The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Три опасные уязвимости во FreeBSD

04.09.2008 09:09

Во FreeBSD обнаружены три новые уязвимости:

  • "amd64 swapgs local privilege escalation " - локальный злоумышленник может выполнить код в системе с привилегиями ядра (root), изменив состояние стека пользовательского приложения и инициировав GPF (General Protection Fault) в момент передачи управления приложению, после обработки ядром прерывания, trap или системного вызова. Уязвимости подвержена только amd64 сборка всех поддерживаемых версий FreeBSD. Проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.
  • "nmount(2) local arbitrary code execution" - возможность выполнения кода локального злоумышленника в контексте ядра, в случае когда непривилегированным пользователям предоставлена возможность монтирования файловых систем. Уязвимость вызвана ошибкой в системном вызове nmount, передающем пользовательские данные ядру без надлежащей проверки границ. Проблеме подвержена только ветка FreeBSD 7, исправление внесено в 7.0-RELEASE-p4. В качестве временного решения можно запретить операции монтирования пользователям: "sysctl vfs.usermount=0".
  • "Remote kernel panics on IPv6 connections " - удаленный злоумышленник может вызвать крах ядра (kernel panic), отправив по сети специальным образом модифицированный IPv6 (ICMPv6) пакет. Обязательным условием проявления уязвимости является необходимость наличия в системе IPv6 TCP сокетов, принимающих внешние соединения. Уязвимости подвержены все поддерживаемые версии FreeBSD, проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.

    1. Главная ссылка к новости (http://www.freebsd.org/securit...)
    2. How to break out of a chroot() jail
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/17713-security
    Ключевые слова: security, freebsd
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (73) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, i (??), 09:39, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    есть эксплойты ?
     
     
  • 2.3, Станислав (?), 09:46, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то ну очень специфичные уязвимости...
    Кроме amd64 и то...
     
     
  • 3.31, daevy (?), 14:01, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    что тут специфичного:-) монтировать чтолибо приходится часто (шары, флэшки) и прилететь ipv6 пакет тоже может запросто
     
     
  • 4.60, IIIenapg (?), 02:03, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам себя что ли ломать собрался при монтировании? А для успешной реализации третьей уязвимости необходимо наличие открытого IPv6 TCP сокета.
     

  • 1.2, Аноним (-), 09:45, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть обновление...
     
  • 1.4, Умник (?), 09:46, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если есть уязвимости - можно реализовать эксплойты!
     
  • 1.6, spamtrap (ok), 09:52, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там включено?
     
     
  • 2.7, Alex (??), 09:59, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да
     
  • 2.8, grayich (ok), 10:00, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да
     
  • 2.9, uldus (ok), 10:01, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там
    >включено?

    IPv6 включено и ssh на ipv6 порт по дефолту биндится.

     
     
  • 3.19, earfin (??), 11:13, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    жесть... одно радует - ipv6 ещё слабо распространён
     
     
  • 4.73, Клыкастое (?), 15:58, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    одно радует. вменяемые люди во время установки то, что не используют отключают. вплоть до пересборки ядра без ipv6
     

  • 1.10, Chirok (?), 10:04, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # В качестве временного решения можно запретить операции монтирования пользователям: "sysctl vfs.usermount=0". #
    Если не включать, то по умолчанию отрублено
     
  • 1.11, Аноним (11), 10:09, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы ребята. Нашли и тут же устранили.
     
     
  • 2.12, Аноним (-), 10:21, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Молодцы ребята. Нашли и тут же устранили.

    это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как были сделаны фиксы, а не сразу по нахождению уязвимости.

     
     
  • 3.13, Bocha (??), 10:26, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Молодцы ребята. Нашли и тут же устранили.
    >
    >это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
    >были сделаны фиксы, а не сразу по нахождению уязвимости.

    Что-то не пойму, из чего это следует?

     
  • 3.15, cvsup (ok), 10:28, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Молодцы ребята. Нашли и тут же устранили.
    >
    >это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
    >были сделаны фиксы, а не сразу по нахождению уязвимости.

