The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Три опасные уязвимости во FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от opennews (??) on 04-Сен-08, 09:39 
Во FreeBSD обнаружены три новые уязвимости:

-  "amd64 swapgs local privilege escalation  (http://security.freebsd.org/advisories/FreeBSD-SA-08:07.amd6...)" - локальный злоумышленник может выполнить код в системе с привилегиями ядра (root), изменив состояние стека пользовательского приложения и инициировав GPF (General Protection Fault) в момент передачи управления приложению, после обработки ядром прерывания, trap или системного вызова.  Уязвимости подвержена только amd64 сборка всех поддерживаемых версий FreeBSD. Проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.

-  "nmount(2) local arbitrary code execution (http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmou...)" - возможность выполнения кода локального злоумышленника в контексте ядра, в случае когда непривилегированным пользователям предоставлена возможность монтирования файловых систем. Уязвимость вызвана ошибкой в системном вызове nmount, передающем пользовательские данные ядру без надлежащей проверки границ...

URL: http://www.freebsd.org/security/advisories.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17713

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Три опасные уязвимости во FreeBSD"  
Сообщение от i (??) on 04-Сен-08, 09:39 
есть эксплойты ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Три опасные уязвимости во FreeBSD"  
Сообщение от Станислав on 04-Сен-08, 09:46 
Как-то ну очень специфичные уязвимости...
Кроме amd64 и то...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Три опасные уязвимости во FreeBSD"  
Сообщение от daevy email on 04-Сен-08, 14:01 
что тут специфичного:-) монтировать чтолибо приходится часто (шары, флэшки) и прилететь ipv6 пакет тоже может запросто
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Три опасные уязвимости во FreeBSD"  
Сообщение от IIIenapg on 05-Сен-08, 02:03 
Ты сам себя что ли ломать собрался при монтировании? А для успешной реализации третьей уязвимости необходимо наличие открытого IPv6 TCP сокета.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 09:45 
Есть обновление...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Три опасные уязвимости во FreeBSD"  
Сообщение от Умник on 04-Сен-08, 09:46 
Если есть уязвимости - можно реализовать эксплойты!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Три опасные уязвимости во FreeBSD"  
Сообщение от spamtrap (ok) on 04-Сен-08, 09:52 
а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там включено?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Три опасные уязвимости во FreeBSD"  
Сообщение от Alex (??) on 04-Сен-08, 09:59 
да
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Три опасные уязвимости во FreeBSD"  
Сообщение от grayich email(ok) on 04-Сен-08, 10:00 
да
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Три опасные уязвимости во FreeBSD"  
Сообщение от uldus (ok) on 04-Сен-08, 10:01 
>а как обстоят нынче дела во freebsd с конфигурацией по-умолчанию? ipv6 там
>включено?

IPv6 включено и ssh на ipv6 порт по дефолту биндится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Три опасные уязвимости во FreeBSD"  
Сообщение от earfin (??) on 04-Сен-08, 11:13 
жесть... одно радует - ipv6 ещё слабо распространён
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "Три опасные уязвимости во FreeBSD"  
Сообщение от Клыкастое on 06-Сен-08, 15:58 
одно радует. вменяемые люди во время установки то, что не используют отключают. вплоть до пересборки ядра без ipv6
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Три опасные уязвимости во FreeBSD"  
Сообщение от Chirok on 04-Сен-08, 10:04 
# В качестве временного решения можно запретить операции монтирования пользователям: "sysctl vfs.usermount=0". #
Если не включать, то по умолчанию отрублено
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 10:09 
Молодцы ребята. Нашли и тут же устранили.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 10:21 
>Молодцы ребята. Нашли и тут же устранили.

это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как были сделаны фиксы, а не сразу по нахождению уязвимости.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Три опасные уязвимости во FreeBSD"  
Сообщение от Bocha email(??) on 04-Сен-08, 10:26 
>>Молодцы ребята. Нашли и тут же устранили.
>
>это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
>были сделаны фиксы, а не сразу по нахождению уязвимости.

