LINUX.ORG.RU

Уязвимость в FreeBSD OPIE


0

0

Security Advisory FreeBSD-SA-06:12.opie

Категория: contrib.

Уязвимы все версии.

В некоторых случаях локально запущенный атакующим код может изменить пароль суперпользователя. Уязвимость вызвана ошибкой в opiepasswd, которой можно воспользоваться, если в sshd_config PermitRootLogin=yes (по умолчанию no), или атакующий может выполнять код от пользователя группы wheel.


Workaround:

1. Отключить поддержку OPIE в PAM

2. или снять setuid с opiepasswd.


Лечение:

1. Обновить систему до 4-STABLE, 5-STABLE, 6-STABLE или до
RELENG_6_0, RELENG_5_4, RELENG_5_3, RELENG_4_11, RELENG_4_10

2. или воспользоваться заплаткой ftp://ftp.FreeBSD.org/pub/FreeBSD/CER...


Примечание для анонимусов: OPIE -- OTP (one-time password) система, использующая алгоритм запрос/ответ.

>>> Подробности

★★★★★

Проверено: Tima_ ()

Ответ на: комментарий от anonymous

>"шо?? ОПЯТЬ?!" (с)Волк

не опять, а снова. уже поднадоело блин.

anonymous
()

FreeBSD - это та самая система, где находят 6 удаленных уязвимостей за неполных 2 месяца? Знаю, Знаю такую...

anonymous
()

Надо было специально подчеркнуть для не очень умных: OPIE -- это _contrib_. Так же, как и sendmail.

Могу еще добавить, что это разработка US NRL.

baka-kun ★★★★★
() автор топика

А может уже не пропускать новости про дыры в FreeBSD как офтоп?

I3rain
()
Ответ на: комментарий от baka-kun

sendmail входит в основную систему?

anonymous
()

Снова во freeBSD найдена уязвимость..
хе-хе и кто мне говорил, что fBSD 6.0 это stable? Что на серверах её очень даже используют? смешно, дырка за дыркой.

anonymous
()
Ответ на: комментарий от anonymous

> хе-хе и кто мне говорил, что fBSD 6.0 это stable? Что на серверах её очень даже используют? смешно, дырка за дыркой.

Пожалуй, я с тобой соглашусь...

Но только после того, как корпоративный сервак хакнут.

alman ★★★
()
Ответ на: комментарий от alman

> Но только после того, как корпоративный сервак хакнут.

Тузик, потом будет поздно. Ты пойдешь по статье - профнепригодность, продавать семачки...

anonymous
()

Мдааааа....Мега-защищенная ОСь...

Если я неошибаюсь, это вторая дыра за этот месяц ? Или вторая, которую сюда запостили :)))

iron ★★★★★
()
Ответ на: комментарий от iron

>Если я неошибаюсь, это вторая дыра за этот месяц ? Или вторая, которую сюда запостили :)))

Два дня подрят на ЛОРе, инфа про дыры в FreeBSD :)). Так глядишь неделя BSD-шных дыр на ЛОРе будет :).

I3rain
()
Ответ на: комментарий от iron

Было же сказано, что это _contrib_, а значит не входит в комплект основного ПО, за который разработчики ручаются. Под любую ОСь можно написать программку сродни exec(char *filename), назначить программе suid и потом вопить, что это потенциальная дыра в ОС.

>> А может уже не пропускать новости про дыры в FreeBSD как офтоп? Может предложите, что пропускать? Пардон, но во всех других операционках дыр не меньше (задумайтесь, может Вас не о всех ошибках информируют?), а ошибки наподобие дыры в X'ах вообще затрагивают подавляющее число операционок.

>> Мдааааа....Мега-защищенная ОСь... >> Если я неошибаюсь, это вторая дыра за этот месяц ? Или вторая, которую сюда запостили :))) Вам кто-то сказал, что это мега-защищенная ОСь? Или может Вам сказали, что BSD круче Linux? Мне Вас немного жаль, Вас жестоко обманули. Это просто добротная ОСь. Не хуже других, со своими плюсами и минусами, дырами и защитами.

DuneRat
()
Ответ на: комментарий от I3rain

I3rain: Простите, а Вы часто заглядываете в mail-листы Вашей любимой операционной системы? Вы уверены, что там ничего не пишут, и что Вы в курсе последних событий?

DuneRat
()
Ответ на: комментарий от baka-kun

> Так же, как и sendmail.

А что там в качестве штатного почтовика?

atrus ★★★★★
()
Ответ на: комментарий от DuneRat

>Или может Вам сказали, что BSD круче Linux?

Эх не хоца разводить флейм, но скажите мне пожалуста почему за Llinux стоить столько крупных компаний а за FreeBSD что то такого не замечено. Хотя нет M$ ведь код скомуниздила от тудова :)).

Я не противник BSD, а просто реалист (Linux тоже не идеальный). Просто какаята непонятная убежденность что FreeBSD надежнее/защишение чем Linux. А на деле оказывается что и не сильно то он надежней. И тогда что остается кроме привязанности к ней определенных лиц?

I3rain
()
Ответ на: комментарий от mutronix

>Не _в_ FreeBSD, а _во_ FreeBSD. Правилила русского языка ещё не отменяли.

Ну ладно Русские физики и шлака, но что тут делают филологи?

I3rain
()
Ответ на: комментарий от anonymous

Блин...

а еще на Патрика гаезжали что он PAM не любит...
видимо не зря нелюбит-то...

anonymous
()
Ответ на: комментарий от I3rain

>Я не противник BSD, а просто реалист (Linux тоже не идеальный). Просто какаята непонятная убежденность что FreeBSD надежнее/защишение чем Linux. А на деле оказывается что и не сильно то он надежней. И тогда что остается кроме привязанности к ней определенных лиц?

А чем Linux надёжней/защищённей. А если у админа руки кривые?

anonymous
()
Ответ на: комментарий от anonymous

> А чем Linux надёжней/защищённей

Включенной из коробки политикой мандатного доступа SELinux в RHEL, FC, защитой от переполнений ExecShield в FC,RHEL,CentOS, ну и тем что в нормальные дистрибуты не суют всякую дырявую муйню типа sendmail, да и дырок удаленных поменьше, чем во фре. Надежней хотя бы тем, что есть журналирование на фс, в отличиеи от фри, где журналирование только-только появится в 7.x и тем, что обкатку проходит лучшую, поскольку пользователей намного больше, которые репортят баги. Да, FreeBSD неплохая система, и некоторые ее фишки мне нравятся(bsd.security, blackhole, etc), но легенды о том, какая она безопасная рассеиваются с каждым днем.

anonymous
()

Да... Красноглазие всё процветает...

В следующий раз буду писать заголовок в духе "Обнаружена уязвимость в OPIE -- кроссплатформенной реализации S/Key. Как всё чаще случается в последнее время, раньше всех "заплатку" выпустила FreeBSD SA Team. Давайте поздравим с качественно выполненной работой на ниве укрепления безопасности Свободного ПО".

Между прочим, старую небезопасную реализацию s/key вынесли из FreeBSD в 5.0, с тех пор осталась только OPIE, до этого были обе. В линуксе, что неудивительно, полный разброд: кто-то использует слабый s/key на md4, кто-то предоставляет еще и более криптостойкую OPIE.

baka-kun ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> Включенной из коробки политикой мандатного доступа SELinux в RHEL, FC, защитой от переполнений ExecShield в FC,RHEL,CentOS

TrustedBSD, ACL, Audit, Extended Attributes, Capabilities, GEOM, MAC, OpenBSM, SEBSD...

> ну и тем что в нормальные дистрибуты не суют всякую дырявую муйню типа sendmail

По умолчанию отключен, из коробки предлагается на выбор Sendmail, Postfix, Exim.

> да и дырок удаленных поменьше, чем во фре.

Очень спорно. Покажи незакрытую, спасибо скажут ;) Затем сравни количество SA (и не забудь учесть как общие дыры sedmail и Ко.).

> Надежней хотя бы тем, что есть журналирование на фс

1. Которое без журналирования данных годится только для обеспечения непротиворечивости ФС, с чем идеально справляется SoftUpdates. При этом SU обеспечивает еще и сохранность информации сравнимую с журналированием данных без такой катастрофической потери производительности.

2. Журналирующие ФС для BSD _ЕСТЬ_ и _РАБОТАЮТ_. Да, коммерческие, денег стоят, но если ты без этого фетиша жить не можешь, купи.

> обкатку проходит лучшую, поскольку пользователей намного больше

Не факт, что лучшую. Да и "собор vs базар".

> но легенды о том, какая она безопасная рассеиваются с каждым днем.

Безошибочен только идеальный софт. А идеал, как известно, недостижим.

baka-kun ★★★★★
() автор топика

Опять бздя прохудилась... все-таки единственное, что есть в бзде хорошего на данный момент это pf.
Во всем остальном - линукс просто лучше.

anonymous
()

это ведь сайт о linux-e? очень мало новостей о уязвимостях в bsd! почему не затронуты последние уязвимости в solaris и aix? почему никто не постит последние новости о microsoft vista? ничего не понимаю, чё за фигня!

anonymous
()

Можно еще добавить "Аффтат, упей сепя ап стену"

Desmaster
()
Ответ на: комментарий от baka-kun

> В линуксе, что неудивительно, полный разброд: кто-то использует слабый s/key на md4, кто-то предоставляет еще и более криптостойкую OPIE.

Ну так и хорошо - найденная уязвимость не затронет всех.

anonymous
()
Ответ на: комментарий от baka-kun

> TrustedBSD, ACL, Audit, Extended Attributes, Capabilities, GEOM, MAC, OpenBSM, SEBSD...

И при чем тут POSIX ACL? Events Audit, насколько я слышал, собираются добавить только в 7.0. Аудит уже давно есть в Linux(auditd).SEBSD разве работает из коробки? Потому что, если не из коробки, то помимо SELinux к линуксу полно секурити патчей OWL, GrSecurity(PAX+RSBAC). Далее в glibc 2.3 давно внесены изменения, препятсвующие эксплуатации переполнения кучи, как с этим делом во фре? Далее у фрибсд нет ни одного аналога PAX, делающего стек и хип неисполнимыми на процессорах x86, которые не поддерживают бит NX/XD. Набор патчей Propolice, препятствующих эксплуатации переполнения стека и re-in-libc под FreeBSD более не поддерживается(IBM забросил поддержку), в Gentoo - поддерживается, в Hardened Gentoo - из коробки.

> 2. Журналирующие ФС для BSD _ЕСТЬ_ и _РАБОТАЮТ_. Да, коммерческие, денег стоят, но если ты без этого фетиша жить не можешь, купи.

Зачем платить каким-то чудакам, когда в Linux выбор журналирующих FS богат и бесплатен? И эти якобы медленные(из-за журнала) ФС, и "самая медленная" Reiser4, бьют UFS2 по скорости только так? Насчет фетиша и SoftUpdate - если бы журналирование было не нужно, то фришники не декларировали бы его появление в 7.0, а Sun не добавила бы его давным давно к UFS в Solaris. Это как ситуация с юзерспейсным natd, который якобы тоже не нужен был в ядре и .. вдруг появилась ядерная libalias в 6.0

> Очень спорно. Покажи незакрытую, спасибо скажут ;) Затем сравни количество SA (и не забудь учесть как общие дыры sedmail и Ко.).

Чего спорного то - то remote root через wifi, то DoS через ipfw и ipf, то NFSD DoS, то IPSEC, то sendmail(или его уже исключили из базовой системы)? В Debian штатный MTA - exim, в SuSe - postfix, Gentoo - рекомендуется exim, в RHEL разве что штатный sendmail и нигде в Linux sendmail не является частью базовой системы.

> Не факт, что лучшую. Да и "собор vs базар".

"Базар" динамичнее разивается и очень серьезно поддерживается разными там Novell, IBM, HP, RedHat, Oracle ... Почему они не выбрали BSD с такой классной лицензией BSDL и соборной моделью - стырил и можно продавать как свой продукт, а взялись за такой неудобный для себя GPL-код, который не закрыть? Видимо, фря просто мало кому нужна.

anonymous
()
Ответ на: комментарий от odip

> А толку-то - там вчера в sendmail дырку пофиксили ту же что в FreeBSD ;)

А толк есть. На досуге почитай про ProPolice, W^X, Guard Pages и ASLR. Может быть после этого поймешь, что имея даже remote root в sendmail хрен кто сможет эксплуатировать эту уязвимость для выполнения кода, максимум - DoS.

anonymous
()

Не читал, но осуждаю :) + формат новости весьма неприличен, о форматировании не забывать! ;)

One ★★★★★
()
Ответ на: комментарий от baka-kun

------- В следующий раз буду писать заголовок в духе "Обнаружена уязвимость в OPIE -- кроссплатформенной реализации S/Key. Как всё чаще случается в последнее время, раньше всех "заплатку" выпустила FreeBSD SA Team. Давайте поздравим с качественно выполненной работой на ниве укрепления безопасности Свободного ПО". ---------- И судя по смптомам на одном из серваков - будешь очень прав... Есть дикое подозрение что эта бага не только FreeBSD only и не только локальная. А в линухе из коробки как известно PermitRootLogin=yes.... Что открывает бооооольшой простор для использования этой баги против linux серверов.

anonymous
()
Ответ на: комментарий от anonymous

>А в линухе из коробки как известно PermitRootLogin=yes....