    Уязвимости опубликованы в тот же день после внесения исправлений в CVS

     

  • 1.14, atnt (?), 10:27, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ёклмн... security advisories уже давно на сайте лежат. Зачем людей пугать
     
     
  • 2.18, spamtrap (ok), 11:11, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да кому тот сайт нужен?!! а вот пофлудить на форумах - это святое :)
     

  • 1.16, charon (ok), 10:52, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям. Во всех распространённых ОС. Лично я пока везде поддержку этого протокола отрубаю (хотя нутром понимаю, что пора начинать экспериментировать).
     
     
  • 2.17, Andrey Mitrofanov (?), 10:59, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.

    Обычные "детские болезни": новая свистелка, реальных пользователей мало, код, написанный кодерами, тестируется в реальных условиях мало - качество кода "какое есть".

    > Во всех распространённых ОС.

    И в нераспространённых, наверное, тож, по логике. Только они вообще никому не нужны...

     
  • 2.20, Michael Shigorin (ok), 12:14, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.
    >Во всех распространённых ОС.
    >Лично я пока везде поддержку этого протокола отрубаю

    Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не собираюсь возможно дольше (if ever).

    Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.

     
     
  • 3.27, charon (ok), 13:13, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
    >собираюсь возможно дольше (if ever).

    Федора и ЦентОС используют по умолчанию, приходится вырубать.

    >Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра
    >вообще без IPv6 для своих систем.

    Во Фре я всегда пересобираю ядро и там не включаю. Я там включаю только то, что нужно :)

     
     
  • 4.38, Michael Shigorin (ok), 17:13, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
    >>собираюсь возможно дольше (if ever).
    >Федора и ЦентОС используют по умолчанию, приходится вырубать.

    Их не применяю по более веским причинам...

    2 User294: да, я ещё помню правило сисадмина: "не тяни в рот всё, что блестит".  Работает.

    > а костыли с натами доходят до маразма

    Вы, боюсь, слабо себе представляете, каким благом сейчас является NAT и как взвоют без него.

    PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по полтора-два года.

    Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  Впрочем, убунтушнику можно и простить непонимание разницы... ;P

     
     
  • 5.40, vitek (??), 17:42, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Michael Вы всегда отличались культурностью в комментариях. (в отличае от меня. каюсь :-))
    так что случилось на этот раз?

    у меня прекрасно 2.4 живет на wl500gp (http://wl500g.info/forumdisplay.php?f=86)
    и менять его там и не собираюсь.
    а вот поставить 2.4 на мой новый ноут меня никто не уговорит. (если только в виртуалку)

    а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

     
     
  • 6.41, Michael Shigorin (ok), 18:05, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >так что случилось на этот раз?

    В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития" некоторых можно сильно дольше, чем, скажем, "современной форумной субкультурой" и безглазыми шмайлами.  До потопа-то из рек пить можно было, а сейчас грамотные люди вон "считываются".

    >у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

    Работает -- не трогай ;)

    >а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

    Ну вот я это "всё равно будем" if any, форсировать и не собираюсь.  Не для людей оно.

    Собсно сейчас AS16 скорее закончатся, чем IPv4, как понимаю:
    http://bgp.potaroo.net/as2.0/asnames.txt
    http://xkcd.com/195/

     
     
  • 7.48, Guest (??), 22:37, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Не для людей оно.

    Неужели ты тоже из пионеров, которые 'IPv6 не нужен потому что у нас NAT и 10.0.0.0/8 адресов, да и как мы будем без ната сетку защищать' и 'не для людей оно потому что 16 байт адреса тяжело запоминать'? Сочувствую.

     
     
  • 8.77, Michael Shigorin (??), 19:58, 09/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ыазумеется ... текст свёрнут, показать
     
  • 7.54, User294 (ok), 01:11, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития"

    А при чет тут пугать. IPv6 придет и вас спросить забудут.Не сделаете его поддержку - только вам же и хуже будет, IMHO. Ну и вашим кастомерам у которых будет тупой геморрой которого у остальных нет.

    >>у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

    Работает -- не трогай ;)
    Дык и у меня работает. Такое же ядро на таком же роутере.Оно там уместно, в отличие от например десктопа или сервера.А так - юзал когда-то центос на 2.4 ядре.Там икались хреново реализованные треды например.В 2.6 реализация улучшена просто фантастически.

    >>а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

    +1 :)

    > Не для людей оно.

    Да, для ваших клиентов видимо самое оно это NATы с тыщами юзеров на 1 айпи когда за деятельность одного дятла получает воздаяние вся орава.

    >Собсно сейчас AS16 скорее закончатся, чем IPv4,

    Сейчас каждая мобилка потенциально способна получить IP.Количество мобилок сами поищете, если надо.Там скорее всего просто не получится уже выдать каждой железке способной получить IP адрес свой IP.А потом юзерье на всех форумах плакается что там-то заблочили, там-то на аську не пускает.Ну конечно, общественные туалеты попадают под раздачу быстро и качественно.

     
  • 5.53, User294 (ok), 00:57, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Все так Но довольно странно игнорировать имеющиеся проблемы Выходя в сеть я хочу... большой текст свёрнут, показать
     
     
  • 6.76, Michael Shigorin (??), 19:57, 09/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А, вот фортунка --- Где-то как-то прочитал вот такую хохмочку Hастоящий админ... большой текст свёрнут, показать
     
  • 3.36, User294 (ok), 16:30, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
    >собираюсь возможно дольше

    Удачного будущего вашим системам и все такое, но я боюсь что это приведет к ситуации "все ушли вперед но некоторые остались на допотопном уровне развития" :).А вы кернель случайно не 2.4 юзаете?А то мало ли чего там в этом новом 2.6 :)

    > (if ever).

    Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6. Хотя безусловно, нахрен IP всякие, можно быть и в области балета впереди планеты всей :))))

     
     
  • 4.42, Аноним (11), 18:34, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6.

    Ааааа - ну так бы сразу и сказал - это твоя первая работа в ИТ и ты уж 3 дня как седожопый одмин :)
    А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

    :)

    Ну а то что вендоры пишут про IPv6 сапортед, ну и ? Главное _как_ оно саппортед - если уж в Линуксах да *БСД постоянно находят косяки - сколько их в закрытых поделках типа кошек ... лучше даже не думать 8-\

     
     
  • 5.49, User294 (ok), 00:24, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ааааа - ну так бы сразу и сказал - это твоя первая
    >работа в ИТ и ты уж 3 дня как седожопый одмин
    >:)

    Да, IT это мой первый вид деятельности.Уже поболее десятка лет.А вот у вас кажется, какие-то комплексы по части возраста или опыта.Во всяком случае понтуетесь такой фигней вы а не я.В таких понтах обычно нуждаются чтобы убедить окружающих и самого себя в том что "я дескать, не пустое место!"... ;)

    >А мы то помним что "IPv4 адреса почти кончились"
    >(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

    Если вы такие умные, то чего же строем не ходите?Посмотрите, в этом мире есть более миллиарда мобильников.И каждый потенциально может иметь IP адрес.То что через ж**у можно за счет натинга кое-как работать - да, можно.Как именно работать - понятно как.Совсем не так как задумывалось авторами протоколов.Итого большая часть сетевого кода нынче порой связана не с нетворкингом а с работой с вот этими вот костылями.Что?STUN?NAT-Traversal?Порт-форвард?UPnP?Какие клевые, свежие, чудесные костылики к протоколу который в мире где каждый таракан подключен к сети уже не справляется с этим напрямую :)

    >Ну а то что вендоры пишут про IPv6 сапортед, ну и ?