Что-то не пойму, из чего это следует?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Три опасные уязвимости во FreeBSD"  
Сообщение от cvsup (ok) on 04-Сен-08, 10:28 
>>Молодцы ребята. Нашли и тут же устранили.
>
>это скорее всего был очередной delayed disclosure, т.е. опубликовали _после_ того как
>были сделаны фиксы, а не сразу по нахождению уязвимости.

Уязвимости опубликованы в тот же день после внесения исправлений в CVS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Три опасные уязвимости во FreeBSD"  
Сообщение от atnt on 04-Сен-08, 10:27 
ёклмн... security advisories уже давно на сайте лежат. Зачем людей пугать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Три опасные уязвимости во FreeBSD"  
Сообщение от spamtrap (ok) on 04-Сен-08, 11:11 
да кому тот сайт нужен?!! а вот пофлудить на форумах - это святое :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от charon (ok) on 04-Сен-08, 10:52 
интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям. Во всех распространённых ОС. Лично я пока везде поддержку этого протокола отрубаю (хотя нутром понимаю, что пора начинать экспериментировать).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Три опасные уязвимости в ipv6"  
Сообщение от Andrey Mitrofanov on 04-Сен-08, 10:59 
>интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.

Обычные "детские болезни": новая свистелка, реальных пользователей мало, код, написанный кодерами, тестируется в реальных условиях мало - качество кода "какое есть".

> Во всех распространённых ОС.

И в нераспространённых, наверное, тож, по логике. Только они вообще никому не нужны...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(ok) on 04-Сен-08, 12:14 
>интересная тенденция: реализации IPv6 очень часто подвержены уязвимостям.
>Во всех распространённых ОС.
>Лично я пока везде поддержку этого протокола отрубаю

Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не собираюсь возможно дольше (if ever).

Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от charon (ok) on 04-Сен-08, 13:13 
>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>собираюсь возможно дольше (if ever).

Федора и ЦентОС используют по умолчанию, приходится вырубать.

>Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра
>вообще без IPv6 для своих систем.

Во Фре я всегда пересобираю ядро и там не включаю. Я там включаю только то, что нужно :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(ok) on 04-Сен-08, 17:13 
>>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>>собираюсь возможно дольше (if ever).
>Федора и ЦентОС используют по умолчанию, приходится вырубать.

Их не применяю по более веским причинам...

2 User294: да, я ещё помню правило сисадмина: "не тяни в рот всё, что блестит".  Работает.

> а костыли с натами доходят до маразма

Вы, боюсь, слабо себе представляете, каким благом сейчас является NAT и как взвоют без него.

PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по полтора-два года.

Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  Впрочем, убунтушнику можно и простить непонимание разницы... ;P

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от vitek (??) on 04-Сен-08, 17:42 
Michael Вы всегда отличались культурностью в комментариях. (в отличае от меня. каюсь :-))
так что случилось на этот раз?

у меня прекрасно 2.4 живет на wl500gp (http://wl500g.info/forumdisplay.php?f=86)
и менять его там и не собираюсь.
а вот поставить 2.4 на мой новый ноут меня никто не уговорит. (если только в виртуалку)

а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(ok) on 04-Сен-08, 18:05 
>так что случилось на этот раз?

В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития" некоторых можно сильно дольше, чем, скажем, "современной форумной субкультурой" и безглазыми шмайлами.  До потопа-то из рек пить можно было, а сейчас грамотные люди вон "считываются".

>у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

Работает -- не трогай ;)

>а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

Ну вот я это "всё равно будем" if any, форсировать и не собираюсь.  Не для людей оно.

Собсно сейчас AS16 скорее закончатся, чем IPv4, как понимаю:
http://bgp.potaroo.net/as2.0/asnames.txt
http://xkcd.com/195/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Guest (??) on 04-Сен-08, 22:37 
> Не для людей оно.

