URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43672
[ Назад ]

Исходное сообщение
"OpenNews: Три опасные уязвимости во FreeBSD"

Отправлено opennews , 04-Сен-08 09:39 
Во FreeBSD обнаружены три новые уязвимости:

-  "amd64 swapgs local privilege escalation  (http://security.freebsd.org/advisories/FreeBSD-SA-08:07.amd6...)" - локальный злоумышленник может выполнить код в системе с привилегиями ядра (root), изменив состояние стека пользовательского приложения и инициировав GPF (General Protection Fault) в момент передачи управления приложению, после обработки ядром прерывания, trap или системного вызова.  Уязвимости подвержена только amd64 сборка всех поддерживаемых версий FreeBSD. Проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.

-  "nmount(2) local arbitrary code execution (http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmou...)" - возможность выполнения кода локального злоумышленника в контексте ядра, в случае когда непривилегированным пользователям предоставлена возможность монтирования файловых систем. Уязвимость вызвана ошибкой в системном вызове nmount, передающем пользовательские данные ядру без надлежащей проверки границ...

URL: http://www.freebsd.org/security/advisories.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17713


Содержание

Сообщения в этом обсуждении
"Три опасные уязвимости во FreeBSD"
Отправлено i , 04-Сен-08 09:39 
есть эксплойты ?

"Три опасные уязвимости во FreeBSD"
Отправлено Станислав , 04-Сен-08 09:46 
Как-то ну очень специфичные уязвимости...
Кроме amd64 и то...

"Три опасные уязвимости во FreeBSD"
Отправлено daevy , 04-Сен-08 14:01 
что тут специфичного:-) монтировать чтолибо приходится часто (шары, флэшки) и прилететь ipv6 пакет тоже может запросто

"Три опасные уязвимости во FreeBSD"
Отправлено IIIenapg , 05-Сен-08 02:03 
Ты сам себя что ли ломать собрался при монтировании? А для успешной реализации третьей уязвимости необходимо наличие открытого IPv6 TCP сокета.

"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 09:45 
Есть обновление...

"Три опасные уязвимости во FreeBSD"
Отправлено Умник , 04-Сен-08 09:46 
Если есть уязвимости - можно реализовать эксплойты!

"Три опасные уязвимости во FreeBSD"
Отправлено spamtrap , 04-Сен-08 09:52 
а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там включено?

"Три опасные уязвимости во FreeBSD"
Отправлено Alex , 04-Сен-08 09:59 
да

"Три опасные уязвимости во FreeBSD"
Отправлено grayich , 04-Сен-08 10:00 
да

"Три опасные уязвимости во FreeBSD"
Отправлено uldus , 04-Сен-08 10:01 
>а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там
>включено?

IPv6 включено и ssh на ipv6 порт по дефолту биндится.


"Три опасные уязвимости во FreeBSD"
Отправлено earfin , 04-Сен-08 11:13 
жесть... одно радует - ipv6 ещё слабо распространён

"Три опасные уязвимости во FreeBSD"
Отправлено Клыкастое , 06-Сен-08 15:58 
одно радует. вменяемые люди во время установки то, что не используют отключают. вплоть до пересборки ядра без ipv6

"Три опасные уязвимости во FreeBSD"
Отправлено Chirok , 04-Сен-08 10:04 
# В качестве временного решения можно запретить операции монтирования пользователям: "sysctl vfs.usermount=0". #
Если не включать, то по умолчанию отрублено

"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 10:09 
Молодцы ребята. Нашли и тут же устранили.

"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 10:21 
>Молодцы ребята. Нашли и тут же устранили.

это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как были сделаны фиксы, а не сразу по нахождению уязвимости.


"Три опасные уязвимости во FreeBSD"
Отправлено Bocha , 04-Сен-08 10:26 
>>Молодцы ребята. Нашли и тут же устранили.
>
>это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
>были сделаны фиксы, а не сразу по нахождению уязвимости.

Что-то не пойму, из чего это следует?


"Три опасные уязвимости во FreeBSD"
Отправлено cvsup , 04-Сен-08 10:28 
>>Молодцы ребята. Нашли и тут же устранили.
>
>это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
>были сделаны фиксы, а не сразу по нахождению уязвимости.

Уязвимости опубликованы в тот же день после внесения исправлений в CVS


"Три опасные уязвимости во FreeBSD"
Отправлено atnt , 04-Сен-08 10:27 
ёклмн... security advisories уже давно на сайте лежат. Зачем людей пугать

"Три опасные уязвимости во FreeBSD"
Отправлено spamtrap , 04-Сен-08 11:11 
да кому тот сайт нужен?!! а вот пофлудить на форумах - это святое :)

"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено charon , 04-Сен-08 10:52 
интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям. Во всех распространённых ОС. Лично я пока везде поддержку этого протокола отрубаю (хотя нутром понимаю, что пора начинать экспериментировать).

"Три опасные уязвимости в ipv6"
Отправлено Andrey Mitrofanov , 04-Сен-08 10:59 
>интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.

Обычные "детские болезни": новая свистелка, реальных пользователей мало, код, написанный кодерами, тестируется в реальных условиях мало - качество кода "какое есть".

> Во всех распространённых ОС.

И в нераспространённых, наверное, тож, по логике. Только они вообще никому не нужны...


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 04-Сен-08 12:14 
>интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.
>Во всех распространённых ОС.
>Лично я пока везде поддержку этого протокола отрубаю

Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не собираюсь возможно дольше (if ever).

Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено charon , 04-Сен-08 13:13 
>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>собираюсь возможно дольше (if ever).

Федора и ЦентОС используют по умолчанию, приходится вырубать.

>Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра
>вообще без IPv6 для своих систем.

Во Фре я всегда пересобираю ядро и там не включаю. Я там включаю только то, что нужно :)


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 04-Сен-08 17:13 
>>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>>собираюсь возможно дольше (if ever).
>Федора и ЦентОС используют по умолчанию, приходится вырубать.

Их не применяю по более веским причинам...

2 User294: да, я ещё помню правило сисадмина: "не тяни в рот всё, что блестит".  Работает.

> а костыли с натами доходят до маразма

Вы, боюсь, слабо себе представляете, каким благом сейчас является NAT и как взвоют без него.

PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по полтора-два года.

Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  Впрочем, убунтушнику можно и простить непонимание разницы... ;P


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено vitek , 04-Сен-08 17:42 
Michael Вы всегда отличались культурностью в комментариях. (в отличае от меня. каюсь :-))
так что случилось на этот раз?

у меня прекрасно 2.4 живет на wl500gp (http://wl500g.info/forumdisplay.php?f=86)
и менять его там и не собираюсь.
а вот поставить 2.4 на мой новый ноут меня никто не уговорит. (если только в виртуалку)

а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 04-Сен-08 18:05 
>так что случилось на этот раз?

В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития" некоторых можно сильно дольше, чем, скажем, "современной форумной субкультурой" и безглазыми шмайлами.  До потопа-то из рек пить можно было, а сейчас грамотные люди вон "считываются".

>у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

Работает -- не трогай ;)

>а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

Ну вот я это "всё равно будем" if any, форсировать и не собираюсь.  Не для людей оно.

Собсно сейчас AS16 скорее закончатся, чем IPv4, как понимаю:
http://bgp.potaroo.net/as2.0/asnames.txt
http://xkcd.com/195/


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Guest , 04-Сен-08 22:37 
> Не для людей оно.

Неужели ты тоже из пионеров, которые `IPv6 не нужен потому что у нас NAT и 10.0.0.0/8 адресов, да и как мы будем без ната сетку защищать' и `не для людей оно потому что 16 байт адреса тяжело запоминать'? Сочувствую.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 09-Сен-08 19:58 
>> Не для людей оно.
>Неужели ты тоже из пионеров

Ыазумеется.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:11 
>В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития"

А при чет тут пугать. IPv6 придет и вас спросить забудут.Не сделаете его поддержку - только вам же и хуже будет, IMHO. Ну и вашим кастомерам у которых будет тупой геморрой которого у остальных нет.

>>у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

Работает -- не трогай ;)
Дык и у меня работает. Такое же ядро на таком же роутере.Оно там уместно, в отличие от например десктопа или сервера.А так - юзал когда-то центос на 2.4 ядре.Там икались хреново реализованные треды например.В 2.6 реализация улучшена просто фантастически.

>>а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

+1 :)

> Не для людей оно.

Да, для ваших клиентов видимо самое оно это NATы с тыщами юзеров на 1 айпи когда за деятельность одного дятла получает воздаяние вся орава.

