URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94976
[ Назад ]

Исходное сообщение
"Опасная удалённая уязвимость в ядре Linux"

Отправлено opennews , 19-Мрт-14 21:27 
В ядре Linux исправлена (http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g... опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP (http://ru.wikipedia.org/wiki/DCCP). При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.


Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена (http://marc.info/?l=oss-security&m=139505166223811) как уязвимость только в минувший понедельник.  За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-2523), SuSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-2523), Debian (https://security-tracker.debian.org/tracker/CVE-2014-2523), Ubuntu (http://people.canonical.com/~ubuntu-security/cve/2014/CVE-20....


В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

<font color="#461b7e">
    iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK
</font>


URL: http://marc.info/?l=oss-security&m=139507011230794
Новость: http://www.opennet.me/opennews/art.shtml?num=39355


Содержание

Сообщения в этом обсуждении
"Опасная удалённая уязвимость в ядре Linux"
Отправлено Фыр , 19-Мрт-14 21:34 
Ага, 5 лет калитка нараспашку и никто туда не зашёл.
Я вообще про этот протокол впервые слышу.
Он хоть где-то используется?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:53 
> Он хоть где-то используется?

Проверил - фигЪ. OpenWRT на роутерах - нету. Десктопы с *бунту - нету. Серваки с дебианом и ubuntu - нету. Всякая эмбедовка, N900 - аналогично. DCCP - редкий вид. Хватай, а то убежит.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 10:28 
Ему ине надо использоваться, чтоб хакнуть твою систему.
Как я понял, если разрешать только tcp/udp/icmp и дропать все остальное, то обработка других пакетов в contrack все равно идет?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Michael Shigorin , 20-Мрт-14 16:23 
> Ему ине надо использоваться, чтоб хакнуть твою систему.

Даже если nf_conntrack_proto_dccp не загружен?  Ну попробуйте.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено azure , 20-Мрт-14 10:59 
> Ага, 5 лет калитка нараспашку и никто туда не зашёл.

Как можно знать что никто не зашел? Никто не сказал, что зашел.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:41 
DCCP практически не используется

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:42 
А оно выключено по-умолчанию?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено backbone , 19-Мрт-14 21:50 
Не включено.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:51 
Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
Загружается автоматически.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено backbone , 19-Мрт-14 21:53 
> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.

Странно, в Debian не загружается. В Gentoo вообще *DCCP*=n. Какой дистрибутив?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:54 
> Странно, в Debian не загружается.

И в *buntu тоже. И вообще, я ни 1 машины с этим модулем не нашел, даже среди всякой эмбедовочной экзотики.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено AlexAT , 19-Мрт-14 21:53 
> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.

В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:27 
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

Ага, в openwrt по дефолту вражеского модуля тоже нету. Так что домашние роутеры с openwrt тоже не вы#$%т. Это хорошо.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 10:31 
>> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
>> Загружается автоматически.
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

В убунте один модуль nf_conntrack, который обрабатывает все соединения. Значит в дебиане тоже.



"Опасная удалённая уязвимость в ядре Linux"
Отправлено ZloySergant , 19-Мрт-14 22:31 
>Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.

Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

P.S. Я - не про одмина локалхоста.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 00:14 
> Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опциями.

Вы путаете админов с гентушниками.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Perl_Jam , 20-Мрт-14 03:23 
а вы путаете грешное с праведным или теплое с мягким. если конкретно для вас не нужен специфичный тюнинг ядра - это еще ни о чем не говорит. как, впрочем, ничего не говорит о людях, собирающих кернел самостоятельно. и кто из вас _о_дмин? гентушники, в большинстве случаев, хоть отдают себе отчет,что они делают и зачем. школоло не в счет, оно любой дистр может загадить. пусть и в процессе познания.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено volax , 20-Мрт-14 08:20 
А вы вообще всё путаете.
Грешное и праведное - антонимы, а теплое и мягкое - нет.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 21:30 
> а вы путаете грешное с праведным или теплое с мягким. если конкретно
> для вас не нужен специфичный тюнинг ядра - это еще ни
> о чем не говорит.

Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра.
Наверное, собираете "только нужные модули", причем монолитно, и надеетесь, что оно будет работать быстрее?

> гентушники, в большинстве случаев, хоть отдают себе отчет,что они делают и зачем.

Возможно. Но к реальной работе админа то, что делают гентушники, относится довольно слабо.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено arisu , 20-Мрт-14 08:27 
> Вы путаете админов с гентушниками.

нет, это ты отчего-то считаешь эникейщиков админами.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 21:27 
> нет, это ты отчего-то считаешь эникейщиков админами.

Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очень часто и активно этим занимаются. Мудрость приходит только с годами.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Led , 21-Мрт-14 08:33 
> Мудрость приходит только с годами.

Не факт. Обычно не приходит.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 22-Мрт-14 19:26 
даже фтп не загружается, а уж это...

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:52 
> Не включено.

как узнать ?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено backbone , 19-Мрт-14 21:54 
>> Не включено.
> как узнать ?

lsmod | grep -i dccp.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:58 
>>> Не включено.
>> как узнать ?
> lsmod | grep -i dccp.

Это выдаст только текущее состояние, которое может измениться в любой момент.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено AlexAT , 19-Мрт-14 22:01 
> Это выдаст только текущее состояние, которое может измениться в любой момент.

Для полной уверенности, если конечно как модуль собрано:
lsmod | grep dccp (ничего не должно быть)
find /lib/modules -iname \*dccp\* -delete

Где не собрано, как модуль - ну ссзб, увы.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Perl_Jam , 20-Мрт-14 03:30 
>> Это выдаст только текущее состояние, которое может измениться в любой момент.
> Для полной уверенности, если конечно как модуль собрано:
> lsmod | grep dccp (ничего не должно быть)
> find /lib/modules -iname \*dccp\* -delete
> Где не собрано, как модуль - ну ссзб, увы.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Perl_Jam , 20-Мрт-14 03:32 
>> Это выдаст только текущее состояние, которое может измениться в любой момент.
> Для полной уверенности, если конечно как модуль собрано:
> lsmod | grep dccp (ничего не должно быть)
> find /lib/modules -iname \*dccp\* -delete
> Где не собрано, как модуль - ну ссзб, увы.

единственное, что хотел бы заметить, вы часто используете модули на боевых серверах?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 22-Мрт-14 19:30 
просто в blacklist его вписать и все.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено PavelR , 19-Мрт-14 22:01 

Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной, какой механизм сработает?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:10 
Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем больше модулей conntrack - тем лучше.
Это как пример.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:56 
> Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем
> больше модулей conntrack - тем лучше.

Лишний повод не использовать такие морды.



"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 23:55 
> Лишний повод не использовать такие морды.

Золотые слова. Жаль, эникеи их не оценят :(


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 00:11 
> Золотые слова. Жаль, эникеи их не оценят :(

Ну если кто не хочет платить нормальному админу - он получает то что получает. Например, админа который зачем-то коннтрекает DCCP...


"Опасная удалённая уязвимость в ядре Linux"
Отправлено XoRe , 24-Мрт-14 15:54 
> Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной,
> какой механизм сработает?

iptables -L -t nat


"Опасная удалённая уязвимость в ядре Linux"
Отправлено backbone , 19-Мрт-14 22:04 
>>>> Не включено.
>>> как узнать ?
>> lsmod | grep -i dccp.
> Это выдаст только текущее состояние, которое может измениться в любой момент.

Если сервер работает месяцами и данный модуль не потребовался за это время, велика вероятность, что ни чем не используется...


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:33 
> Это выдаст только текущее состояние, которое может измениться в любой момент.

1) В нормальной ситуации такие модули на ходу не загружаются.
2) Если у вас ненормальная ситуация, загрузку модулей можно запретить, вплоть до перезагрузки.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено rihad , 22-Мрт-14 17:46 
Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP пакете.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:00 
Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я лично эту минорщину даже не собираю никогда.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:34 
> Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я
> лично эту минорщину даже не собираю никогда.

В *бунтах и дебиане этот модуль по дефолту тоже не активен. В openwrt - аналогично.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Khariton , 19-Мрт-14 23:52 
ну сам по себе модуль есть...
cat /boot/config-3.11.0-18-lowlatency | grep  DCCP
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
# CONFIG_IP_DCCP_CCID3 is not set
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
CONFIG_NET_DCCPPROBE=m

только вот вероятность его запуска какова?
надо его прописать в блэклист наверно для пущей уверенности...


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 23:57 
> только вот вероятность его запуска какова?

Если у вас нет всяких умных морд к фаерволу - близка к нулю.

> надо его прописать в блэклист наверно для пущей уверенности...

Бессмысленно. blacklist используется в основном udevом, а он не занимается сетевыми протоколами.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено vlikhachev , 19-Мрт-14 21:49 
А что, есть самураи, использующие DCCP через NAT в офисе?
"Use streaming media, multiplayer online games and Internet telephony"

Я, например, DCCP не использую на службе. Возможное исключение - SIP, но там внешние соединения ограничены серверами провайдеров (я их клиент, если что).
Вообще говоря, слушать радио онлайн и играть в инет игры для офиса несколько странно...


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 09:07 
> радио онлайн и играть в инет игры для офиса несколько странно...

Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем. Но и тут сабж не при чем, ибо у всех почти поголовно стоит Windows.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 21:36 
> Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем.

Нет. Реорганизуют и сокращают как раз тех, кто работает. Бездельников и распильщиков трогать низя, они самые ценные люди.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 01:56 
А представьте что в проприетарном закрытом коде творится! :)

"Опасная удалённая уязвимость в ядре Linux"
Отправлено commiethebeastie , 20-Мрт-14 08:58 
Локалхостеры-гентушнеки они такие.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено nataraj , 19-Мрт-14 21:34 
Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?

А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:37 
А NAT на каком ядре работает ?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:56 
> Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22
> порт, то оно может через него пробраться?

Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя.

> А как на счет роутера с линуксом на борту? На нем тоже
> безобразия будут?

Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:37 
> Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m"
> - значит, подвержено.

...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:11 
Если на 22 порту использовать DCCP то может. Но обычно там используют SSH. Бояться нужно бардака с паролями, и 22 порт пробросить через порты выше 1000.
Проблемы поддержки dccp в Вашем роутере Вам не грозят, у Вас квалификации не хватит этот протокол там задействовать.
Позабавили вопросом однако. :)

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:16 
> Если на 22 порту использовать DCCP то может. Но обычно там используют SSH.
> на 22 порту
> DCCP
> у Вас квалификации не хватит этот протокол там задействовать.

Сказал человек, только что перепутавший транспортный уровень с сетевым.

> Позабавили вопросом однако. :)

Да :)


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:16 
> Сказал человек, только что перепутавший транспортный уровень с сетевым.

*прикладным

> Да :)

Теперь и я тоже :)


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 11:56 
Да.
Да. Да.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено AlexAT , 19-Мрт-14 21:46 
Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.

blacklist dccp
blacklist nf_conntrack_dccp
blacklist xt_dccp


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:50 
тоже подумал что не обязательно делать NOTRACK

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:53 
> Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили
> каждый месяц.
> blacklist dccp
> blacklist nf_conntrack_dccp
> blacklist xt_dccp

Отличная шутка.
blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной, если указан ключ -b).
На автоподгрузку модулей сетевых протоколов это никак не влияет.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено AlexAT , 19-Мрт-14 21:56 
> Отличная шутка.
> blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной,
> если указан ключ -b).
> На автоподгрузку модулей сетевых протоколов это никак не влияет.

Согласен, не панацея.

Поскольку конфиги у меня известные - я точно знаю, что автоподгрузка, к примеру, из iptables - не произойдёт. А вот на этапе начальной загрузки блеклист не мешает. На всякий случай.

Для полной уверенности, если конечно как модуль собрано:
find /lib/modules -iname \*dccp\* -delete


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:38 
> На автоподгрузку модулей сетевых протоколов это никак не влияет.

Осталось только найти где она делается и почему.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено pavlinux , 21-Мрт-14 16:51 
Ты с SCTP перепутал.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:49 
А как насчет роутеров с OpenWRT(да и не только!) на борту?
Даже если и выйдет патч/заплатка, как её применить без перепрошивки?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Sonnix , 19-Мрт-14 22:09 
Проверил на OpenWRT 12.09 и на текущем trunk. Он собран без поддержки dccp так что уязвимости не подвержен.
Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия dccp iptables выдаст unknown protocol "dccp" specified.
И в чем собственно великая проблема обновить прошивку?

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:14 
> Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия
> dccp iptables выдаст unknown protocol "dccp" specified.

Это зависит не от наличия модуля, а от наличия протокола в /etc/protocols.
Внутри netfilter протоколы транспортного уровня идентифицируются по номерам. Даже если есть модуль для протокола 33, при отсутствии нужной записи в protocols, iptables просто не поймет, что такое "-p dccp".


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Sonnix , 19-Мрт-14 22:25 
Из конфига ядра openwrt:
# CONFIG_NF_CT_PROTO_DCCP is not set
# CONFIG_NETFILTER_XT_MATCH_DCCP is not set
# CONFIG_IP_DCCP is not set

Так что по умолчанию поддержки быть не должно. Соответствующих модулей в собранной системе нет.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:27 
> Из конфига ядра openwrt:

Это уже другой разговор.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:18 
> И в чем собственно великая проблема обновить прошивку?

Куча настроек на роутере, и сам роутер в удаленном филиале. Например.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Sonnix , 19-Мрт-14 22:34 
На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования. Проблем с сохранением и восстановлением настроек после прошивки нет.
Так же если есть удаленный доступ к маршрутизатору его можно прошить без физического доступа к устройству  например по ssh через sysupgrade. sysupgrade так же умеет сохранять настройки при обновлении прошивки. Единственная проблема если что-то во время прошивки пойдет не так что без физического доступа возможно не получится восстановить маршрутизатор. Но никто не мешает до обновления проверить процесс прошивки на аналогичном устройстве к которому доступ есть.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:43 
> Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

В openwrt есть режим сохранения настроек :-). Ну и если совсем уж прижало - можно образ кастомный собрать. Впрочем, для начала там по дефолту нет проблемного модуля - смысл чинить то что не сломано?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 21:57 
ЖУтко опасная. Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

// b.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:11 
> Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

Суть новости в том, что так должно оставаться и дальше.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 19-Мрт-14 22:46 
> Суть новости в том, что так должно оставаться и дальше.

А зачем вам сетевые модули трекинга соединений "про запас"? Чтобы увеличить шансы на получение ручкой грабель в лоб?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено emg81 , 19-Мрт-14 23:26 
$ zgrep -i dccp /proc/config.gz
# CONFIG_IP_DCCP is not set

раз не нужно - то выключено. и нет проблем.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено анон , 20-Мрт-14 06:46 
# zgrep -i dccp /proc/config.gz
# CONFIG_IP_DCCP is not set

"Опасная удалённая уязвимость в ядре Linux"
Отправлено arzeth , 20-Мрт-14 07:08 
у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Адекват , 20-Мрт-14 08:11 
Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 09:16 
> Ну что за уроды ? неужели трудно было в заголовке написать "DCCP
> ?", я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.

Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что написали.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 09:46 
Использовать нормальную CMS - это тоже wrong way. True way - это собирать HTML вручную, причем игнорировать достижения WEB дизайна за последние 30 лет.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено arisu , 20-Мрт-14 09:52 
> причем игнорировать достижения WEB дизайна

вот это очень правильный способ. чем больше эти «достижения» игнорируются — тем лучше.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 21:32 
> вот это очень правильный способ. чем больше эти «достижения» игнорируются —
> тем лучше.

Будь не таким, как все! Борись с системой!


"Опасная удалённая уязвимость в ядре Linux"
Отправлено arisu , 20-Мрт-14 21:42 
(пожимает плечами) борись. разрешаю.

"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 21:34 
> я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.

Вообще-то, все так и есть (за исключением iptables) :)


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Нанобот , 20-Мрт-14 10:38 
>Опасная удалённая уязвимость в ядре Linux

удалённая - да, опасная - нет


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 21-Мрт-14 00:32 
> удалённая - да, опасная - нет

Кому и кобыла невеста. По линуксовым меркам, даже сабж уже событие. Потому что 99% обнаруживаемых там уязвимостей еще менее опасны на практике.


"Опасная удалённая уязвимость в ядре Linux"
Отправлено Аноним , 20-Мрт-14 10:46 
- dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
+ dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);

:(


"Опасная удалённая уязвимость в ядре Linux"
Отправлено vi , 20-Мрт-14 14:38 
> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
> :(

Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
Кто прошляпил (может быть)?


"Опасная удалённая уязвимость в ядре Linux"
Отправлено pavlinux , 23-Мрт-14 02:32 
>> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
>> :(
> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> Кто прошляпил (может быть)?

Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...

commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
Author: Patrick McHardy <kaber@trash.net>
Date:   Thu Mar 20 15:15:55 2008 +0100

[NETFILTER]: nf_conntrack: add DCCP protocol support
    
Add DCCP conntrack helper.
Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.
    


"Опасная удалённая уязвимость в ядре Linux"
Отправлено AlexAT , 23-Мрт-14 12:16 
C 2008 года оно тупо никому не нужно было. LOL'd

"Опасная удалённая уязвимость в ядре Linux"
Отправлено vi , 23-Мрт-14 16:03 
>[оверквотинг удален]
>>> :(
>> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> Кто прошляпил (может быть)?
> Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...
> commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
> Author: Patrick McHardy <kaber@trash.net>
> Date:   Thu Mar 20 15:15:55 2008 +0100
> [NETFILTER]: nf_conntrack: add DCCP protocol support
> Add DCCP conntrack helper.
> Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.

Видать у парня клавиша минус продавлена, наверное много кодит. Или крошка под клавишу закатилась!
Вот только один вопрос, как тестируют? Или главное ввязаться, а там само понесет?
Ведь бывают же случаи, напишет человек программу, а она возьми и с первого раза работает и без ошибок ;)


"Опасная удалённая уязвимость в ядре Linux"
Отправлено pavlinux , 21-Мрт-14 16:58 
> iptables -t raw -I OUTPUT -p dccp -j NOTRACK

Кстате, а чё не POSTROUTING?

iptables -t raw -I POSTROUTING -p dccp -j NOTRACK

Выходящие из FORWARD проскакивают OUTPUT мимо.  


"Опасная удалённая уязвимость в ядре Linux"
Отправлено pavlinux , 23-Мрт-14 02:20 
Хе... в raw нету же POSTROUTING

... а это идея ]:->