Неужели ты тоже из пионеров, которые `IPv6 не нужен потому что у нас NAT и 10.0.0.0/8 адресов, да и как мы будем без ната сетку защищать' и `не для людей оно потому что 16 байт адреса тяжело запоминать'? Сочувствую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(??) on 09-Сен-08, 19:58 
>> Не для людей оно.
>Неужели ты тоже из пионеров

Ыазумеется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:11 
>В смысле?  Всё примерно как обычно... и пугать "допотопным уровнем развития"

А при чет тут пугать. IPv6 придет и вас спросить забудут.Не сделаете его поддержку - только вам же и хуже будет, IMHO. Ну и вашим кастомерам у которых будет тупой геморрой которого у остальных нет.

>>у меня прекрасно 2.4 живет на wl500gp и менять его там и не собираюсь.

Работает -- не трогай ;)
Дык и у меня работает. Такое же ядро на таком же роутере.Оно там уместно, в отличие от например десктопа или сервера.А так - юзал когда-то центос на 2.4 ядре.Там икались хреново реализованные треды например.В 2.6 реализация улучшена просто фантастически.

>>а в IPv6 мы все равно будем. нравиться это кому-нибудь или нет.

+1 :)

> Не для людей оно.

Да, для ваших клиентов видимо самое оно это NATы с тыщами юзеров на 1 айпи когда за деятельность одного дятла получает воздаяние вся орава.

>Собсно сейчас AS16 скорее закончатся, чем IPv4,

Сейчас каждая мобилка потенциально способна получить IP.Количество мобилок сами поищете, если надо.Там скорее всего просто не получится уже выдать каждой железке способной получить IP адрес свой IP.А потом юзерье на всех форумах плакается что там-то заблочили, там-то на аську не пускает.Ну конечно, общественные туалеты попадают под раздачу быстро и качественно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 00:57 
>2 User294: да, я ещё помню правило сисадмина: "не тяни в рот
>всё, что блестит".  Работает.

Все так.Но довольно странно игнорировать имеющиеся проблемы.Выходя в сеть я хочу получить нормальный айпи.А не висеть с помойки с парой тыщ юзеров.С которой и в ICQ не пустят потому что с этого IP и так тыща дятлов уже висит, и который попадет под раздачу как только хоть один дятел из легиона поймает виря например и разошлет спама.Далее все это смачно загремит в BL и отослать почту станет нереально, а ресурсы пользующиеся BLами пошлют вас нафиг.За чьи-то чужие грехи.Качество сервиса - на уровне общественного туалета.Нагадил один а нюхают все.Так долго продолжаться не может.


>> а костыли с натами доходят до маразма
>Вы, боюсь, слабо себе представляете, каким благом сейчас является NAT и как
>взвоют без него.

Да куда уж мне.Правда стоит учесть что в сети по квартире всего-то 3 роутера, без ната как вы понимаете тут не обошлось, т.к. получить с десяток-другой реальных айпишников на все и вся как-то для IP v4 накладненько малость выходит :)

На вытье юзеров *с натом* вы можете посмотреть в любом форуме по сетям на юзеров билайна которых в ICQ не пускает.Регулярный вой, соответственно, обеспечен.Равно как не меньший вой начинается когда кто-то сильно борзый проабузит факт относительной  анонимности жпрс, насрет с него на энном ресурсе, операторский нат накрывают баном.Ну а дальше легион юзерья верещит везде "ой, за что нас так?!".Итого админы ресурсов попадают в ситуацию "поза рака".С одной стороны, забанить того кто гадит вроде бы надо.С другой стороны бан по IP неизбежно накрывает орду народа.А по другим критериям не очень эффективно, ибо менябельно.

>PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому
>проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по
>полтора-два года.

Да... у меня 2.4 используют только роутеры.Просто потому что его такое туда вендоры засунули в силу компактности :)

>Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  

Я как бы отлично в курсе.Более того, даже роутеры с ядром 2.4 как-то умудряются поддерживать IP v6 :).А ваша система не умудряется?Ну тогда извините.Я ее даже рассматривать не буду - мне дебиана с их нездоровым консерватизмом и так выше крыши хватает.

Я как бы отлично понимаю что проблем с этим протоколом - будет.Поэтому я пять раз подумаю до того как его вывесить всем подряд наружу и прочая.Но.Это не значит что я его не погоняю в какой-то приватной конфигурации, прикину как оно и, подождав когда основные грабли юзеры соберут лбами - приду и буду готов к тому чтобы его юзать.И как вы понимаете, ваша система с такой политикой тут не помощник.Вообще :P.