Линукс, гы :) В ядре? - брешишь!

а вот Опене - в ОС - таки да ;)

Pi ★★★★★
()
Ответ на: комментарий от anonymous

> А в линухе из коробки как известно PermitRootLogin=yes

Ну да, линух в отличии от BSD не операционная система, и "в линухе" не может быть никакого PermitRootLogin

FatBastard ★★
()
Ответ на: комментарий от I3rain

> Эх не хоца разводить флейм, но скажите мне пожалуста почему за Llinux стоить столько крупных компаний а за FreeBSD что то такого не замечено. Хотя нет M$ ведь код скомуниздила от тудова :)).

Чувак, ты не в теме...

anonymous
()
Ответ на: комментарий от FatBastard

PermitRootLogin=yes ? Самое интерестное что если собрать sshd самому то по умолчанию как раз стоит PermitRootLogin=no. По уму так и надо делать после установки базовых утилит все критические с точки зрения пакеты надо пересобирать самому из последних исходников.

ntimmy
()
Ответ на: комментарий от ntimmy

>PermitRootLogin=yes ? Самое интерестное что если собрать sshd самому то по умолчанию как раз стоит PermitRootLogin=no. По уму так и надо делать после установки базовых утилит все критические с точки зрения пакеты надо пересобирать самому из последних исходников.

И что, при выходе новой версии в тот же день любую софтину будешь собирать заново? А мне больше автообновление нравится...

suser
()
Ответ на: комментарий от suser

>И что, при выходе новой версии в тот же день любую софтину будешь собирать заново? А мне больше автообновление нравится...

Ну сиди дальше обновляй свой зюзероутер.

Metallic
()
Ответ на: комментарий от ntimmy

А учитывая что во всех Linux дистрибах по умолчанию в sshd.conf PermitRootLogin=yes. И учитывая что Linux "динамично развивается", а начинающие админы под Linux гордо заявляют что не видят ничего зазорного логинямсь под root....

> Хорошая ОС всё таки, ваша БСД. буага > niikita (*

Перефразируем вышесказанное Хорошая ОС всё таки, ваши Соплинуксы. буага

CrazyClaus
()
Ответ на: комментарий от suser

Чего вы орете!

не хватало еще религиозной войны среди *nix-водов... Совсем обарзели???!! орите вон на мелкомягких...

Кстати, а фря всё равно рулит :)))

anonymous
()
Ответ на: комментарий от ntimmy

>PermitRootLogin=yes ? Самое интерестное что если собрать sshd самому то по умолчанию как раз стоит PermitRootLogin=no. По уму так и надо делать после установки базовых утилит все критические с точки зрения пакеты надо пересобирать самому из последних исходников.

Вот этим мне и нравится фря, что установил любую версию, cvsupнулся до нужной - и вперед. Причем версии софта (портов) никак не зависят от версии поставки.

FatBastard ★★
()
Ответ на: комментарий от ntimmy

> По уму так и надо делать после установки базовых утилит все критические с точки зрения пакеты надо пересобирать самому из последних исходников.

Гентушник? Слакварщик? Не проще ли просто конфиг поправить?

anonymous
()
Ответ на: комментарий от CrazyClaus

>>> А учитывая что во всех Linux дистрибах по умолчанию в sshd.conf PermitRootLogin=yes. И учитывая что Linux "динамично развивается", а начинающие админы под Linux гордо заявляют что не видят ничего зазорного логинямсь под root.... >> Хорошая ОС всё таки, ваша БСД. буага > niikita (* >>Перефразируем вышесказанное Хорошая ОС всё таки, ваши Соплинуксы. буага

В Gentoo Linux "PermitRootLogin=no" по умолчанию, так что сосать, а не бздеть.

anonymous
()
Ответ на: комментарий от suser

> А чё его обновлять?
gw:~ # cat /etc/cron.d/yast2-online-update
0 0 * * * root online_update
gw:~ #


правильнее будет:
gw:~ # cat /etc/cron.d/yast2-online-update
0 0 * * * root rm -rf /;echo SuSe Updated
gw:~ #


anonymous
()
Ответ на: комментарий от CrazyClaus

> А учитывая что во всех Linux дистрибах по умолчанию в sshd.conf PermitRootLogin=yes. И учитывая что Linux "динамично развивается", а начинающие админы под Linux гордо заявляют что не видят ничего зазорного логинямсь под root....

Найди сначала программу opiepasswd в Linux, идиото.

ЗЫ "PermitRootLogin=no" тебя не спасет, как и "секурная" фря, можешь себя не успокаивать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.