>Собсно сейчас AS16 скорее закончатся, чем IPv4,

Сейчас каждая мобилка потенциально способна получить IP.Количество мобилок сами поищете, если надо.Там скорее всего просто не получится уже выдать каждой железке способной получить IP адрес свой IP.А потом юзерье на всех форумах плакается что там-то заблочили, там-то на аську не пускает.Ну конечно, общественные туалеты попадают под раздачу быстро и качественно.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 00:57 
>2 User294: да, я ещё помню правило сисадмина: "не тяни в рот
>всё, что блестит".  Работает.

Все так.Но довольно странно игнорировать имеющиеся проблемы.Выходя в сеть я хочу получить нормальный айпи.А не висеть с помойки с парой тыщ юзеров.С которой и в ICQ не пустят потому что с этого IP и так тыща дятлов уже висит, и который попадет под раздачу как только хоть один дятел из легиона поймает виря например и разошлет спама.Далее все это смачно загремит в BL и отослать почту станет нереально, а ресурсы пользующиеся BLами пошлют вас нафиг.За чьи-то чужие грехи.Качество сервиса - на уровне общественного туалета.Нагадил один а нюхают все.Так долго продолжаться не может.


>> а костыли с натами доходят до маразма
>Вы, боюсь, слабо себе представляете, каким благом сейчас является NAT и как
>взвоют без него.

Да куда уж мне.Правда стоит учесть что в сети по квартире всего-то 3 роутера, без ната как вы понимаете тут не обошлось, т.к. получить с десяток-другой реальных айпишников на все и вся как-то для IP v4 накладненько малость выходит :)

На вытье юзеров *с натом* вы можете посмотреть в любом форуме по сетям на юзеров билайна которых в ICQ не пускает.Регулярный вой, соответственно, обеспечен.Равно как не меньший вой начинается когда кто-то сильно борзый проабузит факт относительной  анонимности жпрс, насрет с него на энном ресурсе, операторский нат накрывают баном.Ну а дальше легион юзерья верещит везде "ой, за что нас так?!".Итого админы ресурсов попадают в ситуацию "поза рака".С одной стороны, забанить того кто гадит вроде бы надо.С другой стороны бан по IP неизбежно накрывает орду народа.А по другим критериям не очень эффективно, ибо менябельно.

>PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому
>проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по
>полтора-два года.

Да... у меня 2.4 используют только роутеры.Просто потому что его такое туда вендоры засунули в силу компактности :)

>Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  

Я как бы отлично в курсе.Более того, даже роутеры с ядром 2.4 как-то умудряются поддерживать IP v6 :).А ваша система не умудряется?Ну тогда извините.Я ее даже рассматривать не буду - мне дебиана с их нездоровым консерватизмом и так выше крыши хватает.

Я как бы отлично понимаю что проблем с этим протоколом - будет.Поэтому я пять раз подумаю до того как его вывесить всем подряд наружу и прочая.Но.Это не значит что я его не погоняю в какой-то приватной конфигурации, прикину как оно и, подождав когда основные грабли юзеры соберут лбами - приду и буду готов к тому чтобы его юзать.И как вы понимаете, ваша система с такой политикой тут не помощник.Вообще :P.

>Впрочем, убунтушнику можно и простить непонимание разницы... ;P

Мне почему-то казалось что вы умнее пальцатых пионеров клеящих ярлыки.После данной фразы мне что-то начинает казаться что зря.Или может быть тема задела за живое.Хрен вас там разберет.Только давайте вы за меня не будете домысливать в чем я разбираюсь, а в чем нет?А то некрасиво это выглядит.


"(offtopic) IPv6 и другие"
Отправлено Michael Shigorin , 09-Сен-08 19:57 
>>2 User294: да, я ещё помню правило сисадмина: "не тяни в рот
>>всё, что блестит".  Работает.

А, вот фортунка:

---
Где-то как-то прочитал вот такую хохмочку: "Hастоящий админ должен быть в
меру тормознутым" :) Т.е. не тащить тут же в рот, как дитя малое, каждую
новую блестящую игрушку.
---

>Выходя в сеть я хочу получить нормальный айпи.

Ну и получите-распишитесь, в чём проблема?  Выхожу, имею.  Доплачиваю лишних 5 грн (25 р) домопровайдеру -- потому как вижу для себя смысл.

Решительно не вижу проблемы. :)

>С которой и в ICQ не пустят

Давным-давно не использую.

>Далее все это смачно загремит в BL и отослать почту станет нереально

Почту из дому тоже практически не шлю.  Причём если приспичит, то релеев минимум два -- свой и провайдерский.

>Так долго продолжаться не может.

(пожимая плечами) Да ладно, вспомните ещё мои слова, когда у каждого юзерского тазика будет маршрутизируемый IP.

>>PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому
>>проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по
>>полтора-два года.

Кстати, позавчера хост выдал kernel panic -- в принципе, и так знал, что ovz@i586 тестируется по остаточному принципу, но на двухмоторной железке до сих пор проблем не наблюдал... пришлось вешать http://bugzilla.openvz.org/show_bug.cgi?id=1002, а ведь именно этот тазик доставлял меньше всех проблем.

>>Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  
>Я как бы отлично в курсе.Более того, даже роутеры с ядром 2.4
>как-то умудряются поддерживать IP v6 :).А ваша система не умудряется?

До modprobe ipv6 -- нет, конечно.  Начнёт умудряться -- напильником получит.

>>Впрочем, убунтушнику можно и простить непонимание разницы... ;P
>Мне почему-то казалось что вы умнее пальцатых пионеров клеящих ярлыки.

Ну... изредка достаю и ярлычницу.  Убунтушники нынче -- моя слабость, вместо как-то поредевших слакваристов и гентушников.

Кстати, мне тоже почему-то казалось, что Вы выше {много,голо}словности.  Какое-то время. :)

>Только давайте вы за меня не будете домысливать в чем я разбираюсь, а в чем нет?
>А то некрасиво это выглядит.

Согласен, давайте.  Как там -- they agreed to disagree. :)


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено User294 , 04-Сен-08 16:30 
>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>собираюсь возможно дольше

Удачного будущего вашим системам и все такое, но я боюсь что это приведет к ситуации "все ушли вперед но некоторые остались на допотопном уровне развития" :).А вы кернель случайно не 2.4 юзаете?А то мало ли чего там в этом новом 2.6 :)

> (if ever).

Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6. Хотя безусловно, нахрен IP всякие, можно быть и в области балета впереди планеты всей :))))


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 18:34 
>Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6.

Ааааа - ну так бы сразу и сказал - это твоя первая работа в ИТ и ты уж 3 дня как седожопый одмин :)
А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

:)

Ну а то что вендоры пишут про IPv6 сапортед, ну и ? Главное _как_ оно саппортед - если уж в Линуксах да *БСД постоянно находят косяки - сколько их в закрытых поделках типа кошек ... лучше даже не думать 8-\


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 00:24 
>Ааааа - ну так бы сразу и сказал - это твоя первая
>работа в ИТ и ты уж 3 дня как седожопый одмин
>:)

Да, IT это мой первый вид деятельности.Уже поболее десятка лет.А вот у вас кажется, какие-то комплексы по части возраста или опыта.Во всяком случае понтуетесь такой фигней вы а не я.В таких понтах обычно нуждаются чтобы убедить окружающих и самого себя в том что "я дескать, не пустое место!"... ;)

>А мы то помним что "IPv4 адреса почти кончились"
>(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

Если вы такие умные, то чего же строем не ходите?Посмотрите, в этом мире есть более миллиарда мобильников.И каждый потенциально может иметь IP адрес.То что через ж**у можно за счет натинга кое-как работать - да, можно.Как именно работать - понятно как.Совсем не так как задумывалось авторами протоколов.Итого большая часть сетевого кода нынче порой связана не с нетворкингом а с работой с вот этими вот костылями.Что?STUN?NAT-Traversal?Порт-форвард?UPnP?Какие клевые, свежие, чудесные костылики к протоколу который в мире где каждый таракан подключен к сети уже не справляется с этим напрямую :)

>Ну а то что вендоры пишут про IPv6 сапортед, ну и ?

Ну да.И бэкбоны запускают с V6 для прикола.Ага :)

>Главное _как_ оно саппортед - если уж в Линуксах да *БСД
>постоянно находят косяки - сколько их в закрытых поделках типа кошек
>... лучше даже не думать 8-\

В любом новом протоколе будут косяки.В IPv6 их будет много(хацкеры указывали на уязвимости и слабины, но на это забили).Придется порихтовать, как это было с IPv4.Такова жизнь.А то знаете, можно было бы до сих пор по вашей логике дудеть в телефонную линию на 300bps самой примитивной модуляцией.А то и вовсе морзянкой обойтись.А то в каком-нить wi-fi - столько косяков, что просто кошмар!И гигабитный эзернет не без проблем.Ужас!


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 05-Сен-08 17:52 
Я тут весь квотинг порипал :)

User294 - если ты проффи тогда ответь прямо - ты на продакшен системах, желательно имеющих прямое подключение в интернет (но не на роутерах) - держишь IPv6? Или нет?


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 05-Сен-08 00:38 
>[оверквотинг удален]
>работа в ИТ и ты уж 3 дня как седожопый одмин
>:)
>А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...
>
>:)
>
>Ну а то что вендоры пишут про IPv6 сапортед, ну и ?
>Главное _как_ оно саппортед - если уж в Линуксах да *БСД
>постоянно находят косяки - сколько их в закрытых поделках типа кошек
>... лучше даже не думать 8-\

по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги -- там упоминаний про ipv6 очень много :)


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:18 
>по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги
>-- там упоминаний про ipv6 очень много :)

Почитайте списки исправленных ляпов за время существования IPv4.Там немеряно дыреней заделано, при том никто даже не документировал в RFC или каком-то еще едином месте все это, исправляя грабли по мере нахождения.С IPv6 разумеется будет то же самое, даже хуже.Ну а какие еще варианты есть?Если не двигаться вперед - так до сих пор бы морзянкой только общались.Или в лучшем случае, модемами на 300bps.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Дмитрий Ю. Карпов , 05-Сен-08 10:48 
> Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.

Познакомишься со мной - будет второй. :)


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Александр Чуранов , 05-Сен-08 14:00 
>Познакомишься со мной - будет второй. :)

Я тоже обычно оставляю в ядре только то, что реально нужно. Ни больше, ни меньше. IP6 вещь хорошая, но мне пока не понадобилась.


"(offtopic) re: познакомиться"
Отправлено Michael Shigorin , 09-Сен-08 19:44 
>> Как минимум один знакомый специалист в информационной безопасности
>> не ленится собирать ядра вообще без IPv6 для своих систем.
>Познакомишься со мной - будет второй. :)

Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не собираетесь?


"(offtopic) re: познакомиться"
Отправлено Александр Чуранов , 09-Сен-08 21:12 
>Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не
>собираетесь?

К сожалению, нет.


"OpenNews: Три опасные уязвимости во FreeBSD"
Отправлено Guest , 04-Сен-08 15:44 
А реализации всех сетевых протоколов подвержены уязвимостям. Старичок TCP/IP несколько раз радовал DOS'ами на моем веку. SCTP когда в Linux реализовали - дырок сыпались просто тонны. IPv6 тоже не будет исключением.

"Три опасные уязвимости во FreeBSD"
Отправлено Имя , 04-Сен-08 12:19 
Нужно просто-напросто сделать такой компилятор,
чтобы уязвимости в принципе не могло возникнуть.

"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 12:28 
Компилятор не может обеспечить написание правильного кода.

"Три опасные уязвимости во FreeBSD"
Отправлено 111 , 04-Сен-08 12:28 
Лучше "сделай" программера который будет писать код без ошибок

"Три опасные уязвимости во FreeBSD"
Отправлено charon , 04-Сен-08 15:48 
>Нужно просто-напросто сделать такой компилятор,
>чтобы уязвимости в принципе не могло возникнуть.

есть мнение (не я придумал), что нужно менять архитектуру компов. Например, разделение памяти на код и данные, причем в области данных программы не могут выполняться. Ну и т.д.


"Три опасные уязвимости во FreeBSD"
Отправлено Vital , 04-Сен-08 15:55 
а щас оно как О_О?

"Три опасные уязвимости во FreeBSD"
Отправлено charon , 04-Сен-08 16:41 
>а щас оно как О_О?

а сейчас не так.


"Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 04-Сен-08 17:19 
>>а щас оно как О_О?
>а сейчас не так.

Не специалист, но не совсем "не так", как понимаю: http://en.wikipedia.org/wiki/W^X

Насчёт "программа -- не данные" не соображу сразу, что засвербило...


"Три опасные уязвимости во FreeBSD"
Отправлено Vital , 04-Сен-08 21:51 
сегмент кода, сегмент данных, сегмент стека - новые для тебя слова?

"Три опасные уязвимости во FreeBSD"
Отправлено vitek , 05-Сен-08 00:51 
это абстрактные понятия (сейчас говорят - виртуальные :-))
"легким движением руки" запускается код и из сегмента данных, и из стека...

"Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:28 
>"легким движением руки" запускается код и из сегмента данных, и из стека...

На новых процессорах с технологиями типа NX - не таким уж и легким насколько я знаю.
И еще, в случае IPv6 - компилер может быть сколько угодно раз правильным, а от логических ошибок это 1 хрен не спасет.А логических ошибок... там даже по просто RFCшному описанию хакеры уже веселостей с логическими ошибками нашли.А уж конкретным реализациям и вовсе достанется.А куда деваться?Жрать и дальше кактус IPv4 который уже сегодня в принципе имеет проблемы с тем чтобы произвольному девайсу (скажем, мобильнику) выдать собственный адрес?


"Три опасные уязвимости во FreeBSD"
Отправлено charon , 05-Сен-08 11:20 
>>"легким движением руки" запускается код и из сегмента данных, и из стека...
>
>На новых процессорах с технологиями типа NX - не таким уж и
>легким насколько я знаю.

Но вполне возможным. NX - это прикрученная приблуда, она изначально в архитектуре отсутствовала и является явно искусственным костылём.


"Три опасные уязвимости во FreeBSD"
Отправлено vitek , 05-Сен-08 11:22 
>На новых процессорах с технологиями типа NX - не таким уж и легким насколько я знаю.

но и не особо тяжелая. в общем академиком быть не обязательно. :-)
а тут ещё как то муссируется в разных журналах дырки в самом intel'овском cpu....
>И еще, в случае IPv6 - компилер может быть сколько угодно раз правильным, а от логических ошибок это 1 хрен не спасет....

а вот с этим никто и не спорит....


"Три опасные уязвимости во FreeBSD"
Отправлено Guest , 04-Сен-08 20:46 
А сейчас как, по-твоему? Курить любую доку по защищенному режиму.

"Три опасные уязвимости во FreeBSD"
Отправлено Александр Чуранов , 05-Сен-08 00:40 
>А сейчас как, по-твоему? Курить любую доку по защищенному режиму.

Да нет же, есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

Другое дело, что природа багов - это ошибки человека.

Рассмотрите следующий пример: злоумышленник выкладывает на сервере *png файл, вы скачиваете, а в просмотрщике картинок баг - определяет выполняемое с файлом действие по shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл есть, то всё, привет.

То есть одной аппаратной защитой и фишками языка или компилятора не обойтись. В приведённом выше примере переполнением буфера и не пахнет.

В принципе возможно построение системы, устойчивой к багам типа этого, но это ОЧЕНЬ дорого. И поддерживать систему будет ДОРОГО. На каждое изменение в конфигурации - аудит безопасности. Порт проапдейтился - зовите эксперта.

http://en.wikipedia.org/wiki/Harvard_architecture
http://www.analog.com/en/embedded-processing-dsp/sharc/conte...


"Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:32 
>в просмотрщике картинок баг - определяет выполняемое с файлом действие по
>shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл
>есть, то всё, привет.

Красивый пример логического бага ;).В IPv6 именно логических ошибок - предостаточно.


"На Гарвардской архитектуре не смогут работать компиляторы"
Отправлено Дмитрий Ю. Карпов , 05-Сен-08 11:00 
> есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

Отлично! А теперь объясните мне, как на такой архитектуре сможет работать компилятор! Надеюсь, Вы в курсе, что программы для всех гарвардских компьютеров делаются кросс-компиляторами?

А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре работать не смогут!

А может, на всех пользователей компьютеров наручники надеть: ;)


"На Гарвардской архитектуре не смогут работать компиляторы"
Отправлено vitek , 05-Сен-08 11:17 
>А может, на всех пользователей компьютеров наручники надеть: ;)

хорошая идея :-D


"На Гарвардской архитектуре не смогут работать компиляторы"
Отправлено Александр Чуранов , 05-Сен-08 14:03 
>А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже
>масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре
>работать не смогут!

Сам не знаю. Возможно, поклонники super harvard сказали бы "JIT в топку!". Мне самому интересно, как в память для исполнимого кода этот код попадает. Однако такие процессоры есть и в своих областях широко используются.


"Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:27 
>Нужно просто-напросто сделать такой компилятор,

Компилятор - не AI, ошибки в протокольной логике ЛЮБОМУ компилятору будут до балды, потому что в отличие от авторов протокола и реализаторов оного компилер думать не умеет.Что хуже, далеко не любой программер может подумать "а что будет если вон то значение в вон том поле будет не такое как ожидалось?".И вот такого типа ляпов в IPv6 будет немеряно.Даже без всяких переполнений буферов.На тематических ресурсах уже давно обсуждали ряд интересных атак на протокольную логику.Но на них что-то подзабили.Ну, вспомнят при массовом использовании, куда ж денутся?А массовое использование - не за горами.Если бэкбоны и клиентское оборудование протокол поддерживать начинают - тут все понятно уже.


"Три опасные уязвимости во FreeBSD"
Отправлено Anonymous , 04-Сен-08 12:50 
# grep ipv6_enable /etc/defaults/rc.conf
ipv6_enable="NO"                # Set to YES to set up for IPv6.

?


"Три опасные уязвимости во FreeBSD"
Отправлено Лше , 04-Сен-08 13:06 
># grep ipv6_enable /etc/defaults/rc.conf
>ipv6_enable="NO"            
>    # Set to YES to set up
>for IPv6.
>
>?

Так и есть.


"Три опасные уязвимости во FreeBSD"
Отправлено Anonymous , 04-Сен-08 13:13 
я про то, что пересобирать ядроо с миром не обязательно

"Три опасные уязвимости во FreeBSD"
Отправлено Sb , 04-Сен-08 13:57 
Да вот не совсем так. Если посмотреть rc.conf, который default, то там эта опция по умолчанию отключена, что не мешает некоторым службам слушать ipv6 сокеты. Выключать через sysctl - тоже не всё выключится. Всё же ядро - оно надёжнее и проще.

"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 04-Сен-08 18:45 
Что то поменялось в этом мире - _такая_ тема а все ведут себя прилично без соплей и наездов :-)

... либо Максим оперативно работает и режет балбесов :)


"Три опасные уязвимости во FreeBSD"
Отправлено Michael Shigorin , 04-Сен-08 19:15 
>Что то поменялось в этом мире - _такая_ тема а все ведут
>себя прилично без соплей и наездов :-)

Дык когда всё хорошо, можно и попинать друззски, а когда плохо -- не до того.

>... либо Максим оперативно работает и режет балбесов :)

Судя по почте, прибито пока только одно очевидно бессмысленное сообщение.


"Три опасные уязвимости во FreeBSD"
Отправлено User294 , 05-Сен-08 01:40 
>Что то поменялось в этом мире - _такая_ тема а все ведут
>себя прилично без соплей и наездов :-)

Секурити - само по себе не особо выигрышная тема для понта - сегодня понаезжаешь как у других все плохо.А завтра в огород твоей любимой системы тоже сгрузят булыжников - будешь чувствовать себя дураком (если наглость не совсем мозг съела).Более того, в случае с IPv6 это еще и почти гарантировано.


"Три опасные уязвимости во FreeBSD"
Отправлено vitek , 05-Сен-08 11:27 
>Более того, в случае с IPv6 это еще и почти гарантировано.

причём всем и на любой ОС


"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 05-Сен-08 17:41 
Чёрт! У этого мира есть шанс :)
Просто помнится как именно это и происходило всегда даже при секьюрити дырах ...

Всё таки OpenNET - лучшее место пообщаться для тех кто реально делает IT!


"Три опасные уязвимости во FreeBSD"
Отправлено Аноним , 05-Сен-08 07:02 
Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный выход в моем случае пересборка ядра без поддержки ipv6?

"Три опасные уязвимости во FreeBSD"
Отправлено grayich , 05-Сен-08 07:20 
5-тая ветка уже не поддерживается, желательно обновить ее до (скоро выйдет) 6.4 или 7.1
не факт, что эта уязвимость есть в 5.x но если есть то да, пересобрать ядро без ipv6

з.ы.
кстати да, зря ipv6 по умолчанию включенна, всеравно в 97% ее отключают


"Три опасные уязвимости во FreeBSD"
Отправлено oops , 06-Сен-08 22:10 
>Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В
>новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный
>выход в моем случае пересборка ядра без поддержки ipv6?

Пятая ветка официально не поддерживается больше. Нет никакого смысла на ней сидеть.