    Ну да.И бэкбоны запускают с V6 для прикола.Ага :)

    >Главное _как_ оно саппортед - если уж в Линуксах да *БСД
    >постоянно находят косяки - сколько их в закрытых поделках типа кошек
    >... лучше даже не думать 8-\

    В любом новом протоколе будут косяки.В IPv6 их будет много(хацкеры указывали на уязвимости и слабины, но на это забили).Придется порихтовать, как это было с IPv4.Такова жизнь.А то знаете, можно было бы до сих пор по вашей логике дудеть в телефонную линию на 300bps самой примитивной модуляцией.А то и вовсе морзянкой обойтись.А то в каком-нить wi-fi - столько косяков, что просто кошмар!И гигабитный эзернет не без проблем.Ужас!

     
     
  • 6.72, Аноним (11), 17:52, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я тут весь квотинг порипал :)

    User294 - если ты проффи тогда ответь прямо - ты на продакшен системах, желательно имеющих прямое подключение в интернет (но не на роутерах) - держишь IPv6? Или нет?

     
  • 5.50, Аноним (-), 00:38, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >работа в ИТ и ты уж 3 дня как седожопый одмин
    >:)
    >А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...
    >
    >:)
    >
    >Ну а то что вендоры пишут про IPv6 сапортед, ну и ?
    >Главное _как_ оно саппортед - если уж в Линуксах да *БСД
    >постоянно находят косяки - сколько их в закрытых поделках типа кошек
    >... лучше даже не думать 8-\

    по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги -- там упоминаний про ipv6 очень много :)

     
     
  • 6.55, User294 (ok), 01:18, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги
    >-- там упоминаний про ipv6 очень много :)

    Почитайте списки исправленных ляпов за время существования IPv4.Там немеряно дыреней заделано, при том никто даже не документировал в RFC или каком-то еще едином месте все это, исправляя грабли по мере нахождения.С IPv6 разумеется будет то же самое, даже хуже.Ну а какие еще варианты есть?Если не двигаться вперед - так до сих пор бы морзянкой только общались.Или в лучшем случае, модемами на 300bps.

     
  • 3.63, Дмитрий Ю. Карпов (?), 10:48, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.

    Познакомишься со мной - будет второй. :)

     
     
  • 4.69, Александр Чуранов (?), 14:00, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Познакомишься со мной - будет второй. :)

    Я тоже обычно оставляю в ядре только то, что реально нужно. Ни больше, ни меньше. IP6 вещь хорошая, но мне пока не понадобилась.

     
  • 4.75, Michael Shigorin (??), 19:44, 09/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как минимум один знакомый специалист в информационной безопасности
    >> не ленится собирать ядра вообще без IPv6 для своих систем.
    >Познакомишься со мной - будет второй. :)

    Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не собираетесь?

     
     
  • 5.78, Александр Чуранов (?), 21:12, 09/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не
    >собираетесь?

    К сожалению, нет.

     
  • 2.33, Guest (??), 15:44, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А реализации всех сетевых протоколов подвержены уязвимостям. Старичок TCP/IP несколько раз радовал DOS'ами на моем веку. SCTP когда в Linux реализовали - дырок сыпались просто тонны. IPv6 тоже не будет исключением.
     

  • 1.22, Имя (?), 12:19, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нужно просто-напросто сделать такой компилятор,
    чтобы уязвимости в принципе не могло возникнуть.
     
     
  • 2.23, Аноним (11), 12:28, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Компилятор не может обеспечить написание правильного кода.
     
  • 2.24, 111 (??), 12:28, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше "сделай" программера который будет писать код без ошибок
     
  • 2.34, charon (ok), 15:48, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Нужно просто-напросто сделать такой компилятор,
    >чтобы уязвимости в принципе не могло возникнуть.

    есть мнение (не я придумал), что нужно менять архитектуру компов. Например, разделение памяти на код и данные, причем в области данных программы не могут выполняться. Ну и т.д.

     
     
  • 3.35, Vital (??), 15:55, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а щас оно как О_О?
     
     
  • 4.37, charon (ok), 16:41, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а щас оно как О_О?

    а сейчас не так.

