The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасная удалённая уязвимость в ядре Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от opennews (ok) on 19-Мрт-14, 21:27 
В ядре Linux исправлена (http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...) опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP (http://ru.wikipedia.org/wiki/DCCP). При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.


Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена (http://marc.info/?l=oss-security&m=139505166223811) как уязвимость только в минувший понедельник.  За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-2523), SuSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2014-2523), Debian (https://security-tracker.debian.org/tracker/CVE-2014-2523), Ubuntu (http://people.canonical.com/~ubuntu-security/cve/2014/CVE-20...).


В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

<font color="#461b7e">
    iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK
</font>


URL: http://marc.info/?l=oss-security&m=139507011230794
Новость: http://www.opennet.me/opennews/art.shtml?num=39355

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]

Часть нити удалена модератором

2. "Опасная удалённая уязвимость в ядре Linux"  +14 +/
Сообщение от Фыр on 19-Мрт-14, 21:34 
Ага, 5 лет калитка нараспашку и никто туда не зашёл.
Я вообще про этот протокол впервые слышу.
Он хоть где-то используется?
Ответить | Правка | Наверх | Cообщить модератору

50. "Опасная удалённая уязвимость в ядре Linux"  +4 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:53 
> Он хоть где-то используется?

Проверил - фигЪ. OpenWRT на роутерах - нету. Десктопы с *бунту - нету. Серваки с дебианом и ubuntu - нету. Всякая эмбедовка, N900 - аналогично. DCCP - редкий вид. Хватай, а то убежит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

85. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 10:28 
Ему ине надо использоваться, чтоб хакнуть твою систему.
Как я понял, если разрешать только tcp/udp/icmp и дропать все остальное, то обработка других пакетов в contrack все равно идет?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

92. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Michael Shigorin email(ok) on 20-Мрт-14, 16:23 
> Ему ине надо использоваться, чтоб хакнуть твою систему.

Даже если nf_conntrack_proto_dccp не загружен?  Ну попробуйте.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

89. "Опасная удалённая уязвимость в ядре Linux"  +2 +/
Сообщение от azure (ok) on 20-Мрт-14, 10:59 
> Ага, 5 лет калитка нараспашку и никто туда не зашёл.

Как можно знать что никто не зашел? Никто не сказал, что зашел.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:41 
DCCP практически не используется
Ответить | Правка | Наверх | Cообщить модератору

6. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:42 
А оно выключено по-умолчанию?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от backbone (ok) on 19-Мрт-14, 21:50 
Не включено.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:51 
Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
Загружается автоматически.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Опасная удалённая уязвимость в ядре Linux"  –2 +/
Сообщение от backbone (ok) on 19-Мрт-14, 21:53 
> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.

Странно, в Debian не загружается. В Gentoo вообще *DCCP*=n. Какой дистрибутив?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

51. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:54 
> Странно, в Debian не загружается.

И в *buntu тоже. И вообще, я ни 1 машины с этим модулем не нашел, даже среди всякой эмбедовочной экзотики.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от AlexAT (ok) on 19-Мрт-14, 21:53 
> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.

В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

38. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:27 
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

Ага, в openwrt по дефолту вражеского модуля тоже нету. Так что домашние роутеры с openwrt тоже не вы#$%т. Это хорошо.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

86. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 10:31 
>> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
>> Загружается автоматически.
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

В убунте один модуль nf_conntrack, который обрабатывает все соединения. Значит в дебиане тоже.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

40. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от ZloySergant (ok) on 19-Мрт-14, 22:31 
>Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.

Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

P.S. Я - не про одмина локалхоста.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

60. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 00:14 
> Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опциями.

Вы путаете админов с гентушниками.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

65. "Опасная удалённая уязвимость в ядре Linux"  –2 +/
Сообщение от Perl_Jam on 20-Мрт-14, 03:23 
а вы путаете грешное с праведным или теплое с мягким. если конкретно для вас не нужен специфичный тюнинг ядра - это еще ни о чем не говорит. как, впрочем, ничего не говорит о людях, собирающих кернел самостоятельно. и кто из вас _о_дмин? гентушники, в большинстве случаев, хоть отдают себе отчет,что они делают и зачем. школоло не в счет, оно любой дистр может загадить. пусть и в процессе познания.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

78. "Опасная удалённая уязвимость в ядре Linux"  +5 +/
Сообщение от volax on 20-Мрт-14, 08:20 
А вы вообще всё путаете.
Грешное и праведное - антонимы, а теплое и мягкое - нет.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

94. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 20-Мрт-14, 21:30 
> а вы путаете грешное с праведным или теплое с мягким. если конкретно
> для вас не нужен специфичный тюнинг ядра - это еще ни
> о чем не говорит.

Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра.
Наверное, собираете "только нужные модули", причем монолитно, и надеетесь, что оно будет работать быстрее?

> гентушники, в большинстве случаев, хоть отдают себе отчет,что они делают и зачем.

Возможно. Но к реальной работе админа то, что делают гентушники, относится довольно слабо.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

79. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от arisu (ok) on 20-Мрт-14, 08:27 
> Вы путаете админов с гентушниками.

нет, это ты отчего-то считаешь эникейщиков админами.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

93. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 20-Мрт-14, 21:27 
> нет, это ты отчего-то считаешь эникейщиков админами.

Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очень часто и активно этим занимаются. Мудрость приходит только с годами.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

100. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Led (ok) on 21-Мрт-14, 08:33 
> Мудрость приходит только с годами.

Не факт. Обычно не приходит.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

106. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 22-Мрт-14, 19:26 
даже фтп не загружается, а уж это...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:52 
> Не включено.

как узнать ?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от backbone (ok) on 19-Мрт-14, 21:54 
>> Не включено.
> как узнать ?

lsmod | grep -i dccp.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:58 
>>> Не включено.
>> как узнать ?
> lsmod | grep -i dccp.

Это выдаст только текущее состояние, которое может измениться в любой момент.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от AlexAT (ok) on 19-Мрт-14, 22:01 
> Это выдаст только текущее состояние, которое может измениться в любой момент.

Для полной уверенности, если конечно как модуль собрано:
lsmod | grep dccp (ничего не должно быть)
find /lib/modules -iname \*dccp\* -delete

Где не собрано, как модуль - ну ссзб, увы.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

66. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Perl_Jam on 20-Мрт-14, 03:30 
>> Это выдаст только текущее состояние, которое может измениться в любой момент.
> Для полной уверенности, если конечно как модуль собрано:
> lsmod | grep dccp (ничего не должно быть)
> find /lib/modules -iname \*dccp\* -delete
> Где не собрано, как модуль - ну ссзб, увы.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

67. "Опасная удалённая уязвимость в ядре Linux"  –5 +/
Сообщение от Perl_Jam on 20-Мрт-14, 03:32 
>> Это выдаст только текущее состояние, которое может измениться в любой момент.
> Для полной уверенности, если конечно как модуль собрано:
> lsmod | grep dccp (ничего не должно быть)
> find /lib/modules -iname \*dccp\* -delete
> Где не собрано, как модуль - ну ссзб, увы.

единственное, что хотел бы заметить, вы часто используете модули на боевых серверах?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

107. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 22-Мрт-14, 19:30 
просто в blacklist его вписать и все.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от PavelR (ok) on 19-Мрт-14, 22:01 

Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной, какой механизм сработает?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:10 
Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем больше модулей conntrack - тем лучше.
Это как пример.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

52. "Опасная удалённая уязвимость в ядре Linux"  +2 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:56 
> Какая-нибудь "умная" морда к iptables при очередной настройке/обновлении решит, что чем
> больше модулей conntrack - тем лучше.

Лишний повод не использовать такие морды.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

57. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 23:55 
> Лишний повод не использовать такие морды.

Золотые слова. Жаль, эникеи их не оценят :(

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

59. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 00:11 
> Золотые слова. Жаль, эникеи их не оценят :(

Ну если кто не хочет платить нормальному админу - он получает то что получает. Например, админа который зачем-то коннтрекает DCCP...

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

118. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от XoRe (ok) on 24-Мрт-14, 15:54 
> Расскажите пожалуйста, каким образом  произойдет изменение состояния? Что будет тому причиной,
> какой механизм сработает?

iptables -L -t nat

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от backbone (ok) on 19-Мрт-14, 22:04 
>>>> Не включено.
>>> как узнать ?
>> lsmod | grep -i dccp.
> Это выдаст только текущее состояние, которое может измениться в любой момент.

Если сервер работает месяцами и данный модуль не потребовался за это время, велика вероятность, что ни чем не используется...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

41. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:33 
> Это выдаст только текущее состояние, которое может измениться в любой момент.

1) В нормальной ситуации такие модули на ходу не загружаются.
2) Если у вас ненормальная ситуация, загрузку модулей можно запретить, вплоть до перезагрузки.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

105. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от rihad email on 22-Мрт-14, 17:46 
Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP пакете.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

25. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:00 
Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я лично эту минорщину даже не собираю никогда.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

42. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:34 
> Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я
> лично эту минорщину даже не собираю никогда.

В *бунтах и дебиане этот модуль по дефолту тоже не активен. В openwrt - аналогично.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

56. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Khariton (ok) on 19-Мрт-14, 23:52 
ну сам по себе модуль есть...
cat /boot/config-3.11.0-18-lowlatency | grep  DCCP
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
# CONFIG_IP_DCCP_CCID3 is not set
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
CONFIG_NET_DCCPPROBE=m

только вот вероятность его запуска какова?
надо его прописать в блэклист наверно для пущей уверенности...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

58. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 23:57 
> только вот вероятность его запуска какова?

Если у вас нет всяких умных морд к фаерволу - близка к нулю.

> надо его прописать в блэклист наверно для пущей уверенности...

Бессмысленно. blacklist используется в основном udevом, а он не занимается сетевыми протоколами.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

9. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от vlikhachev (ok) on 19-Мрт-14, 21:49 
А что, есть самураи, использующие DCCP через NAT в офисе?
"Use streaming media, multiplayer online games and Internet telephony"

Я, например, DCCP не использую на службе. Возможное исключение - SIP, но там внешние соединения ограничены серверами провайдеров (я их клиент, если что).
Вообще говоря, слушать радио онлайн и играть в инет игры для офиса несколько странно...

Ответить | Правка | Наверх | Cообщить модератору

81. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 09:07 
> радио онлайн и играть в инет игры для офиса несколько странно...

Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем. Но и тут сабж не при чем, ибо у всех почти поголовно стоит Windows.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

97. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 21:36 
> Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем.

Нет. Реорганизуют и сокращают как раз тех, кто работает. Бездельников и распильщиков трогать низя, они самые ценные люди.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

63. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 01:56 
А представьте что в проприетарном закрытом коде творится! :)
Ответить | Правка | Наверх | Cообщить модератору

80. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от commiethebeastie (ok) on 20-Мрт-14, 08:58 
Локалхостеры-гентушнеки они такие.
Ответить | Правка | Наверх | Cообщить модератору

3. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от nataraj (??) on 19-Мрт-14, 21:34 
Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?

А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:37 
А NAT на каком ядре работает ?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:56 
> Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22
> порт, то оно может через него пробраться?

Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя.

> А как на счет роутера с линуксом на борту? На нем тоже
> безобразия будут?

Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

44. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:37 
> Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m"
> - значит, подвержено.

...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:11 
Если на 22 порту использовать DCCP то может. Но обычно там используют SSH. Бояться нужно бардака с паролями, и 22 порт пробросить через порты выше 1000.
Проблемы поддержки dccp в Вашем роутере Вам не грозят, у Вас квалификации не хватит этот протокол там задействовать.
Позабавили вопросом однако. :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Опасная удалённая уязвимость в ядре Linux"  +3 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:16 
> Если на 22 порту использовать DCCP то может. Но обычно там используют SSH.
> на 22 порту
> DCCP
> у Вас квалификации не хватит этот протокол там задействовать.

Сказал человек, только что перепутавший транспортный уровень с сетевым.

> Позабавили вопросом однако. :)

Да :)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:16 
> Сказал человек, только что перепутавший транспортный уровень с сетевым.

*прикладным

> Да :)

Теперь и я тоже :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

90. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 11:56 
Да.
Да. Да.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от AlexAT (ok) on 19-Мрт-14, 21:46 
Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.

blacklist dccp
blacklist nf_conntrack_dccp
blacklist xt_dccp

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:50 
тоже подумал что не обязательно делать NOTRACK
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:53 
> Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили
> каждый месяц.
> blacklist dccp
> blacklist nf_conntrack_dccp
> blacklist xt_dccp

Отличная шутка.
blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной, если указан ключ -b).
На автоподгрузку модулей сетевых протоколов это никак не влияет.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Опасная удалённая уязвимость в ядре Linux"  +2 +/
Сообщение от AlexAT (ok) on 19-Мрт-14, 21:56 
> Отличная шутка.
> blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной,
> если указан ключ -b).
> На автоподгрузку модулей сетевых протоколов это никак не влияет.

Согласен, не панацея.

Поскольку конфиги у меня известные - я точно знаю, что автоподгрузка, к примеру, из iptables - не произойдёт. А вот на этапе начальной загрузки блеклист не мешает. На всякий случай.

Для полной уверенности, если конечно как модуль собрано:
find /lib/modules -iname \*dccp\* -delete

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

46. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:38 
> На автоподгрузку модулей сетевых протоколов это никак не влияет.

Осталось только найти где она делается и почему.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

102. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от pavlinux (ok) on 21-Мрт-14, 16:51 
Ты с SCTP перепутал.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Опасная удалённая уязвимость в ядре Linux"  –2 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:49 
А как насчет роутеров с OpenWRT(да и не только!) на борту?
Даже если и выйдет патч/заплатка, как её применить без перепрошивки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Опасная удалённая уязвимость в ядре Linux"  +3 +/
Сообщение от Sonnix (ok) on 19-Мрт-14, 22:09 
Проверил на OpenWRT 12.09 и на текущем trunk. Он собран без поддержки dccp так что уязвимости не подвержен.
Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия dccp iptables выдаст unknown protocol "dccp" specified.
И в чем собственно великая проблема обновить прошивку?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:14 
> Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия
> dccp iptables выдаст unknown protocol "dccp" specified.

Это зависит не от наличия модуля, а от наличия протокола в /etc/protocols.
Внутри netfilter протоколы транспортного уровня идентифицируются по номерам. Даже если есть модуль для протокола 33, при отсутствии нужной записи в protocols, iptables просто не поймет, что такое "-p dccp".

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Опасная удалённая уязвимость в ядре Linux"  +3 +/
Сообщение от Sonnix (ok) on 19-Мрт-14, 22:25 
Из конфига ядра openwrt:
# CONFIG_NF_CT_PROTO_DCCP is not set
# CONFIG_NETFILTER_XT_MATCH_DCCP is not set
# CONFIG_IP_DCCP is not set

Так что по умолчанию поддержки быть не должно. Соответствующих модулей в собранной системе нет.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:27 
> Из конфига ядра openwrt:

Это уже другой разговор.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

36. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:18 
> И в чем собственно великая проблема обновить прошивку?

Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

43. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Sonnix (ok) on 19-Мрт-14, 22:34 
На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования. Проблем с сохранением и восстановлением настроек после прошивки нет.
Так же если есть удаленный доступ к маршрутизатору его можно прошить без физического доступа к устройству  например по ssh через sysupgrade. sysupgrade так же умеет сохранять настройки при обновлении прошивки. Единственная проблема если что-то во время прошивки пойдет не так что без физического доступа возможно не получится восстановить маршрутизатор. Но никто не мешает до обновления проверить процесс прошивки на аналогичном устройстве к которому доступ есть.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:43 
> Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

В openwrt есть режим сохранения настроек :-). Ну и если совсем уж прижало - можно образ кастомный собрать. Впрочем, для начала там по дефолту нет проблемного модуля - смысл чинить то что не сломано?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

23. "Опасная удалённая уязвимость в ядре Linux"  +5 +/
Сообщение от Аноним (??) on 19-Мрт-14, 21:57 
ЖУтко опасная. Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

// b.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Опасная удалённая уязвимость в ядре Linux"  +3 +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:11 
> Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

Суть новости в том, что так должно оставаться и дальше.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

49. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 19-Мрт-14, 22:46 
> Суть новости в том, что так должно оставаться и дальше.

А зачем вам сетевые модули трекинга соединений "про запас"? Чтобы увеличить шансы на получение ручкой грабель в лоб?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

54. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от emg81 (ok) on 19-Мрт-14, 23:26 
$ zgrep -i dccp /proc/config.gz
# CONFIG_IP_DCCP is not set

раз не нужно - то выключено. и нет проблем.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Опасная удалённая уязвимость в ядре Linux"  –1 +/
Сообщение от анон on 20-Мрт-14, 06:46 
# zgrep -i dccp /proc/config.gz
# CONFIG_IP_DCCP is not set
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Опасная удалённая уязвимость в ядре Linux"  –2 +/
Сообщение от arzeth (ok) on 20-Мрт-14, 07:08 
у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Опасная удалённая уязвимость в ядре Linux"  +3 +/
Сообщение от Адекват (ok) on 20-Мрт-14, 08:11 
Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 20-Мрт-14, 09:16 
> Ну что за уроды ? неужели трудно было в заголовке написать "DCCP
> ?", я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.

Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что написали.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

83. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 09:46 
Использовать нормальную CMS - это тоже wrong way. True way - это собирать HTML вручную, причем игнорировать достижения WEB дизайна за последние 30 лет.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

84. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от arisu (ok) on 20-Мрт-14, 09:52 
> причем игнорировать достижения WEB дизайна

вот это очень правильный способ. чем больше эти «достижения» игнорируются — тем лучше.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

95. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 21:32 
> вот это очень правильный способ. чем больше эти «достижения» игнорируются —
> тем лучше.

Будь не таким, как все! Борись с системой!

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

98. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от arisu (ok) on 20-Мрт-14, 21:42 
(пожимает плечами) борись. разрешаю.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

96. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 21:34 
> я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.

Вообще-то, все так и есть (за исключением iptables) :)

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

87. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Нанобот (ok) on 20-Мрт-14, 10:38 
>Опасная удалённая уязвимость в ядре Linux

удалённая - да, опасная - нет

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

99. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 21-Мрт-14, 00:32 
> удалённая - да, опасная - нет

Кому и кобыла невеста. По линуксовым меркам, даже сабж уже событие. Потому что 99% обнаруживаемых там уязвимостей еще менее опасны на практике.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

88. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от Аноним (??) on 20-Мрт-14, 10:46 
- dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
+ dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);

:(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от vi on 20-Мрт-14, 14:38 
> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
> :(

Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
Кто прошляпил (может быть)?

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

115. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от pavlinux (ok) on 23-Мрт-14, 02:32 
>> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
>> :(
> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> Кто прошляпил (может быть)?

Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...

commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
Author: Patrick McHardy <kaber@trash.net>
Date:   Thu Mar 20 15:15:55 2008 +0100

[NETFILTER]: nf_conntrack: add DCCP protocol support
    
Add DCCP conntrack helper.
Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.
    

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

116. "Опасная удалённая уязвимость в ядре Linux"  +1 +/
Сообщение от AlexAT (ok) on 23-Мрт-14, 12:16 
C 2008 года оно тупо никому не нужно было. LOL'd
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

117. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от vi on 23-Мрт-14, 16:03 
>[оверквотинг удален]
>>> :(
>> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> Кто прошляпил (может быть)?
> Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...
> commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
> Author: Patrick McHardy <kaber@trash.net>
> Date:   Thu Mar 20 15:15:55 2008 +0100
> [NETFILTER]: nf_conntrack: add DCCP protocol support
> Add DCCP conntrack helper.
> Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.

Видать у парня клавиша минус продавлена, наверное много кодит. Или крошка под клавишу закатилась!
Вот только один вопрос, как тестируют? Или главное ввязаться, а там само понесет?
Ведь бывают же случаи, напишет человек программу, а она возьми и с первого раза работает и без ошибок ;)

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

103. "Опасная удалённая уязвимость в ядре Linux"  +2 +/
Сообщение от pavlinux (ok) on 21-Мрт-14, 16:58 
> iptables -t raw -I OUTPUT -p dccp -j NOTRACK

Кстате, а чё не POSTROUTING?

iptables -t raw -I POSTROUTING -p dccp -j NOTRACK

Выходящие из FORWARD проскакивают OUTPUT мимо.  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Опасная удалённая уязвимость в ядре Linux"  +/
Сообщение от pavlinux (ok) on 23-Мрт-14, 02:20 
Хе... в raw нету же POSTROUTING

... а это идея ]:->

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру