The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от opennews (??), 21-Авг-19, 22:14 
Во FreeBSD устранена (https://lists.freebsd.org/pipermail/freebsd-announce/2019-Au...) уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery (https://tools.ietf.org/html/rfc2710)). Проблема вызвана (https://www.reddit.com/r/BSD/comments/c4krwr/freebsd_ipv6_re.../) отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны.

Уязвимость устранена (https://svnweb.freebsd.org/base?view=revision&revision=350815) в обновлениях 12.0-RELEASE-p10, 11.3-RELEASE-p3 и 11.2-RELEASE-p14. В качестве обходного пути защиты можно отключить поддержку фрагментации для IPv6 или фильтровать на межсетевом экране опции в заголовке HBH. Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и была устранена в  OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмотря не то, что разработчики FreeBSD были уведомлены о проблеме.


Также можно отметить устранение во FreeBSD ещё двух уязвимостей:


-  CVE-2019-5603 (https://lists.freebsd.org/pipermail/freebsd-announce/2019-Au...) - переполнение счётчика ссылок на структуры данных в mqueuefs при использовании 32-разрядных библиотек в 64-разрядном окружении (32-bit compat). Проблема проявляется при включении mqueuefs, которая не активна по умолчанию, и может привести к доступу к файлам, каталогам и сокетам, открытым процессами, принадлежащими другим пользователям или для организации доступа к внешним файлам из jail-окружения. При наличии у пользователя root-доступ в jail, то уязвимость позволяет получить root-доступ на стороне хост-окружения.

-  CVE-2019-5612 (https://lists.freebsd.org/pipermail/freebsd-announce/2019-Au...) - проблема при многопоточном доступе к  устройству /dev/midistat может привести к чтению областей памяти ядра вне границ выделенного для midistat буфера. На 32-разрядных системах попытка эксплуатации уязвимости приводит к краху ядра, а на 64-разрядных позволяет узнать содержимое произвольных областей памяти ядра.


URL: https://lists.freebsd.org/pipermail/freebsd-announce/2019-Au...
Новость: https://www.opennet.me/opennews/art.shtml?num=51332

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +3 +/
Сообщение от Аноним (1), 21-Авг-19, 22:14 
-DWITHOUT_INET6
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +3 +/
Сообщение от Catwoolfiiemail (ok), 21-Авг-19, 22:18 
ага, больше делать нефиг
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –7 +/
Сообщение от Аноним (6), 21-Авг-19, 22:59 
Да уж пора с -DWITHOUT_INET4 собирать, а вы всё в каменном веке.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от Michael Shigorinemail (ok), 21-Авг-19, 23:36 
Чтобы что? :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

58. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от Аноним (6), 22-Авг-19, 20:26 
Чтобы не собирать мёртвый код, когда общаешься с миром только по IPv6.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +3 +/
Сообщение от Онаним (?), 22-Авг-19, 08:52 
Чего? INET4 ещё INET6 переживёт.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

59. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от Аноним (6), 22-Авг-19, 22:12 
Ну-ну. v4 скоро физически закончатся. Этого, увы, ещё не произошло - новости "о последних сетях розданных RIRам" конечно должны были намекать и подстёгивать развёртку v6, но на конечного пользователя пока не влияли никак. Но к концу года схлопнется RIPE (ажиотаж там уже видно невооруженным глазом):

https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-available...
http://www.potaroo.net/tools/ipv4/plotend.png

После этого адреса взять будет неоткуда. Ладно пользователи - этих можно держать стадами за одним адресом, но есть же хостеры которые раздают копеечные VPS сотнями в день. Когда прижмёт, цены на v4 взлетят, причём они будут сравнимы с ценой самого VPS (сейчас VPS можно взять за 100р/мес, и дополнительный ipv4 стоит столько же, т.е. можно ожидать что такой VPS подорожает как минимум в 2 раза), и в таких условиях начнут плодиться v6-only сервисы. А там уже и пользователи с провайдерами забегают.

