удалённая уязвимость во FreeBSD 6.0

Теперь БСД крышка

дырявое убожество..

зря вы так

>Проверено: Shaman007 (*) 05.06.2004 20:45:40

Чё Андрейка? Машину времени уже изобрели?

Хоть почти никогда не имел дело с фрюхой, но почти все баги, которые приходят на ум, связаны именно с сетью. Интересная тенденция.

не перди в лужу старпёр, всё ок.

>дырявое убожество..

Сам ты убожество.

ЧЕтай внимательно, решение проблемы элементарное + ко всему уже есть патч.

Change any reset, reject or unreach actions to deny. It should be noted that this will result in packets being silently discarded.

Патч: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:04/ipfw.patch

ути пути какие мы ранимые :)

Ну вот, как только начали клепать релизы быстрей, маркетинг, мдя, новое лого ... так и баги пошли

Вот почему как в линухе мелкая бага, так бздуны прямо от радости слюной обливаются, а как в бзд их любимом дырень, дык они начинают отбракиваться, потупив взор, что это мелкая проблема и элементарно фиксится?

Date: Fri, 04 Nov 2005 08:40:04 -0700 From: Scott Long <scottl@FreeBSD.org> To: freebsd-announce@FreeBSD.org Subject: [FreeBSD-Announce] FreeBSD 6.0 Released

Больше двух месяцев без уязвимостей

> Больше двух месяцев без уязвимостей

угу, теперь одна, зато какая !

уязвимость только в ipfw2, заметтье

найдена удалённая уязвимость в FrisBEE.

Category: core Module: ipfw Announced: 2006-01-11 Credits: Oleg Bulyzhin Affects: FreeBSD 6.0-RELEASE Corrected: 2006-01-11 08:02:16 UTC (RELENG_6, 6.0-STABLE) 2006-01-11 08:03:18 UTC (RELENG_6_0, 6.0-RELEASE-p2)

ну что за пионерье? откуда фанатизм то такой у людей, которые из себя ничего не преддставляют (не переживайте - я и про себя). то есть вы хотите сказать что программеры, монотонно пишущие фрю - ламеры? интересно - кто нить из команды фри повесистся после прочтения ваших убогих постов? ихмо не бывает админов, администрящих только линукс. ну разве что приходящий/удаленный в конторе по изготовлению обувных колодок

А это вообще даже не проблема, можно просто использовать другой брандмауэр, перепрограммировав правила, в то время как при ошибках в иптайблс, мои красноглазые дурузья вынуждены сосать ментальную писю.

>А это вообще даже не проблема, можно просто использовать другой брандмауэр, перепрограммировав правила, в то время как при ошибках в иптайблс, мои красноглазые дурузья вынуждены сосать ментальную писю.

проще систему пропатчить - 3 мин делов

Ну дык перегружаться надо, люди могут не понять, скажут "иди админить свой лялих - сопляк."

>Ну дык перегружаться надо, люди могут не понять, скажут "иди админить свой лялих - сопляк."

А нечего баловать (с)ДМБ. Так и на шею сядут - не отобьешься. Их надоть в ежовых рукавицах держать и воспитывать чувство неполноценности

у онанимуса это чувство гипертрофированно

>Ну дык перегружаться надо, люди могут не понять, скажут "иди админить свой лялих - сопляк."

Не надо нести х-ню. Ничего перегружать не надо.

1) Пересобрать ядро
make buildkernel

2) Сбросить правила файрволла и выгрузить модуль ядра
ipfw -f flush && kldunload ipfw.ko

3) Заинсталлить новый модуль
make installkernel

4) загрузить модуль и загрузить правила
kldload ipfw.ko && /etc/rc.d/ipfw restart

>Вот почему как в линухе мелкая бага, так бздуны прямо от радости слюной обливаются, а как в бзд их любимом дырень, дык они начинают отбракиваться, потупив взор, что это мелкая проблема и элементарно фиксится?

Это не дырень. Во-первых, для нее есть workaround, не требующий перекомпиляции.

Во-вторых, во FreeBSD, кроме ipfw, есть другие пакетные фильтры.

В-третьих, есть такое понятие, как DMZ, надеюсь, слышали? На машинах внутри DMZ, файрволл вовсе стоять не должен, а перевод правил с reset/reject/unreach на deny - это дело пяти минут.

>make installkernel

Типа модули собранные с новым ядром использовать в контексте старого? Вам, что с утра уколы не делали?

не оги скажут иди админить свою галимую солярку. Саныч не нада бздеть - удаленная уязвимость это трындец, например в линухе я такой давно уже не видел. А насчет iptables факты в студию. То что у тебя руки к нему не выросли прямо так это другое дело!

Хехехе... А мы на ПФ-е 8P

>Саныч не нада бздеть - удаленная уязвимость это трындец, например в линухе я такой давно уже не видел. А насчет iptables факты в студию. То что у тебя руки к нему не выросли прямо так это другое дело!

