форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Удаленное выполнение кода в OpenBSD в установке по..."

Сообщение от opennews (??) on 14-Мрт-07, 16:50

В OpenBSD начиная с версии 3.1 присутствует (http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1703) критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код в системе с привилегиями ядра, путем отправки специальным образом подготовленного ICMPv6 пакета. IPv6 стек активен в ядре OpenBSD по умолчанию. В качестве временного решения предлагается блокировка IPv6 трафика. В /etc/pf.conf следует добавить "block in inet6". URL: http://secunia.com/advisories/24490/ Новость: http://www.opennet.me/opennews/art.shtml?num=10116

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от йопт (??) on 14-Мрт-07, 16:50

ай-ай-ай... таки нашли в дефолтной установке дырочку

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от pavel_simple (ok) on 14-Мрт-07, 16:52
	нифига себе "дырочка"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Аноним on 14-Мрт-07, 19:34
	Начинаем меряться дырками? Ай, щас линуху-то в разнос пустють...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Анонимус on 15-Мрт-07, 10:37
	Давайте, пускайте уж.А то что-то припоминаются локальные уязвимости всякие и прочая лажа, а вот таких ужосов - что-то не богато в последнее время.Может, я просто чего-то не заметил?... :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от GateKeeper (??) on 15-Мрт-07, 16:27
	Там до сих пор значатся как непатченные уйма дыр. Подробности на secunia.com. И не надо говорить про то, что, якобы, в большинстве случаев эти дыры неюзабельны... шестой IP тоже практически не юзабелен на сегодня, однако из-за одной всего дыры тут начали меряться дырками...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от FFFFFE on 15-Мрт-07, 23:09
	Неюзабелен?А как же я чувака в ирц видел сидящего с адреса IPV6?Что-то тут не так.Наверное имелось в виду что "мало используется".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от glyph on 14-Мрт-07, 17:00

Зато девиз оперативно обновили. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Аноним on 14-Мрт-07, 17:07
	>Зато девиз оперативно обновили. :) Даешь смену лозунга на "самые свежие удаленные дыры в дефолтовой установке" :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от Аноним on 14-Мрт-07, 18:34

Злорадствовать каждый м-к может.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от Jelis (ok) on 14-Мрт-07, 19:48

Как я понимаю, ip6 по интернету не роутиться? И этой дыркой можно только локально воспользоваться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Skif (ok) on 15-Мрт-07, 01:31
	Просто v6 пока никто активно не пользует. так что счастья от дырки... хм... никакого, если шел уже не получил на уязвленной системе и не можешь это сделать локально. Да вот тока смысл? Шел-то, есть...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Jelis (ok) on 15-Мрт-07, 14:52
	Не, ну локально всетаки я имел ввиду в "локальной сети". Потому как по эзернету в одном сегменте IP6 пакеты прекрасно проходят, и с другого компа в этой же локальной сети эксплойт работать будет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от Zert on 15-Мрт-07, 08:00

Те, кто злорадствует, сами ничего сложнее хеловорда не писали. Разработка сложных систем требует выдержки и кропотливой работы, и написать абсолютно бездырную и безбажную систему не получится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Moralez (??) on 15-Мрт-07, 09:03
	В постфиксе разве были дырки хоть раз за всю историю?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Zert on 15-Мрт-07, 10:29
	Если дырки никто не находил, это не значит, что их нет :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "касательно выдержки"
	Сообщение от Michael Shigorin on 15-Мрт-07, 10:32
	Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки есть. В данном случае занимателен не технический аспект, а отношение авторов к детищу и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от. But as we know, pride comes before a fall. PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была сознательно и прокомментированно отменена, так что в 4.0 будет off by default.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "касательно выдержки"
	Сообщение от Zert on 15-Мрт-07, 11:55
	Это верно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "касательно выдержки"
	Сообщение от rii (ok) on 15-Мрт-07, 12:55
	>Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот >же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки >есть. > >В данном случае занимателен не технический аспект, а отношение авторов к детищу >и другим: "мы пишем для себя и мы самые крутые, а >вы все сосунки".  В отличие от. > >But as we know, pride comes before a fall.    Можно линки на эту информацию? > >PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT >Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была >сознательно и прокомментированно отменена, так что в 4.0 будет off by >default.    Возможно они при включении его в ядро думали о преимуществах в безопасности IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение повлияли даже личные мотивы etc. off by default не будет, потому что залатали дыру  openbsd.org/errata.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "касательно выдержки"
	Сообщение от Michael Shigorin on 16-Мрт-07, 09:16
	>>В данном случае занимателен не технический аспект, а отношение авторов к детищу >>и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от. >>But as we know, pride comes before a fall. >   Можно линки на эту информацию? Можно, хотя отчасти это просто половина опыта общения с deraadt@: http://kerneltrap.org/node/7729 http://lwn.net/Articles/225946/ (это про тайминги работы с данной уязвимостью -- тоже pride, хотя надо отдать должное -- преодолённая) >>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT >>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была >>сознательно и прокомментированно отменена, так что в 4.0 будет off by >>default. >Возможно они при включении его в ядро думали о преимуществах в безопасности >IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение >повлияли даже личные мотивы etc. Я, не будучи сетевиком, не знаю ни одного преимущества в безопасности IPv6.  То, что там  нет довольно существенной меры прикрытия фактических проблем "беспризорных" хостов в виде NAT -- знаю.  То, что более сложная форма записи более сложных параметров всегда будет приводить к большему количеству чисто человеческих ошибок -- знаю.  Но это недостатки, а не преимущества. (btw буду благодарен за ссылку на сравнение прикладной безопасности, если вдруг кто-нибудь встречал "для посторонних") >off by default не будет, потому что залатали дыру  openbsd.org/errata.html Гм, Вы из openbsd?  Обычно дефолты в таких случаях коррелируют с подозрением на проблемность, а не с заткнутостью уже известных проблем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "касательно выдержки"
	Сообщение от citrin (??) on 16-Мрт-07, 11:45
	> (btw буду благодарен за ссылку на сравнение прикладной >безопасности, если вдруг кто-нибудь встречал "для посторонних") > Не совсем сравнение, но кое что есть: http://www.securitylab.ru/contest/264659.php
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "(_) ipv6 (*) security"
	Сообщение от Michael Shigorin on 16-Мрт-07, 21:47
	>> (btw буду благодарен за ссылку на сравнение прикладной >>безопасности, если вдруг кто-нибудь встречал "для посторонних") >Не совсем сравнение, но кое что есть: >http://www.securitylab.ru/contest/264659.php Спасибо (комментарии тоже стоило почитать, особенно третью страницу).  Т.е. я представлял себе примерно треть проблем этого overengineered поделия, и причём далеко не самую худщую... Тем более не вижу поводов поднимать по умолчанию или из любопытства.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от rii on 15-Мрт-07, 09:08

>В постфиксе разве были дырки хоть раз за всю историю? http://osvdb.org/searchdb.php?action=search_title&vuln_title=postfix&Search=Search

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от rii on 15-Мрт-07, 09:12

2(!!) удалённых уязвимости в установки по умолчанию с 1995 года. Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от Moralez (??) on 15-Мрт-07, 09:59
	>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года. >Кто покажет ОС готовую к промышленному использованию с подобными результатами?! В том же FreeBSD дырок не больше, просто дефолты другие (кого они вообще интересуют? мы же настроим всё).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"
	Сообщение от rii (ok) on 15-Мрт-07, 12:59
	>>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года. >>Кто покажет ОС готовую к промышленному использованию с подобными результатами?! > >В том же FreeBSD дырок не больше, просто дефолты другие (кого они >вообще интересуют? мы же настроим всё).       Путь самурая не всегда приемлем. Особенно когда времени не много.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"

Сообщение от Sivolday (??) on 15-Мрт-07, 21:05

Как раз сегодня с коллегами обсуждали подобную тему. Натолкнула на нее фраза из Дейтелов про то, что "алгоритм работает, но формальное доказательство того, что он работает, является весьма нетривиальным". И договорились, развивая тему, до того, что более менее сложная система вообще не может работать, так как корректное с математической точки зрения доказательство того, что все замысловатые алгоритмы, а точнее их реализации, в связке заработают, практически невозможно. Но ведь работают! В конце смягчили, типа, предложили гипотезу: если задаться определенным уровнем сложности, то с высокой долей вероятности можно утверждать, что сложная система имеет ошибки проектирования и реализации, а, следовательно, уязвимости. В общем, можно было не начинать, потому что это и так всем ясно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]