После этого IPv4 умрёт за считанные месяцы - крупные провайдеры уже давно готовы и могут включить IPv6 по щелчку (а кто-то, МТС например, уже включил), и это будет самый подходящий момент, потому что это поможет уничтожить или скупить оставшихся мелких провайдеров, которые 10 лет ныли что у них нет денег на модернизацию оборудования и v6 никому не нужен, а сейчас от них массово повалят пользователи. А там уже, когда доля IPv6 перевелит за 50-60%, зашевелится вторая волна сервисов, которые его до сих пор не включили. После этого v4 станет вообще не нужным, а учитывая стоимость и геморрой с выделением от него начнут отказываться поголовно. Ну дальше понятно.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

62. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +3 +/
Сообщение от Zil (?), 23-Авг-19, 00:10 
новости про кончину ipv4 адресов я читаю с 2006 года
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

64. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от qwerty123 (??), 23-Авг-19, 00:30 
>новости про кончину ipv4 адресов я читаю с 2006 года

"новости про кончину паровозов я читаю с 1933 года".

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (6), 23-Авг-19, 00:38 
> новости про кончину ipv4 адресов я читаю с 2006 года

Я про это явно написал. Читаете, да не понимаете что написано.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

66. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Онаним (?), 23-Авг-19, 08:21 
> Ну-ну. v4 скоро физически закончатся.

NAT давно отменили?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

75. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (6), 23-Авг-19, 16:37 
>> Ну-ну. v4 скоро физически закончатся.
> NAT давно отменили?

Расскажи как ты сервера за NAT'ом будешь хостить, нечитатель.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

77. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Онаним (?), 23-Авг-19, 19:57 
1. За счёт хомяков и мелкорастов можно наосвобождать очень много
2. Про такую штуку, как балансировщик/реверс прокси/DNAT ты, конечно же, не слышал
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

79. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (6), 23-Авг-19, 23:29 
> 1. За счёт хомяков и мелкорастов можно наосвобождать очень много

Ну конечно, так все и бросились нахаляву освобождать тебе адреса. За неслабые деньги - может быть, и платить их будут конечно же пользователи.

> 2. Про такую штуку, как балансировщик/реверс прокси/DNAT ты, конечно же, не слышал

Не, не слышал. И ты не слышал, иначе бы такой ерунды не писал. Что ты собрался DNAT'ить, N виртуалок с серыми IP в тот же N белых IP? Это никак не позволит экономить адреса. А любые попытки спрятать больше одной виртуалки за одним адресом для хостинга не подходят вообще никак, потому что его и берут чтобы получить машинку полноценно и постоянно доступную из сети. Прям так и вижу один адрес форвардящий 50k портов в ssh отдельных виртуалок. HTTPS балансер, умеющий снифать SNI? Возможно (потому что сертификаты ему при необходимости терминировать там SSL никто сдавать не будет), только всё что за ним быстренько ляжет от одной странички с шуткой про солнцеликого. Есть вещи которым принципиально нельзя сменить порт, т.е. им нужен белый IP. MX например. Это даже не учитывая дополнительных точек отказа и узких мест по PPS, стоимости этого оборудования, а также гемороя по выбиванию пробросов портов и добавлению в балансеры. В итоге для пользователя это будет ещё менее привлекательным чем доплата за адрес. Т.е. в конечном счёте сделает v6 ещё желаннее.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

29. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от тигарэтоя (?), 22-Авг-19, 11:05 
да. там уже с подобной "инициативой" старый тролль bz@ вылез. начав ответ с "what is ping(8)? I don't have it"
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

49. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от Минона (ok), 22-Авг-19, 16:34 
Да чего уж там мелочиться -DWITHOUT_INET_ALL
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

82. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Ano (?), 09-Сен-19, 21:45 
В банках годная тема. Они оч. любят всё законсервировать в оффлайн. Почему-то с обновлениями без-ти обязательно. Забавные затейники.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

3. Скрыто модератором  –5 +/
Сообщение от аннон (?), 21-Авг-19, 22:45 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. Скрыто модератором  –1 +/
Сообщение от Fracta1L (ok), 21-Авг-19, 22:49 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. Скрыто модератором  +/
Сообщение от Michael Shigorinemail (ok), 21-Авг-19, 23:46 
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. Скрыто модератором  –2 +/
Сообщение от Аноним (5), 21-Авг-19, 22:49 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 21-Авг-19, 23:00 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. Скрыто модератором  –1 +/
Сообщение от Аноним (9), 21-Авг-19, 23:09 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. Скрыто модератором  +1 +/
Сообщение от Аноним (16), 22-Авг-19, 00:08 
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. Скрыто модератором  +2 +/
Сообщение от Аноним (18), 22-Авг-19, 02:05 
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

