Во всех поддерживаемых ветках FreeBSD устранена (https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...) неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.
При редком стечении обстоятельств проблема также может проявляется при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся (http://mc-notes.blogspot.ru/2008/04/opennet.html) на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики (http://www.opennet.me/test/crash/) не принесли успеха, поэтому для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений.
Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:
<font color="#461b7e">
netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'
</font>
URL: https://lists.freebsd.org/pipermail/freebsd-announce/2015-Ju...
Новость: http://www.opennet.me/opennews/art.shtml?num=42643
win xp, 2000, 2003 тоже подвержены? )))
Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).
> Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).Я не знаю. Но исходящие порты у них до сих пор ведут себя так. И лечится только перегрузом. Форточка-с(С)
> Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так
> точно).Восьмерочка доживает последние дни, а вот 2008 фря -- это такой алиас для 7мерочки или энтырпрайз? :)
Пиздеж тупого сапожника.
"В вопросе не разбираемся, но имеет смелость пузыри пускать"
Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят. И проваливай с опеннета. Таким здесь не место.
> Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.написан микросовтом, чучело
>> Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.
> написан микросовтом, чучелоДля реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.
Код следующих версии windows основывался на этом коде.
И есть большой шанс, что даже в windows 10 остались некоторые куски кода с тех пор.
http://www.kuro5hin.org/?op=displaystory;sid=2001/6/19/05641...
> Для реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.Камрад, попробуй сходить по своей ссылке и понять что там написано. Поскольку ты, похоже, в буржуйском не в зуб ногой, переведу специально для тебя предложение, на которое ты ссылаешься:
> Eventually the new, from scratch TCP/IP stack was done and shipped with NT 3.5 (the second version, despite the number) in late 1994. The same stack was also included with Windows 95.
В конце концов, перепиcка "с нуля" стека TCP/IP была завершена и он поставлен с NT 3.5 (бла..бла) в конце 1994-го года. Тот-же самый стек был включен в Windows 95
Где здесь про "код BSD" ?????????
Да, там ниже есть про "However, it looks like some of those Unix utilities were never rewritten". На этот факт ссылается вся тупая школота, вроде тебя, узнавшая что в файле ftp.exe есть буквы BSD. Но проблема в том что эта школота не знает что в линупсах /usr/bin/ftp тоже взят из BSD, и что на оффсайте inetutils написано 'Most of them are improved versions of programs originally from BSD' (http://www.gnu.org/software/inetutils/) и что в самих исходниках линупсового ftp.c стоит берклиевская шапка: http://www.gnu.org/software/inetutils/coverage/ftp/ftp.c.gco...
Я так понимаю, если продолжать дальше, можно понять что и линупс спи..ил TCP/IP у бзды.
Эх, школота... На такие древние (20+ лет!!!!!!) бояны ведетесь :-)
[:||||||||||||||||||||||||||||||||||:]
Сервак не выдержал, и сгорел. Говорили же, нефиг с 4-ой версии обновляться.
молодцы что нашли и устранили, все пользователи FreeBSD и его производные будут ликовать :)
Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться в состоянии персонального восторга. ))
А так, конечно же молодцы.
Не пались, виндофил ))
> Не пались, виндофил ))Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на починку детектора. )
> Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на
> починку детектора. )Поняшкофил? Или появился новый/секретный форк зузи c шах^W(хотя не, не потянут) шашками и поняшками?
На девианарте есть поняшки с символикой практически всех известных дистров. )
> Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться
> в состоянии персонального восторга. ))Перманентного, что ли? Словарь купи.
> Перманентного, что ли? Словарь купи.Да, пардон. И спасибо, хоть и запоздало. ) Что-то другое было в голове в этот момент, наверное. =)
>устранена
>Предпринятые около семи лет назад попытки диагностики не принесли успеха
>подготовлен скрипт, перезагружающий серверБеда действительно серьёзная, но назвать скрипт для перезагрузки машины "устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, то костыль может оказаться весьма долгоиграющим) костыль.
Стоп! Или это 7 лет был костыль, а теперь таки починили?
Автор, перечитай и приведи к однозначному виду!
Вот здесь - https://www.freebsd.org/security/advisories/FreeBSD-SA-15:13... - речь идёт о клизме TCP-стеку с помощью утилиты tcpdrop(8).
>Однажды на opennet мне один аноним уверял, что openSource есть великая мощь, и никакие >Apple и Microsoft рядом даже не стояли. А тут оказывается на устранение критической >уязвимости уходят 7 лет..
>А я уже почти поверила, что Open Source есть великая мощь..
>Правда эта уязвимость относится к FreeBSD, и затрагивает трёх с половиной пользователей, >что ней сидят, но всё же, это удар по репутации открытого софта.пользователи Microsoft платят за поддержку и заплатки со стороны Microsoft, а то у них support для корпораций есть. с Apple тоже самое и в таком духе.
Не надо сравнивать два разных мира где есть: "бери бесплатно и используй свободно как хочешь на свой страх и риск" и "покупай и пользуйся, при проблемах плати"
Open Source живет за счет:
1- денежного пожертвований (никто не обязывает, на твоей совести)
2- вклада исправлений от пользователей и компаний, которые находят и отдают обратно проекту(если отдают конечно, их никто не обязывает)
3- дополнительной поддержкой/support от самих разработчиков или команды поддержки (если хочешь конечно, никто не обязывает)
> пользователи Microsoft платят за поддержку со стороны MicrosoftОй как я люблю эти истории успеха!
С этого места пожалуйста поподробней.
- сколько раз ты обращался в микрософт с проблемами в их софте?
- получал ли адекватную помощь или с тебя просили 2к баксов для оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки в случае если багрепорт подвердится?
- какое время занимала отработка твоих заявок
- как часто ты находил фиксы сделанное в микрософт уже после того как их поддержка тебя отшила?
Я, кстати, обращался к ним в поддержку, когда на терминалке у клиента упорно не хотели активироваться свежекупленные лицензии (тогда ещё) rdp. Получил хрен с маслом - никаких там "вернуть, если подтвердится". Просто сказали, что бесплатной поддержки ни в каком виде нет, надо заплатить ещё килорубли за помощь. На мой (казалось бы) резонный вопрос - вы мне продали ПО за большие деньги (клиент крупный был, и было куплено много лицензий), оно не работает, какого хрена? - мне было сказано: "мне всё равно, как и что у вас там просиходит, я вам просто объясняю условия работы нашей компании". Платить не стали, сохранили все данные, развернули сервер лицензирования с нуля (вместе с переустановкой ОС, так как переустановка сервисов не помогала). ПОтратили драгоценное время, но заработало. Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.
> Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.Дык проблема и не в тебе, а в тех кто принимает решения и ... продолжает платить :)
> Платить не стали, сохранили все данные, развернули сервер лицензирования с нуля (вместе с переустановкой ОС, так как переустановка сервисов не помогала). ПОтратили драгоценное время, но заработало.
> Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.Во сколько вам обошёлся сервер лицензирования (софтовая часть)?
Кому что, а изе - вантуз.
>> пользователи Microsoft платят за поддержку со стороны Microsoft
> Ой как я люблю эти истории успеха!
> С этого места пожалуйста поподробней.
> - сколько раз ты обращался в микрософт с проблемами в их софте?
> - получал ли адекватную помощь или с тебя просили 2к баксов для
> оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки
> в случае если багрепорт подвердится?
> - какое время занимала отработка твоих заявок
> - как часто ты находил фиксы сделанное в микрософт уже после того
> как их поддержка тебя отшила?коллега видимо вы вообще не работали с Microsoft на уровне Enterprise, когда у вас все лицензионное и инфраструктура понапичкана всякими AD, Exchange, SharePoint, SQL, Lync и т.д.
буду краток: https://support.microsoft.com/en-us/gp/support-options-for-b...
а что ты ссылками тыкаешь, ты условия почитай. правильно человек написал.
>А тут оказывается на устранение критической уязвимости уходят 7 лет..вам напомнить все опубликованные уязвимости Windows с времен Windows 98?
учитывайте что есть так же неизвестные и не опубликованные уязвимости Windows, которыми очень хитро по тихому юзают по сей день(наглядный пример Hacked Team)
ошибки в программе могут содержаться годами не проявлять себя при некоторых обстоятельствах и могут всплыть наружу внезапно. эти ошибки есть и в Open Source и в Closed Source!!!
> вам напомнить все опубликованные уязвимости Windows с времен Windows 98?Вы не понимаете разницу между "давно не поддерживамые и не обновляемые ОС" и "Во всех поддерживаемых ветках FreeBSD"?
тут упор делала девченка на 7 лет срока давности а не на поддерживаемые и не поддерживаемые ОС. даже если брать поддерживаемые ОС, в самой 8.1 найдутся дыры.как я писал ранее, ошибки в программах будут всегда, до тех пор пока эти программы пишутся, не важно в Open Source или в Closed Source.
> тут упор делала девченка на 7 лет срока давности
> девченка
> девченкаВы не поверите! :)
>А я уже почти поверила, что Open Source есть великая мощь..*девченка* не выдержала натиска минусов в свой адрес однако и испарилась из комментов...
no comment анонимы...
Это так. Но тут уж ничего не поделаешь :)
(хотя - можно попробовать на Обероне ОС и софт переписать...)
В винде каждый месяц латают огромные дыры, а тут такая фигня что мало у кого случалась.
Ой!, даладно, можно подумать мак и микрософт супер системы, говно дырявое ане мак с микрософтом, у меня на кухне дуршлак, так вот в нем меньше дырок чем в виндузе!
> на устранение критической уязвимости уходят 7 лет..Ну да, а возможность, в течении 19 лет (начиная с 95 форточки) с помощью подготовленной странички зафутболить код на компутер пользователя - это так, мелочи :)
CVE-2014-6332
http://securityintelligence.com/ibm-x-force-researcher-finds...И да, напомните мне, когда на форточках "DLL preloading attack" устранили?
Да да, тот самый, который еще в винде 95 работал (и о котором знал каждый третий разработчик софта для форточек, ибо оно даже задокументировано было ;) ).
>Беда действительно серьёзная, но назвать скрипт для перезагрузки машины >"устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, >то костыль может оказаться весьма долгоиграющим) костыль.это OpenNET больше 7 лет назад придумал себе костыль перезагружать сервер чтобы освобождать.
автор все правильно написал.
касательно решения от FreeBSD, то да, уязвимость в стеке tcp устранили сейчас. так же был описан метод где можно было решать данную проблему удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно было перезагружать сервер чтобы очистить...
простыми словами: если есть возможно обновись, если нет или не хочешь юзай костыль c tcpdrop
> удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно
> было перезагружать сервер чтобы очистить...Костыль tcpdrop не решает проблему, а лишь даёт возможность отсрочить полный коллапс. Если начали утекать сокеты, то остановить это утекание помогает только перезагрузка. tcpdrop лишь позволяет убить уже утекшие сокеты, но не остановать их лавинообразную утечку.
> но не остановать их лавинообразную утечку.А вот и белочки-истерички пожаловали...
Должно быть актуально для торрент-раздач.
Торенты сейчас всё больше по UDP бегают.
А что freebsd лучше чем linux? Ведь на ней нет utf-8.
utf-8 и unicode шрифты на FreeBSD 10.1 нативны и встроены в драйвер терминала vt.
> Ведь на ней нет utf-8.Вы так оригинально неповторимы! :)
у них пластинку заело. слоупоки
>похожий эффект проявлялся на сервере opennet.ruтам TIME_WAIT, тут LAST_ACK. может это другой баг?
Когда обновление для Apple OS X прилетит? )))