>Впрочем, убунтушнику можно и простить непонимание разницы... ;P

Мне почему-то казалось что вы умнее пальцатых пионеров клеящих ярлыки.После данной фразы мне что-то начинает казаться что зря.Или может быть тема задела за живое.Хрен вас там разберет.Только давайте вы за меня не будете домысливать в чем я разбираюсь, а в чем нет?А то некрасиво это выглядит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "(offtopic) IPv6 и другие"  
Сообщение от Michael Shigorin email(??) on 09-Сен-08, 19:57 
>>2 User294: да, я ещё помню правило сисадмина: "не тяни в рот
>>всё, что блестит".  Работает.

А, вот фортунка:

---
Где-то как-то прочитал вот такую хохмочку: "Hастоящий админ должен быть в
меру тормознутым" :) Т.е. не тащить тут же в рот, как дитя малое, каждую
новую блестящую игрушку.
---

>Выходя в сеть я хочу получить нормальный айпи.

Ну и получите-распишитесь, в чём проблема?  Выхожу, имею.  Доплачиваю лишних 5 грн (25 р) домопровайдеру -- потому как вижу для себя смысл.

Решительно не вижу проблемы. :)

>С которой и в ICQ не пустят

Давным-давно не использую.

>Далее все это смачно загремит в BL и отослать почту станет нереально

Почту из дому тоже практически не шлю.  Причём если приспичит, то релеев минимум два -- свой и провайдерский.

>Так долго продолжаться не может.

(пожимая плечами) Да ладно, вспомните ещё мои слова, когда у каждого юзерского тазика будет маршрутизируемый IP.

>>PS: "А вы кернель случайно не 2.4 юзаете?" -- пару недель тому
>>проапгрейдил последний хост с 2.4, который прекрасно работал с аптаймами по
>>полтора-два года.

Кстати, позавчера хост выдал kernel panic -- в принципе, и так знал, что ovz@i586 тестируется по остаточному принципу, но на двухмоторной железке до сих пор проблем не наблюдал... пришлось вешать http://bugzilla.openvz.org/show_bug.cgi?id=1002, а ведь именно этот тазик доставлял меньше всех проблем.

>>Linux 2.4/2.6 -- это совсем не то же, что IPv4/v6.  
>Я как бы отлично в курсе.Более того, даже роутеры с ядром 2.4
>как-то умудряются поддерживать IP v6 :).А ваша система не умудряется?

До modprobe ipv6 -- нет, конечно.  Начнёт умудряться -- напильником получит.

>>Впрочем, убунтушнику можно и простить непонимание разницы... ;P
>Мне почему-то казалось что вы умнее пальцатых пионеров клеящих ярлыки.

Ну... изредка достаю и ярлычницу.  Убунтушники нынче -- моя слабость, вместо как-то поредевших слакваристов и гентушников.

Кстати, мне тоже почему-то казалось, что Вы выше {много,голо}словности.  Какое-то время. :)

>Только давайте вы за меня не будете домысливать в чем я разбираюсь, а в чем нет?
>А то некрасиво это выглядит.

Согласен, давайте.  Как там -- they agreed to disagree. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 04-Сен-08, 16:30 
>Я не врубаю (благо дистрибутив по умолчанию не суёт), и поддерживать не
>собираюсь возможно дольше

Удачного будущего вашим системам и все такое, но я боюсь что это приведет к ситуации "все ушли вперед но некоторые остались на допотопном уровне развития" :).А вы кернель случайно не 2.4 юзаете?А то мало ли чего там в этом новом 2.6 :)

> (if ever).

Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6. Хотя безусловно, нахрен IP всякие, можно быть и в области балета впереди планеты всей :))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 18:34 
>Адресов в IP V4 как-то уже не дофига а костыли с натами доходят до маразма.Уже многие вендоры отдуплились продуктами с IP v6.

Ааааа - ну так бы сразу и сказал - это твоя первая работа в ИТ и ты уж 3 дня как седожопый одмин :)
А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

:)

Ну а то что вендоры пишут про IPv6 сапортед, ну и ? Главное _как_ оно саппортед - если уж в Линуксах да *БСД постоянно находят косяки - сколько их в закрытых поделках типа кошек ... лучше даже не думать 8-\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 00:24 
>Ааааа - ну так бы сразу и сказал - это твоя первая
>работа в ИТ и ты уж 3 дня как седожопый одмин
>:)

Да, IT это мой первый вид деятельности.Уже поболее десятка лет.А вот у вас кажется, какие-то комплексы по части возраста или опыта.Во всяком случае понтуетесь такой фигней вы а не я.В таких понтах обычно нуждаются чтобы убедить окружающих и самого себя в том что "я дескать, не пустое место!"... ;)

>А мы то помним что "IPv4 адреса почти кончились"
>(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...

Если вы такие умные, то чего же строем не ходите?Посмотрите, в этом мире есть более миллиарда мобильников.И каждый потенциально может иметь IP адрес.То что через ж**у можно за счет натинга кое-как работать - да, можно.Как именно работать - понятно как.Совсем не так как задумывалось авторами протоколов.Итого большая часть сетевого кода нынче порой связана не с нетворкингом а с работой с вот этими вот костылями.Что?STUN?NAT-Traversal?Порт-форвард?UPnP?Какие клевые, свежие, чудесные костылики к протоколу который в мире где каждый таракан подключен к сети уже не справляется с этим напрямую :)

>Ну а то что вендоры пишут про IPv6 сапортед, ну и ?

Ну да.И бэкбоны запускают с V6 для прикола.Ага :)

>Главное _как_ оно саппортед - если уж в Линуксах да *БСД
>постоянно находят косяки - сколько их в закрытых поделках типа кошек
>... лучше даже не думать 8-\

В любом новом протоколе будут косяки.В IPv6 их будет много(хацкеры указывали на уязвимости и слабины, но на это забили).Придется порихтовать, как это было с IPv4.Такова жизнь.А то знаете, можно было бы до сих пор по вашей логике дудеть в телефонную линию на 300bps самой примитивной модуляцией.А то и вовсе морзянкой обойтись.А то в каком-нить wi-fi - столько косяков, что просто кошмар!И гигабитный эзернет не без проблем.Ужас!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 05-Сен-08, 17:52 
Я тут весь квотинг порипал :)

User294 - если ты проффи тогда ответь прямо - ты на продакшен системах, желательно имеющих прямое подключение в интернет (но не на роутерах) - держишь IPv6? Или нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 05-Сен-08, 00:38 
>[оверквотинг удален]
>работа в ИТ и ты уж 3 дня как седожопый одмин
>:)
>А мы то помним что "IPv4 адреса почти кончились"(С)1997,1998,1999,200,2001,2002,2003,2004,2005,2006,2007,2008 ...
>
>:)
>
>Ну а то что вендоры пишут про IPv6 сапортед, ну и ?
>Главное _как_ оно саппортед - если уж в Линуксах да *БСД
>постоянно находят косяки - сколько их в закрытых поделках типа кошек
>... лучше даже не думать 8-\

по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги -- там упоминаний про ipv6 очень много :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:18 
>по поводу кошек -- возьмите любой релиз ios и почитайте открытые баги
>-- там упоминаний про ipv6 очень много :)

Почитайте списки исправленных ляпов за время существования IPv4.Там немеряно дыреней заделано, при том никто даже не документировал в RFC или каком-то еще едином месте все это, исправляя грабли по мере нахождения.С IPv6 разумеется будет то же самое, даже хуже.Ну а какие еще варианты есть?Если не двигаться вперед - так до сих пор бы морзянкой только общались.Или в лучшем случае, модемами на 300bps.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Дмитрий Ю. Карпов on 05-Сен-08, 10:48 
> Как минимум один знакомый специалист в информационной безопасности не ленится собирать ядра вообще без IPv6 для своих систем.