34. Скрыто модератором  –1 +/
Сообщение от пох. (?), 22-Авг-19, 11:28 
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Аноним (9), 21-Авг-19, 23:11 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. Скрыто модератором  +/
Сообщение от Аноним (12), 21-Авг-19, 23:24 
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. Скрыто модератором  +1 +/
Сообщение от Аноним (18), 22-Авг-19, 05:28 
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. Скрыто модератором  +/
Сообщение от лютый жабист__ (?), 22-Авг-19, 08:41 
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. Скрыто модератором  –1 +/
Сообщение от пох. (?), 22-Авг-19, 09:46 
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

40. Скрыто модератором  +2 +/
Сообщение от анонн (ok), 22-Авг-19, 12:08 
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

8. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от Аноним (6), 21-Авг-19, 23:06 
Люблю баги с паниками, когда их латаешь можно не перезагружаться - система останется уязвимой, но если её положат, она перезапустится уже с обновлением и мы получим столько же даунтайма сколько при штатном перезапуске, а если не положат, не получим даунтайма вообще.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от Нанобот (ok), 22-Авг-19, 10:02 
а при панике дисковые кеши хоть сбрасываются? и то ж иначе может приключиться потеря данных...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (31), 22-Авг-19, 11:23 
да кому их жалко-то?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от Нанобот (ok), 22-Авг-19, 11:47 
> да кому их жалко-то?

я имел ввиду буферизированые незаписаные на диск данные. аварийная перезагрузка в неудачный момент может привести к повреждению БД, например

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

52. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от Аноним (6), 22-Авг-19, 17:00 
Нет, не может - как-бы базы данных обязаны нормально обрабатывать такие ситуации, поэтому логгирование там не просто так. Потере данных - в зависимости от настроек может быть. В моём случае либо не может, либо наплевать.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

51. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (6), 22-Авг-19, 16:53 
> а при панике дисковые кеши хоть сбрасываются?

Нет конечно, иначе можно повредить данные на диске.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

80. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от rihad (ok), 25-Авг-19, 15:34 
Только паника случится в прайм тайм, а запланированный ребут как правило приходится делать рано утром (или поздно ночью). Ситуация lose-lose (для админа).
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

83. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Ano (?), 09-Сен-19, 21:50 
> но если её положат, она перезапустится

И будет выговор, т.к. ребут форсмажорный и мониторинг не скроет и не дадут в январе 13-ю зарплату.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Alexeyemail (??), 21-Авг-19, 23:58 
Не, ну для полного и бесповоротного перехода на IPv6 еще не все готовы, а если сказали как подправить, так это всегда хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от iPony129412 (?), 22-Авг-19, 06:10 
> Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и устранена в OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмотря не то, что разработчики FreeBSD были уведомлены о проблеме.

Ну всплыло оно из проруби...
Вообще тема про IPv6 с точки зрения безопасности весьма интересная, как с проблемами в софте, так и в настройках.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –3 +/
Сообщение от пох. (?), 22-Авг-19, 09:48 
> Вообще тема про IPv6 с точки зрения безопасности весьма интересная, как с
> проблемами в софте, так и в настройках.

да нет в ней ничего интересного. Творение комитетчиков на попилах, воплощенное японцами с мозгами не от мира сего и протолкнутое с помощью FUD и шантажа. Ни одной из проблем, якобы призванных решать - не решило. Вот вообще ни одной - кроме несуществующих.

Нет ipv6 - нет кучи новых проблем.


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Гентушник (ok), 22-Авг-19, 11:02 
Исчерпание IP адресов?
Отсутствие в необходимости костыле-NAT-а?

Это первое что приходит в голову.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –4 +/
Сообщение от Аноним (31), 22-Авг-19, 11:23 
> Исчерпание IP адресов?

вранье

> Отсутствие в необходимости костыле-NAT-а?

вранье

и так у вас - все.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

43. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Hewlett Packard (?), 22-Авг-19, 13:30 
> Google is increasing the prices for Google Compute Engine (GCE) VMs using external IPv4 addresses, starting in 2020, according to messages sent to Google Cloud Platform customers. Starting on January 1, 2020, a standard GCE instance will cost an additional $0.004 per hour, with preemptable GCE instances costing an additional $0.002 per hour, if they use an external IPv4 address—essentially, an extra $2.92 or $1.46 per month, respectively.
> Last year, father of the internet—and Google's Chief Internet Evangelist—Vint Cerf declared that enterprise IT ships avoiding the problem of IPv4 need to "get with the program," as IPv6 standards were published years prior.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

53. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Гентушник (ok), 22-Авг-19, 17:06 
>> Отсутствие в необходимости костыле-NAT-а?
> вранье

Хорошо, объясните мне тогда зачем мне нужен NAT в IPv6 для какого-то массового случая?

Ну вот например есть локальная сеть подключенная к одному провайдеру интернета. В локалке есть компы, на которых запускают всякие торренты, ходят на ftp (в активном или пассивном режиме), звонят через sip.

Так же в этой локалке есть серверы: ftp, http и всякие разные другие.

Зачем тут нужен NAT?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

60. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от Эксперт по всему (?), 22-Авг-19, 22:37 
Очевидный мульхоминг, что нужно почти любому офису
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

61. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Гентушник (ok), 22-Авг-19, 23:39 
> Очевидный мульхоминг, что нужно почти любому офису

С мультихомингом в IPv6 всё так же плохо как и в IPv4, да. Правда насчёт нужности "почти любому офису" вы явно преувеличиваете. А если что-то крупное, то можно и AS взять.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

72. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 23-Авг-19, 10:09 
> С мультихомингом в IPv6 всё так же плохо как и в IPv4,

с ним там сильно хуже из-за непомерных запросов протокола
(и омерзительного дизайна)

> да. Правда насчёт нужности "почти любому офису" вы явно преувеличиваете. А

ок, твоему подвалу интернет не нужен вообще-то?

> если что-то крупное, то можно и AS взять.

ничего, что это обойдется папаше в приличную такую сумму за воздух, влезания в пачку совершенно невменяемых технологий, знанием которых не по бумажке а на практике - обычный офисный админ не обременен, замену всех линков (подвальные операторы не умеют bgp) на более дорогие и так далее?

И это все ради резервного канала, не требующего ручной перенастройки всего?
У меня с этим справляется корыто на пентиуме3 2006го года постройки.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

39. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (39), 22-Авг-19, 12:05 
в современных условиях НАТ уже особо не мешает, тк современный софт пишется с учетом этого. даже наоборот, ограниченное кол-во адресов позволяют многим на этом зарабатывать. а бабло как известно решает.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

44. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Hewlett Packard (?), 22-Авг-19, 13:32 
> The natural solution to that would be NAT, but prices are also changing for Cloud NAT Gateway, with Google indicating that they "will charge $0.0014/hr for each VM instance up to a maximum of $0.044/hr (32 or more instances). Gateways that are serving instances beyond the maximum number are charged at the maximum rate."
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –2 +/
Сообщение от qwerty123 (??), 22-Авг-19, 14:09 
>в современных условиях НАТ уже особо не мешает, тк современный софт пишется с учетом этого.

пилять.

SIP и все что c применением RTSP.
IPSec
XMPP

и вообще все, что требует построения сокетов с обеих сторон, или от клиента к клиенту

NAT это пушечное ядро на ноге всего мультимедиа и костыль на всем IT.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +2 +/
Сообщение от Andrey Mitrofanov_N0 (??), 22-Авг-19, 14:40 
> NAT  мешает всему IT следить за пользуемыми и стукам-стукам в вашингтонский обком.

//fix

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

56. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 17:45 
>>в современных условиях НАТ уже особо не мешает, тк современный софт пишется с учетом этого.
> пилять.

пилять, ты почти не ошибся
> SIP и все что c применением RTSP.

даааа! И хорошо еще если исходники доступны - можно выпилить к хренам этот "учьот"

> IPSec

даааа! тут и исходники не помогут. Только массовые расстрелы.

> XMPP

тут не знаю, подозреваю что нормальный софт не лезет не в свое дело, и нормальный бордер в состоянии справиться.

А с двумя предыдущими - это просто праздник какой-то.
Нет, если бы он НЕ писался с учетом непонятных авторам технологий - все бы в общем и целом могло бы даже и работать - если не помойкороутер натит, конечно.

> NAT это пушечное ядро на ноге всего мультимедиа и костыль на всем

да не нат, блин, а рукожопые гении-программизды. А вот эту мельтемудию, норовящую уже наглухо, казалось бы, заначенную и зафайрволеную машину выставить голым задом в интернет - я бы еще и в тазик с цементом, и за борт - а то вдруг с ядром выплывет.


P.S. один из способов борьбы с sip - использовать сеть 100.100.
Большинство горе-писателей не в курсе, поэтому свою искусственную идиотию они не проявят. А дальше даже линух со своим nf_nat_sip справится. ssip, к счастью великому, дальше PoC не пошел.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

63. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +2 +/
Сообщение от qwerty123 (??), 23-Авг-19, 00:26 
>нормальный софт не лезет не в свое дело
>можно выпилить к хрена
>один из способов борьбы с sip
>я бы еще и в тазик с цементом,

"Моя борьба"
собрание сочинений, opennet, Анонимуc.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

48. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Гентушник (ok), 22-Авг-19, 15:38 
> тк современный софт пишется с учетом этого

Ага, в каждой софтине какой-нибудь свой костыль, а в некоторых ничего и нету, например у ftp и http-серверов приходится ПРОБРАСЫВАТЬ ПОРТ.
Ну с ftp конечно вообще всё плохо, там ещё второе соединение на другой диапазон портов, приходится ещё пробрасывать и этот диапазон портов, либо пользоваться несекьюрными хелперами nf_nat_ftp.

И так со всеми протоколами которые используются не одно соединение на один порт, а несколько разных.

p2p тоже отсасывает у NAT-а, т.к. приходится либо ПРОБРАСЫВАТЬ ПОРТ, либо включать несекьюрный upnp на роутере (и то, если программа это поддерживает), либо пользоваться сторонними серверами (бриджами). Классный p2p получается с бриджами!

NAT это адовый костыль, я бы с удовольствием перешёл на IPv6 только из-за того что он там не нужен в большинстве случаев.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

57. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 17:48 
> другой диапазон портов, приходится ещё пробрасывать и этот диапазон портов, либо
> пользоваться несекьюрными хелперами nf_nat_ftp.

какой ужас, нисикьюрна-нисикьюрна. Зато мы топим за p2p и "каждому холодильнику по public ip", ага.

"и ведь этот еще из лучших". Впрочем, Атоса тогда нае...ли, а тут,походу, все честно.


Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

67. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Онаним (?), 23-Авг-19, 08:25 
> NAT это адовый костыль, я бы с удовольствием перешёл на IPv6

Так переходи. Отключай IPv4, и вперёд - в дивный новый мир с:
- нечитабельными адресами
- полуроутингом через одно место
- пачкой туннелей различных сортов и запахов
- тремя конфликтующими способами автоконфигурации в одном флаконе
- отсутствием нормальной автоконфигурации в PPP - надо городить по инстансу DHCPv6 внутри PPP на каждого клиента
- потенциально не способными поместиться в память любого устройства neighbour tables
И т.д., и т.п.

Академическое овно ожидаемо не взлетает... вангую, что IPv6 кончится раньше IPv4, по причине появления более вменяемой альтернативы.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

68. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 23-Авг-19, 08:32 
> Академическое овно ожидаемо не взлетает... вангую, что IPv6 кончится раньше IPv4, по
> причине появления более вменяемой альтернативы.

"И у нас стало 15 стандартов" --https://xkcd.com/927/

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

70. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 23-Авг-19, 09:55 
> Академическое овно ожидаемо не взлетает... вангую, что IPv6 кончится раньше IPv4, по
> причине появления более вменяемой альтернативы.

не, тут все надежнейшим образом приколочено - альтернативы уже не будет.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

73. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Hewlett Packard (?), 23-Авг-19, 11:57 
Про то что сейчас называют IPv4 тоже когда-то так думалось.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 23-Авг-19, 16:20 
во времена начала ipv4 все делали из дерьма и палок и типовой "магистральный" канал обеспечивался модемом аж на 9600. Поэтому несложно было переписывать четыре раза с нуля и исправлять ошибки дизайна на ходу.

Никаких тебе цисок ценой дороже самолета.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

78. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +2 +/
Сообщение от Hewlett Packard (?), 23-Авг-19, 23:15 
ISO OSI делали из слоновой кости и концентрированных седин. Результат не впечатлил.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

81. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 26-Авг-19, 16:32 
это в те же времена делали.
Сейчас вот такие же люди (не те же, те уже в гробу лежат мирно или не помнят, как поднести ложку ко рту) сделали v6.
А никакого другого интернета уже сделать нельзя.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

76. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Онаним (?), 23-Авг-19, 19:55 
Значит будем жить на v4 :)
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

22. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от Онаним (?), 22-Авг-19, 08:51 
Удалённая FreeBSD-уязвимость в IPv6 стеке DOS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +2 +/
Сообщение от пнончик (?), 22-Авг-19, 12:56 
Название товара на алижкспрессе
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –6 +/
Сообщение от анон (?), 22-Авг-19, 09:57 
решительно заявляю: эта ваша бздя - РЕ-ШЕ-ТО!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +1 +/
Сообщение от тигарэтоя (?), 22-Авг-19, 11:09 
решительно и категорически присоединяюсь, даже принес пруфов свежих: http://www.opennet.me/opennews/art.shtml?num=51333
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 11:26 
ну нет драйверов - нет проблемы, ага.

(хотя, конечно, особенно доставил "doublefree в rio500". Интересно, многие тут успели родиться, чтобы помнить, wtf? И да, да - из ведра выпилена куча нужных вещей, а вот этот мусор - старательно тянется двадцать лет.)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от тигарэтоя (?), 22-Авг-19, 11:31 
ну можно же дальше пойти - написать "тут-то удалееенно, а там надо флеееешечку пихать, физически!"
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 11:35 
> ну можно же дальше пойти - написать "тут-то удалееенно, а там надо
> флеееешечку пихать, физически!"

тут-то одним дефайном лечится (вместе с еще пятьюстами болезнями), а там коллеги-приколисты, умеющие собрать макет, могут знатно поржать.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от тигарэтоя (?), 22-Авг-19, 11:41 
ты про WITHOUT_INET6[_SUPPORT] ?:)
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

42. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –1 +/
Сообщение от пох. (?), 22-Авг-19, 13:03 
ну да. Там-то штатная инфраструктура для делания как надо, а не как кому-то показалось правильным, все еще работает из коробки и при минимуме телодвижений.

В отличие от героического выпиливания драйверов rio из линуха, где на эту битву лучше смотреть издалека, поскольку победителя в ней не будет.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

47. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 22-Авг-19, 14:46 
> ну да. Там-то штатная инфраструктура для делания как надо, а не как
> кому-то показалось правильным, все еще работает из коробки и при минимуме
> телодвижений.
>инфраструктура

"" Аскориида.... Слово-то какое.... красивое. ""

# grep ipv6 -R /etc/sysctl.d/
/etc/sysctl.d/33-disable-ipv6.conf:net.ipv6.conf.all.disable_ipv6=1
/etc/sysctl.d/33-disable-ipv6.conf:net.ipv6.conf.default.disable_ipv6=1
# _

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

50. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 16:48 
эх, митрофанушка, если б ты еще знал, ЧТО на самом деле делают эти крутилки - ты бы повесился на куске сетевого провода...

P.S. cat6 не бери! Будешь как лох пятнадцать минут хрипеть и задыхаться.



Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

54. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 22-Авг-19, 17:09 
поможем , пожалуй, митрофанушке исполнить сепукку:

:~> sysctl net.ipv6.conf.all.disable_ipv6
net.ipv6.conf.all.disable_ipv6 = 1
:~> sysctl net.ipv6.conf.default.disable_ipv6
net.ipv6.conf.default.disable_ipv6 = 1
:~> ip ad li dev ens160
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:50:56:bd:5d:c7 brd ff:ff:ff:ff:ff:ff
    inet 172.16.212.8/22 brd 172.16.215.255 scope global ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:febd:5dc7/64 scope link
       valid_lft forever preferred_lft forever

как вы йета сибе объясняите?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

69. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  –3 +/
Сообщение от Andrey Mitrofanov_N0 (??), 23-Авг-19, 08:34 
> поможем , пожалуй, митрофанушке исполнить сепукку:
> как вы йета сибе объясняите?

Объясню, что ты д---л, и пойду дальше.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

71. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от пох. (?), 23-Авг-19, 09:59 
>> поможем , пожалуй, митрофанушке исполнить сепукку:
>> как вы йета сибе объясняите?
> Объясню, что ты д---л, и пойду дальше.

боюсь что тебе уже вполне удачно удалось объявить что д-л - ты сам. Можешь идти.

P.S. строчки совершенно честно взяты из обнаруженного недозачищеного от v6 сервера. Оно у вас ТАК работает.
В отличие от сборки bsd без поддержки этого протокола начисто, где он никогда и нигде не сможет выпрыгнуть из ниоткуда - даже при отвратительно написанном куске какого-нибудь софта - чего в системе физически нет, того и нет.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

55. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (55), 22-Авг-19, 17:19 
Иди ка ты .....
БЫСТРО!
РЕШИТЕЛЬНО!!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

84. "Удалённая DoS-уязвимость в IPv6-стеке FreeBSD"  +/
Сообщение от Аноним (84), 20-Окт-19, 20:32 
никогда такого не было и вот опять!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру