Remote DoS в ядрах 2.6.x

0

0

В ядрах 2.6 ветки нашли Remote DoS. Причина -- неправильный тип переменной. Уязвимость связана с netfilter, а точнее, с правилами iptables, отвечающими за TCP options, например, --tcp-option. Причём неважно, что же делает правило, в котором применена эта опция.

Баг нашли на x86 платформе, другие платформы не проверялись, но, судя по всему, баг есть и там.

Как обычно, :-) к сообщению о найденном баге прилагается информация о том, как его исправить.

>>> Подробности

Ссылка

←	Проект Gabber нуждается в главном разработчике.

Fujitsu финансирует разработку новых возможностей PostgreSQL

→

Если учесть, что iptables запускается только из-под root'а или требует соответствующих привилегий, то бояться, собственно, нечего...

...разве, что криков "опять дырявых лялих".

stark_lnx ★
(01.07.04 14:23:45 MSD)

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSD

Вобще то для того что бы послать пакет на какой то хост прав администратора на том хосте не требуется...

anonymous
(01.07.04 14:25:41 MSD)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSD

Of course, there is no need to have a shell access to attacked host

Читать надо внимательнее... Неприятная штука...

~~dObryi~~
(01.07.04 14:30:02 MSD)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSD

Чуть не забыл ... "дырявый лялих" ;)

~~dObryi~~
(01.07.04 14:32:52 MSD)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSD

Вы, IMHO, не до конца поняли суть. Достаточно послать особый пакет (в сообщении приводится) на атакуемый хост, чтобы он ушёл в бесконечный цикл, жрущий весь процессор.

Obidos ★★★★★
(01.07.04 14:34:35 MSD) автор топика

Ссылка

gentoo-dev-sources уже патч наложили давно =)

Selecter ★★★★
(01.07.04 14:39:20 MSD)

Ответ на: комментарий от Selecter 01.07.04 14:39:20 MSD

Ещё вчера

Selecter ★★★★
(01.07.04 14:40:08 MSD)

Ссылка

Ну на серверах с real ip я его пока не видел
А в локалке, можно пойти и в морду дать. Т.к. самый действенные методы зашиты, это административные

kka ★
(01.07.04 14:41:42 MSD)

Ответ на: комментарий от kka 01.07.04 14:41:42 MSD

Пилять, никакой в людях карпоративной культуры нет.

~~Sun-ch~~ ☆
(01.07.04 14:53:44 MSD)

Ответ на: комментарий от Sun-ch 01.07.04 14:53:44 MSD

> ... никакой в людях карпоративной культуры нет.

это ты про что? :) И как-же надо было поступить?

mator ★★★★★
(01.07.04 15:41:59 MSD)

Ссылка

Хорошо, что у меня линух прикрыт файрволлом на бсде =)

int19h ★★★★
(01.07.04 15:45:23 MSD)

Ответ на: комментарий от Sun-ch 01.07.04 14:53:44 MSD

c ноги, с ноги :-))

~~o1o~~ ☆
(01.07.04 15:45:35 MSD)

Ссылка

Ответ на: комментарий от int19h 01.07.04 15:45:23 MSD

да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера) вот когда выйдет 2.6.18 тогда и посмотрим.

anonymous
(01.07.04 15:53:49 MSD)

Ответ на: комментарий от int19h 01.07.04 15:45:23 MSD

Если вы _не_ используете правила с tcp_options, вам бояться нечего.

Obidos ★★★★★
(01.07.04 15:58:04 MSD) автор топика

Ответ на: комментарий от Obidos 01.07.04 15:58:04 MSD

> Если вы _не_ используете правила с tcp_options, вам бояться нечего.

Я их (iptables) вообще не использую - говорю ж, на бсде оно =)

Впрочем, это не специально. Просто машинка dual boot, а винду ж тоже чем-то прикрывать надо... а на старом железе BSD как-то лучше смотрится =)

int19h ★★★★
(01.07.04 16:06:17 MSD)

Ответ на: комментарий от int19h 01.07.04 16:06:17 MSD

Я ни в кой мере не против BSD, у меня у самого Опёнок локалку от злодеев ;-) прикрывает.

Obidos ★★★★★
(01.07.04 16:16:49 MSD) автор топика

Ссылка

Ответ на: комментарий от anonymous 01.07.04 15:53:49 MSD

> да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера

Совершенно в этим согласен. Ставить 2.6 на боевые сервера - большая неосторожность, если не сказать глупость.

Блин, что меня огорчает - при всей моей любви к Линуксу и любому проявлению OpenSource - в последнее время, чуть ли не каждый день появляются новые сообщения об уязвимостях. Думаешь, а не начать ли бояться...

stark_lnx ★
(01.07.04 16:21:13 MSD)

Ответ на: комментарий от stark_lnx 01.07.04 16:21:13 MSD

> чуть ли не каждый день появляются новые сообщения об уязвимостях

Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- пусть там дыры находят чуть реже, зато какие... ;)

Obidos ★★★★★
(01.07.04 16:32:05 MSD) автор топика

Ответ на: комментарий от kka 01.07.04 14:41:42 MSD

У меня работал 2.6.6 двое суток 8))))) Срочно заглушка нужна была 8)))) Хотя никакого хитрого файрволла там не было. Там вообще ничего не было, кроме thttpd, отдающего совсем немного статики.

~~Zulu~~ ★★☆☆
(01.07.04 16:39:00 MSD)

Ссылка

Ответ на: комментарий от Obidos 01.07.04 16:32:05 MSD

>Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- >пусть там дыры находят чуть реже, зато какие... ;)

...и при каких обстоятельствах найденные :)

anonymous
(01.07.04 16:49:03 MSD)

Ссылка

А kernel.org тоже на 2.6...

anonymous
(01.07.04 17:17:25 MSD)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 16:21:13 MSD

> Думаешь, а не начать ли бояться...

I must not fear.
Fear is the mind-killer.
Fear is the little death that brings total obliteration.
I will face my fear.
I will permit it to pass over me and through me.
And when it has gone past, I will turn the inner eye to see it's path.
Where the fear has gone there will be nothing.
Only I will remain.

int19h ★★★★
(01.07.04 19:10:36 MSD)