URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36919
[ Назад ]

Исходное сообщение
"OpenNews: Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Отправлено opennews , 14-Мрт-07 16:50 
В OpenBSD начиная с версии 3.1 присутствует (http://www.coresecurity.com/index.php5?module=ContentMod&act...) критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код в системе с привилегиями ядра, путем отправки специальным образом подготовленного ICMPv6 пакета.


IPv6 стек активен в ядре OpenBSD по умолчанию. В качестве временного решения предлагается блокировка IPv6 трафика. В
/etc/pf.conf следует добавить "block in inet6".


URL: http://secunia.com/advisories/24490/
Новость: http://www.opennet.me/opennews/art.shtml?num=10116


Содержание

Сообщения в этом обсуждении
"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено йопт , 14-Мрт-07 16:50 
ай-ай-ай...
таки нашли в дефолтной установке дырочку

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено pavel_simple , 14-Мрт-07 16:52 
нифига себе "дырочка"

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Аноним , 14-Мрт-07 19:34 
Начинаем меряться дырками? Ай, щас линуху-то в разнос пустють...

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Анонимус , 15-Мрт-07 10:37 
Давайте, пускайте уж.А то что-то припоминаются локальные уязвимости всякие и прочая лажа, а вот таких ужосов - что-то не богато в последнее время.Может, я просто чего-то не заметил?... :)

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено GateKeeper , 15-Мрт-07 16:27 
Там до сих пор значатся как непатченные уйма дыр. Подробности на secunia.com. И не надо говорить про то, что, якобы, в большинстве случаев эти дыры неюзабельны... шестой IP тоже практически не юзабелен на сегодня, однако из-за одной всего дыры тут начали меряться дырками...

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено FFFFFE , 15-Мрт-07 23:09 
Неюзабелен?А как же я чувака в ирц видел сидящего с адреса IPV6?Что-то тут не так.Наверное имелось в виду что "мало используется".

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено glyph , 14-Мрт-07 17:00 
Зато девиз оперативно обновили. :)

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Аноним , 14-Мрт-07 17:07 
>Зато девиз оперативно обновили. :)

Даешь смену лозунга на "самые свежие удаленные дыры в дефолтовой установке" :-)


"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Аноним , 14-Мрт-07 18:34 
Злорадствовать каждый м-к может.

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Jelis , 14-Мрт-07 19:48 
Как я понимаю, ip6 по интернету не роутиться? И этой дыркой можно только локально воспользоваться?

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Skif , 15-Мрт-07 01:31 
Просто v6 пока никто активно не пользует. так что счастья от дырки... хм... никакого, если шел уже не получил на уязвленной системе и не можешь это сделать локально. Да вот тока смысл? Шел-то, есть...

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Jelis , 15-Мрт-07 14:52 
Не, ну локально всетаки я имел ввиду в "локальной сети". Потому как по эзернету в одном сегменте IP6 пакеты прекрасно проходят, и с другого компа в этой же локальной сети эксплойт работать будет.

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Zert , 15-Мрт-07 08:00 
Те, кто злорадствует, сами ничего сложнее хеловорда не писали. Разработка сложных систем требует выдержки и кропотливой работы, и написать абсолютно бездырную и безбажную систему не получится.

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Moralez , 15-Мрт-07 09:03 
В постфиксе разве были дырки хоть раз за всю историю?

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Zert , 15-Мрт-07 10:29 
Если дырки никто не находил, это не значит, что их нет :)

"касательно выдержки"
Отправлено Michael Shigorin , 15-Мрт-07 10:32 
Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки есть.

В данном случае занимателен не технический аспект, а отношение авторов к детищу и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.

But as we know, pride comes before a fall.

PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была сознательно и прокомментированно отменена, так что в 4.0 будет off by default.


"касательно выдержки"
Отправлено Zert , 15-Мрт-07 11:55 
Это верно

"касательно выдержки"
Отправлено rii , 15-Мрт-07 12:55 
>Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот
>же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки
>есть.
>
>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>и другим: "мы пишем для себя и мы самые крутые, а
>вы все сосунки".  В отличие от.
>
>But as we know, pride comes before a fall.

   Можно линки на эту информацию?

>
>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>default.

   Возможно они при включении его в ядро думали о преимуществах в безопасности IPv6 перед IPv4,
но это лиш предположение на вскидку, может быть на это решение повлияли даже личные мотивы etc.

off by default не будет, потому что залатали дыру  openbsd.org/errata.html


"касательно выдержки"
Отправлено Michael Shigorin , 16-Мрт-07 09:16 
>>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>>и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.
>>But as we know, pride comes before a fall.
>   Можно линки на эту информацию?
Можно, хотя отчасти это просто половина опыта общения с deraadt@:
http://kerneltrap.org/node/7729
http://lwn.net/Articles/225946/ (это про тайминги работы с данной уязвимостью -- тоже pride, хотя надо отдать должное -- преодолённая)

>>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>>default.
>Возможно они при включении его в ядро думали о преимуществах в безопасности
>IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение
>повлияли даже личные мотивы etc.
Я, не будучи сетевиком, не знаю ни одного преимущества в безопасности IPv6.  То, что там  нет довольно существенной меры прикрытия фактических проблем "беспризорных" хостов в виде NAT -- знаю.  То, что более сложная форма записи более сложных параметров всегда будет приводить к большему количеству чисто человеческих ошибок -- знаю.  Но это недостатки, а не преимущества. (btw буду благодарен за ссылку на сравнение прикладной безопасности, если вдруг кто-нибудь встречал "для посторонних")

>off by default не будет, потому что залатали дыру  openbsd.org/errata.html
Гм, Вы из openbsd?  Обычно дефолты в таких случаях коррелируют с подозрением на проблемность, а не с заткнутостью уже известных проблем.


"касательно выдержки"
Отправлено citrin , 16-Мрт-07 11:45 
> (btw буду благодарен за ссылку на сравнение прикладной
>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>
Не совсем сравнение, но кое что есть:
http://www.securitylab.ru/contest/264659.php

"(_) ipv6 (*) security"
Отправлено Michael Shigorin , 16-Мрт-07 21:47 
>> (btw буду благодарен за ссылку на сравнение прикладной
>>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>Не совсем сравнение, но кое что есть:
>http://www.securitylab.ru/contest/264659.php
Спасибо (комментарии тоже стоило почитать, особенно третью страницу).  Т.е. я представлял себе примерно треть проблем этого overengineered поделия, и причём далеко не самую худщую...

Тем более не вижу поводов поднимать по умолчанию или из любопытства.


"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено rii , 15-Мрт-07 09:08 
>В постфиксе разве были дырки хоть раз за всю историю?

http://osvdb.org/searchdb.php?action=search_title&vuln_title...


"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено rii , 15-Мрт-07 09:12 
   2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Moralez , 15-Мрт-07 09:59 
>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

В том же FreeBSD дырок не больше, просто дефолты другие (кого они вообще интересуют? мы же настроим всё).


"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено rii , 15-Мрт-07 12:59 
>>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
>
>В том же FreeBSD дырок не больше, просто дефолты другие (кого они
>вообще интересуют? мы же настроим всё).
  
   Путь самурая не всегда приемлем. Особенно когда времени не много.



"Удаленное выполнение кода в OpenBSD в установке по умолчанию"
Отправлено Sivolday , 15-Мрт-07 21:05 
Как раз сегодня с коллегами обсуждали подобную тему. Натолкнула на нее фраза из Дейтелов про то, что "алгоритм работает, но формальное доказательство того, что он работает, является весьма нетривиальным". И договорились, развивая тему, до того, что более менее сложная система вообще не может работать, так как корректное с математической точки зрения доказательство того, что все замысловатые алгоритмы, а точнее их реализации, в связке заработают, практически невозможно.
Но ведь работают!
В конце смягчили, типа, предложили гипотезу: если задаться определенным уровнем сложности, то с высокой долей вероятности можно утверждать, что сложная система имеет ошибки проектирования и реализации, а, следовательно, уязвимости.
В общем, можно было не начинать, потому что это и так всем ясно.