Познакомишься со мной - будет второй. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Александр Чуранов on 05-Сен-08, 14:00 
>Познакомишься со мной - будет второй. :)

Я тоже обычно оставляю в ядре только то, что реально нужно. Ни больше, ни меньше. IP6 вещь хорошая, но мне пока не понадобилась.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "(offtopic) re: познакомиться"  
Сообщение от Michael Shigorin email(??) on 09-Сен-08, 19:44 
>> Как минимум один знакомый специалист в информационной безопасности
>> не ленится собирать ядра вообще без IPv6 для своих систем.
>Познакомишься со мной - будет второй. :)

Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не собираетесь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "(offtopic) re: познакомиться"  
Сообщение от Александр Чуранов on 09-Сен-08, 21:12 
>Буду рад :-)  В Одессу на этой неделе (http://www.foss-sea.org.ua) часом не
>собираетесь?

К сожалению, нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "OpenNews: Три опасные уязвимости во FreeBSD"  
Сообщение от Guest (??) on 04-Сен-08, 15:44 
А реализации всех сетевых протоколов подвержены уязвимостям. Старичок TCP/IP несколько раз радовал DOS'ами на моем веку. SCTP когда в Linux реализовали - дырок сыпались просто тонны. IPv6 тоже не будет исключением.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Три опасные уязвимости во FreeBSD"  
Сообщение от Имя on 04-Сен-08, 12:19 
Нужно просто-напросто сделать такой компилятор,
чтобы уязвимости в принципе не могло возникнуть.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 12:28 
Компилятор не может обеспечить написание правильного кода.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Три опасные уязвимости во FreeBSD"  
Сообщение от 111 (??) on 04-Сен-08, 12:28 
Лучше "сделай" программера который будет писать код без ошибок
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Три опасные уязвимости во FreeBSD"  
Сообщение от charon (ok) on 04-Сен-08, 15:48 
>Нужно просто-напросто сделать такой компилятор,
>чтобы уязвимости в принципе не могло возникнуть.

есть мнение (не я придумал), что нужно менять архитектуру компов. Например, разделение памяти на код и данные, причем в области данных программы не могут выполняться. Ну и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Три опасные уязвимости во FreeBSD"  
Сообщение от Vital (??) on 04-Сен-08, 15:55 
а щас оно как О_О?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Три опасные уязвимости во FreeBSD"  
Сообщение от charon (ok) on 04-Сен-08, 16:41 
>а щас оно как О_О?

а сейчас не так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(ok) on 04-Сен-08, 17:19 
>>а щас оно как О_О?
>а сейчас не так.

Не специалист, но не совсем "не так", как понимаю: http://en.wikipedia.org/wiki/W^X

Насчёт "программа -- не данные" не соображу сразу, что засвербило...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Три опасные уязвимости во FreeBSD"  
Сообщение от Vital (??) on 04-Сен-08, 21:51 
сегмент кода, сегмент данных, сегмент стека - новые для тебя слова?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Три опасные уязвимости во FreeBSD"  
Сообщение от vitek (??) on 05-Сен-08, 00:51 
это абстрактные понятия (сейчас говорят - виртуальные :-))
"легким движением руки" запускается код и из сегмента данных, и из стека...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:28 
>"легким движением руки" запускается код и из сегмента данных, и из стека...

На новых процессорах с технологиями типа NX - не таким уж и легким насколько я знаю.
И еще, в случае IPv6 - компилер может быть сколько угодно раз правильным, а от логических ошибок это 1 хрен не спасет.А логических ошибок... там даже по просто RFCшному описанию хакеры уже веселостей с логическими ошибками нашли.А уж конкретным реализациям и вовсе достанется.А куда деваться?Жрать и дальше кактус IPv4 который уже сегодня в принципе имеет проблемы с тем чтобы произвольному девайсу (скажем, мобильнику) выдать собственный адрес?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Три опасные уязвимости во FreeBSD"  
Сообщение от charon (ok) on 05-Сен-08, 11:20 
>>"легким движением руки" запускается код и из сегмента данных, и из стека...
>
>На новых процессорах с технологиями типа NX - не таким уж и
>легким насколько я знаю.

Но вполне возможным. NX - это прикрученная приблуда, она изначально в архитектуре отсутствовала и является явно искусственным костылём.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Три опасные уязвимости во FreeBSD"  
Сообщение от vitek (??) on 05-Сен-08, 11:22 
>На новых процессорах с технологиями типа NX - не таким уж и легким насколько я знаю.

но и не особо тяжелая. в общем академиком быть не обязательно. :-)
а тут ещё как то муссируется в разных журналах дырки в самом intel'овском cpu....
>И еще, в случае IPv6 - компилер может быть сколько угодно раз правильным, а от логических ошибок это 1 хрен не спасет....

а вот с этим никто и не спорит....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Три опасные уязвимости во FreeBSD"  
Сообщение от Guest (??) on 04-Сен-08, 20:46 
А сейчас как, по-твоему? Курить любую доку по защищенному режиму.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Три опасные уязвимости во FreeBSD"  
Сообщение от Александр Чуранов on 05-Сен-08, 00:40 
>А сейчас как, по-твоему? Курить любую доку по защищенному режиму.

Да нет же, есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

Другое дело, что природа багов - это ошибки человека.

Рассмотрите следующий пример: злоумышленник выкладывает на сервере *png файл, вы скачиваете, а в просмотрщике картинок баг - определяет выполняемое с файлом действие по shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл есть, то всё, привет.

То есть одной аппаратной защитой и фишками языка или компилятора не обойтись. В приведённом выше примере переполнением буфера и не пахнет.

В принципе возможно построение системы, устойчивой к багам типа этого, но это ОЧЕНЬ дорого. И поддерживать систему будет ДОРОГО. На каждое изменение в конфигурации - аудит безопасности. Порт проапдейтился - зовите эксперта.

http://en.wikipedia.org/wiki/Harvard_architecture
http://www.analog.com/en/embedded-processing-dsp/sharc/conte...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:32 
>в просмотрщике картинок баг - определяет выполняемое с файлом действие по
>shabang. А злодей там "#!/usr/bin/perl" разместил. И если у вас перл
>есть, то всё, привет.

Красивый пример логического бага ;).В IPv6 именно логических ошибок - предостаточно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "На Гарвардской архитектуре не смогут работать компиляторы"  
Сообщение от Дмитрий Ю. Карпов on 05-Сен-08, 11:00 
> есть архитектуры фон неймана и гарвардская. Первая - это x86, а вторая - это, например SHARC. Во второй память физически разделена.

Отлично! А теперь объясните мне, как на такой архитектуре сможет работать компилятор! Надеюсь, Вы в курсе, что программы для всех гарвардских компьютеров делаются кросс-компиляторами?

А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре работать не смогут!

А может, на всех пользователей компьютеров наручники надеть: ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "На Гарвардской архитектуре не смогут работать компиляторы"  
Сообщение от vitek (??) on 05-Сен-08, 11:17 
>А может, на всех пользователей компьютеров наручники надеть: ;)

хорошая идея :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "На Гарвардской архитектуре не смогут работать компиляторы"  
Сообщение от Александр Чуранов on 05-Сен-08, 14:03 
>А что сможет противопоставить хоть трижды гарвардская архитектура интерпретируемому языку, коих уже
>масса? Джавовский байт-код зачастую тоже интерпретируется, а JIT-компиляторы на гарвардской архитектуре
>работать не смогут!

Сам не знаю. Возможно, поклонники super harvard сказали бы "JIT в топку!". Мне самому интересно, как в память для исполнимого кода этот код попадает. Однако такие процессоры есть и в своих областях широко используются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:27 
>Нужно просто-напросто сделать такой компилятор,

Компилятор - не AI, ошибки в протокольной логике ЛЮБОМУ компилятору будут до балды, потому что в отличие от авторов протокола и реализаторов оного компилер думать не умеет.Что хуже, далеко не любой программер может подумать "а что будет если вон то значение в вон том поле будет не такое как ожидалось?".И вот такого типа ляпов в IPv6 будет немеряно.Даже без всяких переполнений буферов.На тематических ресурсах уже давно обсуждали ряд интересных атак на протокольную логику.Но на них что-то подзабили.Ну, вспомнят при массовом использовании, куда ж денутся?А массовое использование - не за горами.Если бэкбоны и клиентское оборудование протокол поддерживать начинают - тут все понятно уже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Три опасные уязвимости во FreeBSD"  
Сообщение от Anonymous on 04-Сен-08, 12:50 
# grep ipv6_enable /etc/defaults/rc.conf
ipv6_enable="NO"                # Set to YES to set up for IPv6.

?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Три опасные уязвимости во FreeBSD"  
Сообщение от Лше on 04-Сен-08, 13:06 
># grep ipv6_enable /etc/defaults/rc.conf
>ipv6_enable="NO"            
>    # Set to YES to set up
>for IPv6.
>
>?

Так и есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Три опасные уязвимости во FreeBSD"  
Сообщение от Anonymous on 04-Сен-08, 13:13 
я про то, что пересобирать ядроо с миром не обязательно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Три опасные уязвимости во FreeBSD"  
Сообщение от Sb (??) on 04-Сен-08, 13:57 
Да вот не совсем так. Если посмотреть rc.conf, который default, то там эта опция по умолчанию отключена, что не мешает некоторым службам слушать ipv6 сокеты. Выключать через sysctl - тоже не всё выключится. Всё же ядро - оно надёжнее и проще.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 04-Сен-08, 18:45 
Что то поменялось в этом мире - _такая_ тема а все ведут себя прилично без соплей и наездов :-)

... либо Максим оперативно работает и режет балбесов :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Три опасные уязвимости во FreeBSD"  
Сообщение от Michael Shigorin email(ok) on 04-Сен-08, 19:15 
>Что то поменялось в этом мире - _такая_ тема а все ведут
>себя прилично без соплей и наездов :-)

Дык когда всё хорошо, можно и попинать друззски, а когда плохо -- не до того.

>... либо Максим оперативно работает и режет балбесов :)

Судя по почте, прибито пока только одно очевидно бессмысленное сообщение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Три опасные уязвимости во FreeBSD"  
Сообщение от User294 (ok) on 05-Сен-08, 01:40 
>Что то поменялось в этом мире - _такая_ тема а все ведут
>себя прилично без соплей и наездов :-)

Секурити - само по себе не особо выигрышная тема для понта - сегодня понаезжаешь как у других все плохо.А завтра в огород твоей любимой системы тоже сгрузят булыжников - будешь чувствовать себя дураком (если наглость не совсем мозг съела).Более того, в случае с IPv6 это еще и почти гарантировано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Три опасные уязвимости во FreeBSD"  
Сообщение от vitek (??) on 05-Сен-08, 11:27 
>Более того, в случае с IPv6 это еще и почти гарантировано.

причём всем и на любой ОС

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 05-Сен-08, 17:41 
Чёрт! У этого мира есть шанс :)
Просто помнится как именно это и происходило всегда даже при секьюрити дырах ...

Всё таки OpenNET - лучшее место пообщаться для тех кто реально делает IT!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Три опасные уязвимости во FreeBSD"  
Сообщение от Аноним (??) on 05-Сен-08, 07:02 
Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный выход в моем случае пересборка ядра без поддержки ipv6?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Три опасные уязвимости во FreeBSD"  
Сообщение от grayich email(ok) on 05-Сен-08, 07:20 
5-тая ветка уже не поддерживается, желательно обновить ее до (скоро выйдет) 6.4 или 7.1
не факт, что эта уязвимость есть в 5.x но если есть то да, пересобрать ядро без ipv6

з.ы.
кстати да, зря ipv6 по умолчанию включенна, всеравно в 97% ее отключают

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "Три опасные уязвимости во FreeBSD"  
Сообщение от oops on 06-Сен-08, 22:10 
>Пжалуйста, объясните ламеру по поводу устранения уязвимости IPv6 во FreeBSD 5.4. В
>новостях указывается, что проблема решена лишь для 7.0-RELEASE-p4 и 6.3-RELEASE-p4. Единственный
>выход в моем случае пересборка ядра без поддержки ipv6?

Пятая ветка официально не поддерживается больше. Нет никакого смысла на ней сидеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру