The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Удаленное выполнение кода в OpenBSD в установке по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Удаленное выполнение кода в OpenBSD в установке по..."  
Сообщение от opennews (??) on 14-Мрт-07, 16:50 
В OpenBSD начиная с версии 3.1 присутствует (http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1703) критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код в системе с привилегиями ядра, путем отправки специальным образом подготовленного ICMPv6 пакета.


IPv6 стек активен в ядре OpenBSD по умолчанию. В качестве временного решения предлагается блокировка IPv6 трафика. В
/etc/pf.conf следует добавить "block in inet6".


URL: http://secunia.com/advisories/24490/
Новость: http://www.opennet.me/opennews/art.shtml?num=10116

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от йопт email(??) on 14-Мрт-07, 16:50 
ай-ай-ай...
таки нашли в дефолтной установке дырочку
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от pavel_simple (ok) on 14-Мрт-07, 16:52 
нифига себе "дырочка"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Аноним on 14-Мрт-07, 19:34 
Начинаем меряться дырками? Ай, щас линуху-то в разнос пустють...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Анонимус on 15-Мрт-07, 10:37 
Давайте, пускайте уж.А то что-то припоминаются локальные уязвимости всякие и прочая лажа, а вот таких ужосов - что-то не богато в последнее время.Может, я просто чего-то не заметил?... :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от GateKeeper (??) on 15-Мрт-07, 16:27 
Там до сих пор значатся как непатченные уйма дыр. Подробности на secunia.com. И не надо говорить про то, что, якобы, в большинстве случаев эти дыры неюзабельны... шестой IP тоже практически не юзабелен на сегодня, однако из-за одной всего дыры тут начали меряться дырками...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от FFFFFE on 15-Мрт-07, 23:09 
Неюзабелен?А как же я чувака в ирц видел сидящего с адреса IPV6?Что-то тут не так.Наверное имелось в виду что "мало используется".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от glyph on 14-Мрт-07, 17:00 
Зато девиз оперативно обновили. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Аноним on 14-Мрт-07, 17:07 
>Зато девиз оперативно обновили. :)

Даешь смену лозунга на "самые свежие удаленные дыры в дефолтовой установке" :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Аноним on 14-Мрт-07, 18:34 
Злорадствовать каждый м-к может.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Jelis email(ok) on 14-Мрт-07, 19:48 
Как я понимаю, ip6 по интернету не роутиться? И этой дыркой можно только локально воспользоваться?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Skif (ok) on 15-Мрт-07, 01:31 
Просто v6 пока никто активно не пользует. так что счастья от дырки... хм... никакого, если шел уже не получил на уязвленной системе и не можешь это сделать локально. Да вот тока смысл? Шел-то, есть...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Jelis email(ok) on 15-Мрт-07, 14:52 
Не, ну локально всетаки я имел ввиду в "локальной сети". Потому как по эзернету в одном сегменте IP6 пакеты прекрасно проходят, и с другого компа в этой же локальной сети эксплойт работать будет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Zert on 15-Мрт-07, 08:00 
Те, кто злорадствует, сами ничего сложнее хеловорда не писали. Разработка сложных систем требует выдержки и кропотливой работы, и написать абсолютно бездырную и безбажную систему не получится.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Moralez (??) on 15-Мрт-07, 09:03 
В постфиксе разве были дырки хоть раз за всю историю?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Zert on 15-Мрт-07, 10:29 
Если дырки никто не находил, это не значит, что их нет :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "касательно выдержки"  
Сообщение от Michael Shigorin email on 15-Мрт-07, 10:32 
Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки есть.

В данном случае занимателен не технический аспект, а отношение авторов к детищу и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.

But as we know, pride comes before a fall.

PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была сознательно и прокомментированно отменена, так что в 4.0 будет off by default.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "касательно выдержки"  
Сообщение от Zert on 15-Мрт-07, 11:55 
Это верно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "касательно выдержки"  
Сообщение от rii email(ok) on 15-Мрт-07, 12:55 
>Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот
>же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки
>есть.
>
>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>и другим: "мы пишем для себя и мы самые крутые, а
>вы все сосунки".  В отличие от.
>
>But as we know, pride comes before a fall.

   Можно линки на эту информацию?

>
>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>default.

   Возможно они при включении его в ядро думали о преимуществах в безопасности IPv6 перед IPv4,
но это лиш предположение на вскидку, может быть на это решение повлияли даже личные мотивы etc.

off by default не будет, потому что залатали дыру  openbsd.org/errata.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "касательно выдержки"  
Сообщение от Michael Shigorin email on 16-Мрт-07, 09:16 
>>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>>и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки".  В отличие от.
>>But as we know, pride comes before a fall.
>   Можно линки на эту информацию?
Можно, хотя отчасти это просто половина опыта общения с deraadt@:
http://kerneltrap.org/node/7729
http://lwn.net/Articles/225946/ (это про тайминги работы с данной уязвимостью -- тоже pride, хотя надо отдать должное -- преодолённая)

>>PS: мне лично поднятие IPv6 не кажется разумным умолчанием.  В ALT
>>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>>default.
>Возможно они при включении его в ядро думали о преимуществах в безопасности
>IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение
>повлияли даже личные мотивы etc.
Я, не будучи сетевиком, не знаю ни одного преимущества в безопасности IPv6.  То, что там  нет довольно существенной меры прикрытия фактических проблем "беспризорных" хостов в виде NAT -- знаю.  То, что более сложная форма записи более сложных параметров всегда будет приводить к большему количеству чисто человеческих ошибок -- знаю.  Но это недостатки, а не преимущества. (btw буду благодарен за ссылку на сравнение прикладной безопасности, если вдруг кто-нибудь встречал "для посторонних")

>off by default не будет, потому что залатали дыру  openbsd.org/errata.html
Гм, Вы из openbsd?  Обычно дефолты в таких случаях коррелируют с подозрением на проблемность, а не с заткнутостью уже известных проблем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "касательно выдержки"  
Сообщение от citrin email(??) on 16-Мрт-07, 11:45 
> (btw буду благодарен за ссылку на сравнение прикладной
>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>
Не совсем сравнение, но кое что есть:
http://www.securitylab.ru/contest/264659.php
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "(_) ipv6 (*) security"  
Сообщение от Michael Shigorin email on 16-Мрт-07, 21:47 
>> (btw буду благодарен за ссылку на сравнение прикладной
>>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>Не совсем сравнение, но кое что есть:
>http://www.securitylab.ru/contest/264659.php
Спасибо (комментарии тоже стоило почитать, особенно третью страницу).  Т.е. я представлял себе примерно треть проблем этого overengineered поделия, и причём далеко не самую худщую...

Тем более не вижу поводов поднимать по умолчанию или из любопытства.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от rii email on 15-Мрт-07, 09:08 
>В постфиксе разве были дырки хоть раз за всю историю?

http://osvdb.org/searchdb.php?action=search_title&vuln_title=postfix&Search=Search

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от rii email on 15-Мрт-07, 09:12 
   2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Moralez (??) on 15-Мрт-07, 09:59 
>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!

В том же FreeBSD дырок не больше, просто дефолты другие (кого они вообще интересуют? мы же настроим всё).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от rii email(ok) on 15-Мрт-07, 12:59 
>>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
>
>В том же FreeBSD дырок не больше, просто дефолты другие (кого они
>вообще интересуют? мы же настроим всё).
  
   Путь самурая не всегда приемлем. Особенно когда времени не много.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Удаленное выполнение кода в OpenBSD в установке по умолчанию"  
Сообщение от Sivolday (??) on 15-Мрт-07, 21:05 
Как раз сегодня с коллегами обсуждали подобную тему. Натолкнула на нее фраза из Дейтелов про то, что "алгоритм работает, но формальное доказательство того, что он работает, является весьма нетривиальным". И договорились, развивая тему, до того, что более менее сложная система вообще не может работать, так как корректное с математической точки зрения доказательство того, что все замысловатые алгоритмы, а точнее их реализации, в связке заработают, практически невозможно.
Но ведь работают!
В конце смягчили, типа, предложили гипотезу: если задаться определенным уровнем сложности, то с высокой долей вероятности можно утверждать, что сложная система имеет ошибки проектирования и реализации, а, следовательно, уязвимости.
В общем, можно было не начинать, потому что это и так всем ясно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру