Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так
> точно).

Восьмерочка доживает последние дни, а вот 2008 фря -- это такой алиас для 7мерочки или энтырпрайз? :)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 18:40 
Пиздеж тупого сапожника.
"В вопросе не разбираемся, но имеет смелость пузыри пускать"

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 23-Июл-15 09:52 
Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят. И проваливай с опеннета. Таким здесь не место.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 23-Июл-15 10:34 
> Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.

написан микросовтом, чучело


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено XoRe , 26-Июл-15 02:42 
>> Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.
> написан микросовтом, чучело

Для реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.
Код следующих версии windows основывался на этом коде.
И есть большой шанс, что даже в windows 10 остались некоторые куски кода с тех пор.
http://www.kuro5hin.org/?op=displaystory;sid=2001/6/19/05641...


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено wulf , 27-Июл-15 01:55 
> Для реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.

Камрад, попробуй сходить по своей ссылке и понять что там написано. Поскольку ты, похоже, в буржуйском не в зуб ногой, переведу специально для тебя предложение, на которое ты ссылаешься:

> Eventually the new, from scratch TCP/IP stack was done and shipped with NT 3.5 (the second version, despite the number) in late 1994. The same stack was also included with Windows 95.

В конце концов, перепиcка "с нуля" стека TCP/IP была завершена и он поставлен с NT 3.5 (бла..бла) в конце 1994-го года. Тот-же самый стек был включен в Windows 95

Где здесь про "код BSD" ?????????

Да, там ниже есть про "However, it looks like some of those Unix utilities were never rewritten". На этот факт ссылается вся тупая школота, вроде тебя, узнавшая что в файле ftp.exe есть буквы BSD. Но проблема в том что эта школота не знает что в линупсах /usr/bin/ftp тоже взят из BSD, и что на оффсайте inetutils написано 'Most of them are improved versions of programs originally from BSD' (http://www.gnu.org/software/inetutils/) и что в самих исходниках линупсового ftp.c стоит берклиевская шапка: http://www.gnu.org/software/inetutils/coverage/ftp/ftp.c.gco...

Я так понимаю, если продолжать дальше, можно понять что и линупс спи..ил TCP/IP у бзды.

Эх, школота... На такие древние (20+ лет!!!!!!) бояны ведетесь :-)

[:||||||||||||||||||||||||||||||||||:]


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 11:12 
Сервак не выдержал, и сгорел. Говорили же, нефиг с 4-ой версии обновляться.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 11:23 
молодцы что нашли и устранили, все пользователи FreeBSD и его производные будут ликовать :)

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Sluggard , 22-Июл-15 13:42 
Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться в состоянии персонального восторга. ))
А так, конечно же молодцы.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено 10й Брейтовский переулок , 22-Июл-15 14:02 
Не пались, виндофил ))

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Sluggard , 22-Июл-15 14:04 
> Не пались, виндофил ))

Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на починку детектора. )


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 19:12 
> Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на
> починку детектора. )

Поняшкофил? Или появился новый/секретный форк зузи c шах^W(хотя не, не потянут) шашками и поняшками?


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Sluggard , 22-Июл-15 19:14 
На девианарте есть поняшки с символикой практически всех известных дистров. )

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено анонимус вульгарис , 22-Июл-15 21:24 
> Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться
> в состоянии персонального восторга. ))

Перманентного, что ли? Словарь купи.



"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Sluggard , 22-Июл-15 21:26 
> Перманентного, что ли? Словарь купи.

Да, пардон. И спасибо, хоть и запоздало. ) Что-то другое было в голове в этот момент, наверное. =)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено A.Stahl , 22-Июл-15 11:24 
>устранена
>Предпринятые около семи лет назад попытки диагностики не принесли успеха
>подготовлен скрипт, перезагружающий сервер

Беда действительно серьёзная, но назвать скрипт для перезагрузки машины "устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, то костыль может оказаться весьма долгоиграющим) костыль.

Стоп! Или это 7 лет был костыль, а теперь таки починили?
Автор, перечитай и приведи к однозначному виду!


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено YetAnotherOnanym , 22-Июл-15 12:23 
Вот здесь - https://www.freebsd.org/security/advisories/FreeBSD-SA-15:13... - речь идёт о клизме TCP-стеку с помощью утилиты tcpdrop(8).

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 12:12 
>Однажды на opennet мне один аноним уверял, что openSource есть великая мощь, и никакие >Apple и Microsoft рядом даже не стояли. А тут оказывается на устранение критической >уязвимости уходят 7 лет..
>А я уже почти поверила, что Open Source есть великая мощь..
>Правда эта уязвимость относится к FreeBSD, и затрагивает трёх с половиной пользователей, >что ней сидят, но всё же, это удар по репутации открытого софта.

пользователи Microsoft платят за поддержку и заплатки со стороны Microsoft, а то у них support для корпораций есть. с Apple тоже самое и в таком духе.

Не надо сравнивать два разных мира где есть: "бери бесплатно и используй свободно как хочешь на свой страх и риск" и "покупай и пользуйся, при проблемах плати"

Open Source живет за счет:
1- денежного пожертвований (никто не обязывает, на твоей совести)
2- вклада исправлений от пользователей и компаний, которые находят и отдают обратно проекту(если отдают конечно, их никто не обязывает)
3- дополнительной поддержкой/support от самих разработчиков или команды поддержки (если хочешь конечно, никто не обязывает)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 13:46 
> пользователи Microsoft платят за поддержку со стороны Microsoft

Ой как я люблю эти истории успеха!
С этого места пожалуйста поподробней.
- сколько раз ты обращался в микрософт с проблемами в их софте?
- получал ли адекватную помощь или с тебя просили 2к баксов для оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки в случае если багрепорт подвердится?
- какое время занимала отработка твоих заявок
- как часто ты находил фиксы сделанное в микрософт уже после того как их поддержка тебя отшила?


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 14:16 
Я, кстати, обращался к ним в поддержку, когда на терминалке у клиента упорно не хотели активироваться свежекупленные лицензии (тогда ещё) rdp. Получил хрен с маслом - никаких там "вернуть, если подтвердится". Просто сказали, что бесплатной поддержки ни в каком виде нет, надо заплатить ещё килорубли за помощь. На мой (казалось бы) резонный вопрос - вы мне продали ПО за большие деньги (клиент крупный был, и было куплено много лицензий), оно не работает, какого хрена? - мне было сказано: "мне всё равно, как и что у вас там просиходит, я вам просто объясняю условия работы нашей компании". Платить не стали, сохранили все данные, развернули сервер лицензирования с нуля (вместе с переустановкой ОС, так как переустановка сервисов не помогала). ПОтратили драгоценное время, но заработало. Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 14:50 
> Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.

Дык проблема и не в тебе, а в тех кто принимает решения и ... продолжает платить :)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено iZEN , 22-Июл-15 15:12 
> Платить не стали, сохранили все данные, развернули сервер лицензирования с нуля (вместе с переустановкой ОС, так как переустановка сервисов не помогала). ПОтратили драгоценное время, но заработало.
> Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.

Во сколько вам обошёлся сервер лицензирования (софтовая часть)?


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 23-Июл-15 09:54 
Кому что, а изе - вантуз.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 19:32 
>> пользователи Microsoft платят за поддержку со стороны Microsoft
> Ой как я люблю эти истории успеха!
> С этого места пожалуйста поподробней.
> - сколько раз ты обращался в микрософт с проблемами в их софте?
> - получал ли адекватную помощь или с тебя просили 2к баксов для
> оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки
> в случае если багрепорт подвердится?
> - какое время занимала отработка твоих заявок
> - как часто ты находил фиксы сделанное в микрософт уже после того
> как их поддержка тебя отшила?

коллега видимо вы вообще не работали с Microsoft на уровне Enterprise, когда у вас все лицензионное и инфраструктура понапичкана всякими AD, Exchange, SharePoint, SQL, Lync и т.д.

буду краток: https://support.microsoft.com/en-us/gp/support-options-for-b...


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено фцв , 23-Июл-15 21:12 
а что ты ссылками тыкаешь, ты условия почитай. правильно человек написал.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 12:19 
>А тут оказывается на устранение критической уязвимости уходят 7 лет..

вам напомнить все опубликованные уязвимости Windows с времен Windows 98?

учитывайте что есть так же неизвестные и не опубликованные уязвимости Windows, которыми очень хитро по тихому юзают по сей день(наглядный пример Hacked Team)

ошибки в программе могут содержаться годами не проявлять себя при некоторых обстоятельствах и могут всплыть наружу внезапно. эти ошибки есть и в Open Source и в Closed Source!!!



"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Stax , 22-Июл-15 15:59 
> вам напомнить все опубликованные уязвимости Windows с времен Windows 98?

Вы не понимаете разницу между "давно не поддерживамые и не обновляемые ОС" и "Во всех поддерживаемых ветках FreeBSD"?


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 19:26 
тут упор делала девченка на 7 лет срока давности а не на поддерживаемые и не поддерживаемые ОС. даже если брать поддерживаемые ОС, в самой 8.1 найдутся дыры.

как я писал ранее, ошибки в программах будут всегда, до тех пор пока эти программы пишутся, не важно в Open Source или в Closed Source.


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 19:32 
> тут упор делала девченка на 7 лет срока давности
> девченка
> девченка

Вы не поверите! :)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 20:35 
>А я уже почти поверила, что Open Source есть великая мощь..

*девченка* не выдержала натиска минусов в свой адрес однако и испарилась из комментов...

no comment анонимы...


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Stax , 22-Июл-15 19:46 
Это так. Но тут уж ничего не поделаешь :)
(хотя - можно попробовать на Обероне ОС и софт переписать...)

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Ivan_83 , 22-Июл-15 12:28 
В винде каждый месяц латают огромные дыры, а тут такая фигня что мало у кого случалась.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено bagas , 22-Июл-15 12:33 
Ой!, даладно, можно подумать мак и микрософт супер системы, говно дырявое ане мак с микрософтом, у меня на кухне дуршлак, так вот в нем меньше дырок чем в виндузе!

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 14:02 
> на устранение критической уязвимости уходят 7 лет..

Ну да, а возможность, в течении 19 лет (начиная с 95 форточки) с помощью подготовленной странички зафутболить код на компутер пользователя - это так, мелочи :)
CVE-2014-6332
http://securityintelligence.com/ibm-x-force-researcher-finds...

И да, напомните мне, когда на  форточках "DLL preloading attack" устранили?
Да да, тот самый, который еще в винде 95 работал (и о котором знал каждый третий разработчик софта для форточек, ибо оно даже задокументировано было ;) ).


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено eRIC , 22-Июл-15 11:53 
>Беда действительно серьёзная, но назвать скрипт для перезагрузки машины >"устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, >то костыль может оказаться весьма долгоиграющим) костыль.

это OpenNET больше 7 лет назад придумал себе костыль перезагружать сервер чтобы освобождать.

автор все правильно написал.

касательно решения от FreeBSD, то да, уязвимость в стеке tcp устранили сейчас. так же был описан метод где можно было решать данную проблему удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно было перезагружать сервер чтобы очистить...

простыми словами: если есть возможно обновись, если нет или не хочешь юзай костыль c tcpdrop


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 16:12 
> удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно
> было перезагружать сервер чтобы очистить...

Костыль tcpdrop не решает проблему, а лишь даёт возможность отсрочить полный коллапс. Если начали утекать сокеты, то остановить это утекание помогает только перезагрузка. tcpdrop лишь позволяет убить уже утекшие сокеты, но не остановать их лавинообразную утечку.


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 23-Июл-15 01:38 
> но не остановать их лавинообразную утечку.

А вот и белочки-истерички пожаловали...


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено iZEN , 22-Июл-15 12:39 
Должно быть актуально для торрент-раздач.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Nicknnn , 22-Июл-15 14:43 
Торенты сейчас всё больше по UDP бегают.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 16:51 
А что freebsd лучше чем linux? Ведь на ней нет utf-8.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Параш , 22-Июл-15 18:30 
utf-8 и unicode шрифты на FreeBSD 10.1 нативны и встроены в драйвер терминала vt.

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 22-Июл-15 19:30 
> Ведь на ней нет utf-8.

Вы так оригинально неповторимы! :)


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Херомант , 22-Июл-15 20:27 
у них пластинку заело. слоупоки

"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Нанобот , 22-Июл-15 16:55 
>похожий эффект проявлялся на сервере opennet.ru

там TIME_WAIT, тут LAST_ACK. может это другой баг?


"В TCP-стеке FreeBSD устранена DoS-уязвимость"
Отправлено Аноним , 23-Июл-15 11:30 
Когда обновление для Apple OS X прилетит? )))