Задосить можно что угодно. Ну дырочка, что такого?! ;)

> Типа модули собранные с новым ядром использовать в контексте старого? Вам, что с утра уколы не делали?

Изменений в ядерном интерфейсе же не было. Вот единственное изменение в патче:

- if (hlen > 0 && is_ipv4 &&
+ if (hlen > 0 && is_ipv4 && offset == 0

Что, страшно подгрузить новый модуль? :)

>Типа модули собранные с новым ядром использовать в контексте старого? Вам, что с утра уколы не делали?

Если конфиг старого и нового ядер одинаковый, использовать модули можно. Иначе не работали бы модули а-ля /usr/ports/net/ng_daphne, которые вообще сбоку собираются.

Поправка: Даже если конфиг разный (до известной меры), но ветка системы одна, модули можно смело использовать.

Это вам не Ляликс, где в 2.6 меняли интерфейс модулей не меняя номер подверсии.

>Вот почему как в линухе мелкая бага, так бздуны прямо от радости слюной обливаются, а как в бзд их любимом дырень, дык они начинают отбракиваться, потупив взор, что это мелкая проблема и элементарно фиксится?

А теперь сделай замену "бздуны" <-> "линуксоиды", "бзд" <-> "линух" и задай этот вопрос себе самому....

>А насчет iptables факты в студию

CVE-2005-3275, CVE-2005-3110 - remote kernel crash.

Продолжаем тиха сосать ментальную писю.

А что такое ментальная пися? Вообажаемая всысле?

Продолжаеш сосать ты, потому что ты как обычно выше был неправ.

зато как уссаныч отсосал писю в новости о дыре в соляре, любо дорого было посмотреть. поджал хвост и сбежал :))

deny - это чтобы отлупами левых пакетов себе канал забить?

>уязвимость только в ipfw2, заметтье

Злые любители BSD все время говорят, что BSD это цельная система, а наш linux типа только ядро и обвязка из левых программ.

Ок. Замечаем - уязвимость в ipfw2 - компоненте цельного BSD - т.е. уязвимость во всем FreeBSD.

> deny - это чтобы отлупами левых пакетов себе канал забить?

Наоборот, - это чтобы левые пакеты молча игнорировались.

>мои красноглазые дурузья вынуждены сосать ментальную писю.

Могут использовать не только iptables, кстати. А какой во freeBSD другой брендмауэр?

>Это вам не Ляликс, где в 2.6 меняли интерфейс модулей не меняя номер подверсии.

Номер ядра и ченджлог в студию.

Что-то я такого там не припоминаю. Хочу заметить, что модули можно собирать так же. Более того, часть модулей можно использовать от других ядер.

ipf? Я его когда-то использовал. или порт pf из OpenBSD.

Их три штуки. ipfw ipf pf

>Могут использовать не только iptables, кстати. А какой во freeBSD другой брендмауэр?

man 8 ipf

>А что такое ментальная пися? Вообажаемая всысле?

Я не совсем уверен, но мне кажется, что это пися сотрудника правоохранительных органов?

man 8 pfctl

И в чем же я неправ, мой костноязычный друг?

CVE-2005-3110:

A race condition in the ebtables netfilter module (ebtables.c), when running on an SMP system that is operating under a heavy load, might allow remote attackers to cause a denial of service (crash).

Это, дружок, DoS в чистом виде, D - это от слова dead, когда ядру полный писец.

>>Это вам не Ляликс, где в 2.6 меняли интерфейс модулей не меняя номер подверсии.

>Номер ядра и ченджлог в студию.

В 2.6.9-EL нельзя загрузить модуль от текущего ядра, собранного сбоку. Конкретно, была машина c RHEL 4, надо было поднять поддержку ufs. Модуль ядра, собранного сбоку, отказался грузиться.

Возможно, это проблема есть только у Редхата, но тем не менее -- это бардак.

У вас что хобби такое, грузить левые модули?

>Ок. Замечаем - уязвимость в ipfw2 - компоненте цельного BSD - т.е. уязвимость во всем FreeBSD.

Хорошо, объясняю другими словами: есть есть уязвимость в sendmail, но я его не использую вовсе, означает ли это, что моя системя уязвима?

Тоже самое - с ipfw. Это не единственный пакетный фильтр во FreeBSD; поэтому если он не используется или используется так, что уязвимость не проявляет себя, конкретная система не является уязвимой.

Касаемо цельности BSD: Цельная система - это набо компонент, разрабатываемых вместе и зависящих друго от друга.

Любой дистрибутив Linux, в определенной мере, есть цельная система.

>У вас что хобби такое, грузить левые модули?

С чего бы это модулю быть левым? Обычный модуль из File systems ---> Miscellaneous filesystems ---> UFS file system support (read only)