LINUX.ORG.RU
ФорумTalks

На шестой год Зоркий Глаз заметил…

 ,


0

0

…дыру, позволяющую любому злоумышленнику удалённо запускать код на уровне ядра.

Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

iptables -t raw -I PREROUTING -p dccp -j NOTRACK
iptables -t raw -I OUTPUT -p dccp -j NOTRACK

© http://www.opennet.ru/opennews/art.shtml?num=39355

★★★★★

Это что получается? Пока эту уязвимость не опубликовали, кулхацкеры про нее не знали?

sci-fi
()

В тред призываются эксперты, которые с уверенностью могут сказать, что в жабе такого бы не было.

Deleted
()
Ответ на: комментарий от Deleted

В тред призываются эксперты, которые с уверенностью могут сказать, что в жабе такого бы не было.

Сетевой стек в ядре
В жабе такого бы не было

Похоже ты задал вектор, пора написать тру-энтерпрайз ос на джаве.

Reinar
()

можно для тупых: хетцнеровскую всочку этим из можно положить

сидя на берегу черного моря, или опять надо быть админом этой самой впсочки и ждать определенной фазы луны?

Deleted
()

вот у меня по дефолту стоит полиси DROP

нигде протокол dccp не разрешал (разрешён 80 порт, фтп, ссш). можно ли положить машину при такой конфигурации?

UPD. что то мне подсказывает что нельзя, иначе толку от этого Iptables как с козла молока. я ведь разрешаю только tcp 80, 21, 22. и никаких dccp. значит враг не пройдёт!

AndreyKl ★★★★★
()
Последнее исправление: AndreyKl (всего исправлений: 1)

Осталось только загрузить nf_conntrack_proto_dccp.ko ибо никому он пока не нужен

sdio ★★★★★
()

Бида, бида. А теперь найди мне хоть один сервер в округе с поддержкой этого dccp.

zloelamo ★★★★
()

плевать, всегда выкомпиливаю(точнее не вкомпиливаю) поддержку DCCP - ибо ненужно

А поздно заметили - значит так «много» народу пользуется

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Deleted

Она настолько не нужна, что даже с википедии хотят выпилить статью. А всё почему? Недостаточно интырпрайза и красивых серверов с сертификатами.

А если по теме - то попробуй проэксплуатируй, легче наверное в лотерею выиграть, чем найти машину с загруженным модулем dccp для conntrack.

Reinar
()

внезапно мой лаптом с мандрейком 8 оказался секурным

G0D
()

пакетов протокола DCCP.

а кому он вообще нахрен нужен, кто включал его в ядре?

darkenshvein ★★★★★
()
Ответ на: комментарий от AndreyKl

вот у меня по дефолту стоит полиси DROP

Если в таблице filter, то положить твою машину можно, ибо через conntrack оно пройдет еще до этого.

Gattai
()
Ответ на: комментарий от Deleted

В тред призываются эксперты, которые с уверенностью могут сказать, что в жабе такого бы не было.

Само собой, ядро на жабе просто не взлетело бы на x86.

Lavos ★★★★★
()
Ответ на: комментарий от AndreyKl

Прочти внимательно описание проблемы. Проблема в conntrack, который рулиться из raw и пофиг что тебя в filter/mangle

Спасает одно из действий - полное отсутствие поддержки dccp в ядре - отсутствие поддержки conntrack - "-j CT --notrack" в raw - патч к ядру

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks