LINUX.ORG.RU

Remote DoS в NFS сервере


0

0

* FreeBSD-SA-06:10.nfs -- Remote denial of service in NFS server

Подвержены все версии.

Если запущен юзерспейсовский nfsd демон, прием посредством TCP RPC сообщения с содержимым нулевого размера приводит к попытке разадресации NULL, что вызывает kernel panic.


Workaround

--- Не использовать NFS
--- Заблокировать NFS RPC трафик от недоверяемых узлов сети.


Решение

--- Обновиться до 4-STABLE, 5-STABLE, 6-STABLE или до RELENG_6_0, RELENG_5_4, RELENG_5_3, RELENG_4_11, RELENG_4_10.
--- Пропатчить систему ftp://ftp.FreeBSD.org/pub/FreeBSD/CER... либо ftp://ftp.FreeBSD.org/pub/FreeBSD/CER... (для FreeBSD 4\..* и FreeBSD [56]\..* соответственно).

>>> Подробности

★★★★★

Проверено: Obidos ()

Хоть кто-нибудь у нас выставляет nfs сервера в инет? Хотя в забугорье - вполне нормальное дело.

garlic
()
Ответ на: комментарий от garlic

По статистике, наибольшую опасность представляют собственные сотрудники организаций, внутри ЛВС...

anonymous
()

ПЕСЕЕЕЦ!!!!

anonymous
()

Подумаь только... а ведь еще полгода назад я на полном серьезе был уверен, что в качестве сервера лучше использовать бздю...
Но с тех пор я стал более умным и опытным и на серваках у меня теперь строго линукс, кроме случаев древнего экзотического железа (нет-бзде) и прозрачного фаерволла (опенок).

anonymous
()
Ответ на: комментарий от anonymous

Хе-хе. Линукс - не панацея. Cisco тоже считалась железобетонной. До поры до времени.

garlic
()

Как говорится, идеальной системы небывает.

Rain ★★★★
()
Ответ на: комментарий от MiracleMan

> Ничего страшного.. - "freebsd-update fetch && freebsd-update install" Всего-то делов..

Если сервак ранешье не завалят

anonymous
()
Ответ на: комментарий от anonymous

>По статистике, наибольшую опасность представляют собственные сотрудники организаций, внутри ЛВС...
Это да, по статистике ...
Зато эти "сотрудники" в пределах досигаемости, им и морду лица отрихтовать можно.

sdio ★★★★★
()

опопсела что-йто фряха. деццкие ошибки

anonymous
()
Ответ на: комментарий от sdio

>...эти "сотрудники" в пределах досигаемости, им и морду лица отрихтовать можно.

ты сначала найди кто именно тебя поимел, да в тренажерный зал сбегай пару раз - а то рихтовалка отпадет, герой блин.

anonymous
()
Ответ на: комментарий от anonymous

>да в тренажерный зал сбегай пару раз - а то рихтовалка отпадет, герой блин.

Я предлагаю обойтись за один раз. Сбегал->взял штангу->приласкал всех подряд :)

garlic
()

Что-то в последнее время только и идут новости о найденных ошибках безопаснсти во FreeBSD. Я вот живу на OpenBSD и проблем не знаю.

anonymous
()
Ответ на: комментарий от anonymous

>Я вот живу на OpenBSD и проблем не знаю.

-Видишь суслика ?

-Нет

-Вот и я не вижу, а он есть ....

robot12 ★★★★★
()
Ответ на: комментарий от Tester

> а это не то же самое что уже обсуждали неделю назад ?

Да, то самое, про что бздящие насчет линка на DoS-сплоит орали "хаха линк на секлаб - вот умора нашли кому верить". Чой-то во FreeBSD дыры косяками ходят, а я то думал какая классная секурная система, как я ошибался, еще как оказалось и убогая(UFS тормозная, журнал UFS обещают в 7-ой версии, LVM нету, поддержка железок фиговая, аналога grsecurity нету, оракел без плясок с бубном не прикрутишь) - все-таки правильно сделал, что выбрал Linux(Debian/RHEL).

anonymous
()
Ответ на: комментарий от anonymous

>Да, то самое, про что бздящие насчет линка на DoS-сплоит орали "хаха >линк на секлаб - вот умора нашли кому верить". Чой-то во FreeBSD >дыры косяками ходят, а я то думал какая классная секурная система, >как я ошибался, еще как оказалось и убогая(UFS тормозная, журнал UFS >обещают в 7-ой версии, LVM нету, поддержка железок фиговая, аналога >grsecurity нету, оракел без плясок с бубном не прикрутишь) - все->таки правильно сделал, что выбрал Linux(Debian/RHEL).

Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL) против кол-ва найденных уязвимостей в FreeBSD? Ну а насчет крутого и устойчивого дебиановского аналога nfs сервера можно пичитать здесь: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350020

garlic
()
Ответ на: комментарий от garlic

> Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL) против кол-ва найденных уязвимостей в FreeBSD? Число баг в базовой системе фри vs число баг в дистрибутиве Debian(2xDVD ~9GB)?

> Ну а насчет крутого и устойчивого дебиановского аналога nfs сервера можно пичитать здесь: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350020

http://www.debian.org/security/2006/dsa-975

This vulnerability isn't present in the _kernel_ NFS server.

А кому этот тормозной юзерспейсовый NFSD нужен?

anonymous
()
Ответ на: комментарий от garlic

>Отныне считаем , что НФС в фряхе не работает! А где он вообще работает?

В Linux работает, стабильный ядерный NFSD.

anonymous
()
Ответ на: комментарий от anonymous

>А кому этот тормозной юзерспейсовый NFSD нужен?

Раз есть пакет, значит его кто-то использует. Хотя кому этот нфс вообще нужен?

garlic
()
Ответ на: комментарий от garlic

> Слабо прикинуть количество найденных уязвимостей в Linux(Debian/RHEL)
> против кол-ва найденных уязвимостей в FreeBSD?

а что тут прикидывать ? ядро да обвязка разная - остальное то все практически один в один тоже самое

Tester ★★★
()
Ответ на: комментарий от garlic

> Раз есть пакет, значит его кто-то использует. Хотя кому этот нфс вообще нужен?

Ну вот тот кто использует того и проблемы. В Linux(ядре) есть только один NFSD, ядерный, остальное от лукавого. ;)

anonymous
()

Сразу скажу что не спец в сист. программировании и прочих подобных делах, но: разве основная идея выноса разных процессов из ядра в userspace заключается не в том что б повысить безопасность/стабильность системы в целом? типа завалили/глюкнул процесс - а ядро живо и спокойно обслуживает другие процессы?? Если это так, то почему это не срабатывает? падает процесс и валит за собой ядро.

anonymous
()
Ответ на: комментарий от anonymous

> разве основная идея выноса разных процессов из ядра в userspace заключается не в том что б повысить безопасность/стабильность системы в целом?

Основная идея заключается именно в этом. Побочный эффект - тормоза за счет накладных расходов на переключение userspace<->kernel. Вспомнить хотя бы зачем во FreeBSD юзерспейсный тормозной natd засунули в ядро во фре 6.0.

> Если это так, то почему это не срабатывает? падает процесс и валит за собой ядро.

У фри, насколько я знаю, NFSD в ядре(для производительности), поэтому разыменование нулевого указателя и приводит к kernel panic.

anonymous
()

Вот что значит, когда ОС делают профессионалы.

niikita
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.