     
     
  • 5.39, Michael Shigorin (ok), 17:19, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>а щас оно как О_О?
    >а сейчас не так.

    Не специалист, но не совсем "не так", как понимаю: http://en.wikipedia.org/wiki/W^X

    Насчёт "программа -- не данные" не соображу сразу, что засвербило...

     
  • 5.47, Vital (??), 21:51, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    сегмент кода, сегмент данных, сегмент стека - новые для тебя слова?
     
     
  • 6.52, vitek (??), 00:51, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    это абстрактные понятия (сейчас говорят - виртуальные :-))
    "легким движением руки" запускается код и из сегмента данных, и из стека...
     
     
  • 7.57, User294 (ok), 01:28, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >"легким движением руки" запускается код и из сегмента данных, и из стека...

    На новых процессорах с технологиями типа NX - не таким уж и легким насколько я знаю.
    И еще, в случае IPv6 - компилер может быть сколько угодно раз правильным, а от логических ошибок это 1 хрен не спасет.А логических ошибок... там даже по просто RFCшному описанию хакеры уже веселостей с логическими ошибками нашли.А уж конкретным реализациям и вовсе достанется.А куда деваться?Жрать и дальше кактус IPv4 который уже сегодня в принципе имеет проблемы с тем чтобы произвольному девайсу (скажем, мобильнику) выдать собственный адрес?

     
     
  • 8.66, charon (ok), 11:20, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Но вполне возможным NX - это прикрученная приблуда, она изначально в архитектур... текст свёрнут, показать
     
  • 8.67, vitek (??), 11:22, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    но и не особо тяжелая в общем академиком быть не обязательно - а тут ещё как... текст свёрнут, показать
     
  • 3.46, Guest (??), 20:46, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А сейчас как, по-твоему? Курить любую доку по защищенному режиму.
     
     
  • 4.51, Александр Чуранов (?), 00:40, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А сейчас как, по-твоему? Курить любую доку по защищенному режиму.

    Да нет же, есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

    Другое дело, что природа багов - это ошибки человека.

    Рассмотрите следующий пример: злоумышленник выкладывает на сервере *png файл, вы скачиваете, а в просмотрщике картинок баг - определяет выполняемое с файлом действие по shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл есть, то всё, привет.

    То есть одной аппаратной защитой и фишками языка или компилятора не обойтись. В приведённом выше примере переполнением буфера и не пахнет.

    В принципе возможно построение системы, устойчивой к багам типа этого, но это ОЧЕНЬ дорого. И поддерживать систему будет ДОРОГО. На каждое изменение в конфигурации - аудит безопасности. Порт проапдейтился - зовите эксперта.

    http://en.wikipedia.org/wiki/Harvard_architecture
    http://www.analog.com/en/embedded-processing-dsp/sharc/content/sharc_processo

     
     
  • 5.58, User294 (ok), 01:32, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >в просмотрщике картинок баг - определяет выполняемое с файлом действие по
    >shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл
    >есть, то всё, привет.

    Красивый пример логического бага ;).В IPv6 именно логических ошибок - предостаточно.

     
  • 5.64, Дмитрий Ю. Карпов (?), 11:00, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

    Отлично! А теперь объясните мне, как на такой архитектуре сможет работать компилятор! Надеюсь, Вы в курсе, что программы для всех гарвардских компьютеров делаются кросс-компиляторами?

    А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре работать не смогут!

    А может, на всех пользователей компьютеров наручники надеть: ;)

     
     
  • 6.65, vitek (??), 11:17, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А может, на всех пользователей компьютеров наручники надеть: ;)

    хорошая идея :-D

     
  • 6.70, Александр Чуранов (?), 14:03, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже
    >масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре
    >работать не смогут!

    Сам не знаю. Возможно, поклонники super harvard сказали бы "JIT в топку!". Мне самому интересно, как в память для исполнимого кода этот код попадает. Однако такие процессоры есть и в своих областях широко используются.

     
  • 2.56, User294 (ok), 01:27, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Нужно просто-напросто сделать такой компилятор,

    Компилятор - не AI, ошибки в протокольной логике ЛЮБОМУ компилятору будут до балды, потому что в отличие от авторов протокола и реализаторов оного компилер думать не умеет.Что хуже, далеко не любой программер может подумать "а что будет если вон то значение в вон том поле будет не такое как ожидалось?".И вот такого типа ляпов в IPv6 будет немеряно.Даже без всяких переполнений буферов.На тематических ресурсах уже давно обсуждали ряд интересных атак на протокольную логику.Но на них что-то подзабили.Ну, вспомнят при массовом использовании, куда ж денутся?А массовое использование - не за горами.Если бэкбоны и клиентское оборудование протокол поддерживать начинают - тут все понятно уже.

     

  • 1.25, Anonymous (?), 12:50, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # grep ipv6_enable /etc/defaults/rc.conf
    ipv6_enable="NO"                # Set to YES to set up for IPv6.

    ?

     
     
  • 2.26, Лше (?), 13:06, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ># grep ipv6_enable /etc/defaults/rc.conf
    >ipv6_enable="NO"            
    >    # Set to YES to set up
    >for IPv6.
    >
    >?

    Так и есть.

     
     
  • 3.28, Anonymous (?), 13:13, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    я про то, что пересобирать ядроо с миром не обязательно
     
     
  • 4.30, Sb (??), 13:57, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Да вот не совсем так. Если посмотреть rc.conf, который default, то там эта опция по умолчанию отключена, что не мешает некоторым службам слушать ipv6 сокеты. Выключать через sysctl - тоже не всё выключится. Всё же ядро - оно надёжнее и проще.
     

  • 1.44, Аноним (11), 18:45, 04/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что то поменялось в этом мире - _такая_ тема а все ведут себя прилично без соплей и наездов :-)

    ... либо Максим оперативно работает и режет балбесов :)

     
     
  • 2.45, Michael Shigorin (ok), 19:15, 04/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что то поменялось в этом мире - _такая_ тема а все ведут
    >себя прилично без соплей и наездов :-)

    Дык когда всё хорошо, можно и попинать друззски, а когда плохо -- не до того.

    >... либо Максим оперативно работает и режет балбесов :)

    Судя по почте, прибито пока только одно очевидно бессмысленное сообщение.

     
  • 2.59, User294 (ok), 01:40, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что то поменялось в этом мире - _такая_ тема а все ведут
    >себя прилично без соплей и наездов :-)

    Секурити - само по себе не особо выигрышная тема для понта - сегодня понаезжаешь как у других все плохо.А завтра в огород твоей любимой системы тоже сгрузят булыжников - будешь чувствовать себя дураком (если наглость не совсем мозг съела).Более того, в случае с IPv6 это еще и почти гарантировано.

     
     
  • 3.68, vitek (??), 11:27, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Более того, в случае с IPv6 это еще и почти гарантировано.

    причём всем и на любой ОС

     
  • 3.71, Аноним (11), 17:41, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Чёрт! У этого мира есть шанс :)
    Просто помнится как именно это и происходило всегда даже при секьюрити дырах ...

    Всё таки OpenNET - лучшее место пообщаться для тех кто реально делает IT!

     

  • 1.61, Аноним (61), 07:02, 05/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный выход в моем случае пересборка ядра без поддержки ipv6?
     
     
  • 2.62, grayich (ok), 07:20, 05/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    5-тая ветка уже не поддерживается, желательно обновить ее до (скоро выйдет) 6.4 или 7.1
    не факт, что эта уязвимость есть в 5.x но если есть то да, пересобрать ядро без ipv6

    з.ы.
    кстати да, зря ipv6 по умолчанию включенна, всеравно в 97% ее отключают

     
  • 2.74, oops (?), 22:10, 06/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В
    >новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный
    >выход в моем случае пересборка ядра без поддержки ipv6?

    Пятая ветка официально не поддерживается больше. Нет никакого смысла на ней сидеть.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру