В OpenBSD начиная с версии 3.1 присутствует (http://www.coresecurity.com/index.php5?module=ContentMod&act...) критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код в системе с привилегиями ядра, путем отправки специальным образом подготовленного ICMPv6 пакета.

IPv6 стек активен в ядре OpenBSD по умолчанию. В качестве временного решения предлагается блокировка IPv6 трафика. В
/etc/pf.conf следует добавить "block in inet6".

URL: http://secunia.com/advisories/24490/
Новость: http://www.opennet.me/opennews/art.shtml?num=10116

• Удаленное выполнение кода в OpenBSD в установке по умолчанию,йопт, 16:50 , 14-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,pavel_simple, 16:52 , 14-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Аноним, 19:34 , 14-Мрт-07
    • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Анонимус, 10:37 , 15-Мрт-07
      • Удаленное выполнение кода в OpenBSD в установке по умолчанию,GateKeeper, 16:27 , 15-Мрт-07
        • Удаленное выполнение кода в OpenBSD в установке по умолчанию,FFFFFE, 23:09 , 15-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,glyph, 17:00 , 14-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Аноним, 17:07 , 14-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,Аноним, 18:34 , 14-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,Jelis, 19:48 , 14-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Skif, 01:31 , 15-Мрт-07
    • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Jelis, 14:52 , 15-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,Zert, 08:00 , 15-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Moralez, 09:03 , 15-Мрт-07
    • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Zert, 10:29 , 15-Мрт-07
  • касательно выдержки,Michael Shigorin, 10:32 , 15-Мрт-07
    • касательно выдержки,Zert, 11:55 , 15-Мрт-07
    • касательно выдержки,rii, 12:55 , 15-Мрт-07
      • касательно выдержки,Michael Shigorin, 09:16 , 16-Мрт-07
        • касательно выдержки,citrin, 11:45 , 16-Мрт-07
          • (_) ipv6 (*) security,Michael Shigorin, 21:47 , 16-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,rii, 09:08 , 15-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,rii, 09:12 , 15-Мрт-07
  • Удаленное выполнение кода в OpenBSD в установке по умолчанию,Moralez, 09:59 , 15-Мрт-07
    • Удаленное выполнение кода в OpenBSD в установке по умолчанию,rii, 12:59 , 15-Мрт-07
• Удаленное выполнение кода в OpenBSD в установке по умолчанию,Sivolday, 21:05 , 15-Мрт-07

ай-ай-ай...
таки нашли в дефолтной установке дырочку

нифига себе "дырочка"

Начинаем меряться дырками? Ай, щас линуху-то в разнос пустють...

Давайте, пускайте уж.А то что-то припоминаются локальные уязвимости всякие и прочая лажа, а вот таких ужосов - что-то не богато в последнее время.Может, я просто чего-то не заметил?... :)

Там до сих пор значатся как непатченные уйма дыр. Подробности на secunia.com. И не надо говорить про то, что, якобы, в большинстве случаев эти дыры неюзабельны... шестой IP тоже практически не юзабелен на сегодня, однако из-за одной всего дыры тут начали меряться дырками...

Неюзабелен?А как же я чувака в ирц видел сидящего с адреса IPV6?Что-то тут не так.Наверное имелось в виду что "мало используется".

Зато девиз оперативно обновили. :)

>Зато девиз оперативно обновили. :)

Даешь смену лозунга на "самые свежие удаленные дыры в дефолтовой установке" :-)

Злорадствовать каждый м-к может.

Как я понимаю, ip6 по интернету не роутиться? И этой дыркой можно только локально воспользоваться?

Просто v6 пока никто активно не пользует. так что счастья от дырки... хм... никакого, если шел уже не получил на уязвленной системе и не можешь это сделать локально. Да вот тока смысл? Шел-то, есть...

Не, ну локально всетаки я имел ввиду в "локальной сети". Потому как по эзернету в одном сегменте IP6 пакеты прекрасно проходят, и с другого компа в этой же локальной сети эксплойт работать будет.

Те, кто злорадствует, сами ничего сложнее хеловорда не писали. Разработка сложных систем требует выдержки и кропотливой работы, и написать абсолютно бездырную и безбажную систему не получится.

В постфиксе разве были дырки хоть раз за всю историю?

Если дырки никто не находил, это не значит, что их нет :)

Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки есть.

В данном случае занимателен не технический аспект, а отношение авторов к детищу и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.

But as we know, pride comes before a fall.

PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была сознательно и прокомментированно отменена, так что в 4.0 будет off by default.

Это верно

>Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот
>же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки
>есть.
>
>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>и другим: "мы пишем для себя и мы самые крутые, а
>вы все сосунки".  В отличие от.
>
>But as we know, pride comes before a fall.

   Можно линки на эту информацию?

>
>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>default.

   Возможно они при включении его в ядро думали о преимуществах в безопасности IPv6 перед IPv4,
но это лиш предположение на вскидку, может быть на это решение повлияли даже личные мотивы etc.

off by default не будет, потому что залатали дыру  openbsd.org/errata.html

>>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>>и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.
>>But as we know, pride comes before a fall.
>   Можно линки на эту информацию?
Можно, хотя отчасти это просто половина опыта общения с deraadt@:
http://kerneltrap.org/node/7729
http://lwn.net/Articles/225946/ (это про тайминги работы с данной уязвимостью -- тоже pride, хотя надо отдать должное -- преодолённая)

>>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>>default.
>Возможно они при включении его в ядро думали о преимуществах в безопасности
>IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение
>повлияли даже личные мотивы etc.
Я, не будучи сетевиком, не знаю ни одного преимущества в безопасности IPv6.  То, что там  нет довольно существенной меры прикрытия фактических проблем "беспризорных" хостов в виде NAT -- знаю.  То, что более сложная форма записи более сложных параметров всегда будет приводить к большему количеству чисто человеческих ошибок -- знаю.  Но это недостатки, а не преимущества. (btw буду благодарен за ссылку на сравнение прикладной безопасности, если вдруг кто-нибудь встречал "для посторонних")

>off by default не будет, потому что залатали дыру  openbsd.org/errata.html
Гм, Вы из openbsd?  Обычно дефолты в таких случаях коррелируют с подозрением на проблемность, а не с заткнутостью уже известных проблем.

> (btw буду благодарен за ссылку на сравнение прикладной
>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>
Не совсем сравнение, но кое что есть:
http://www.securitylab.ru/contest/264659.php

>> (btw буду благодарен за ссылку на сравнение прикладной
>>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>Не совсем сравнение, но кое что есть:
>http://www.securitylab.ru/contest/264659.php
Спасибо (комментарии тоже стоило почитать, особенно третью страницу).  Т.е. я представлял себе примерно треть проблем этого overengineered поделия, и причём далеко не самую худщую...

Тем более не вижу поводов поднимать по умолчанию или из любопытства.

>В постфиксе разве были дырки хоть раз за всю историю?

http://osvdb.org/searchdb.php?action=search_title&vuln_title...

   2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

В том же FreeBSD дырок не больше, просто дефолты другие (кого они вообще интересуют? мы же настроим всё).

>>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
>
>В том же FreeBSD дырок не больше, просто дефолты другие (кого они
>вообще интересуют? мы же настроим всё).
  
   Путь самурая не всегда приемлем. Особенно когда времени не много.

Как раз сегодня с коллегами обсуждали подобную тему. Натолкнула на нее фраза из Дейтелов про то, что "алгоритм работает, но формальное доказательство того, что он работает, является весьма нетривиальным". И договорились, развивая тему, до того, что более менее сложная система вообще не может работать, так как корректное с математической точки зрения доказательство того, что все замысловатые алгоритмы, а точнее их реализации, в связке заработают, практически невозможно.
Но ведь работают!
В конце смягчили, типа, предложили гипотезу: если задаться определенным уровнем сложности, то с высокой долей вероятности можно утверждать, что сложная система имеет ошибки проектирования и реализации, а, следовательно, уязвимости.
В общем, можно было не начинать, потому что это и так всем ясно.