LINUX.ORG.RU

Удаленный отказ в обслуживании в linux


0

0

Уязвимость позволяет удаленному пользователю с помощью специального ICMP пакета(содержащего опции record-route или timestamp) вызвать отказ в обслуживании.

>>> Подробности

★★

Проверено: Shaman007 ()

Re: Удаленный отказ в обслуживании в linux

Пинг смерти? Я думал, это только под виндой такие штучки возможны... :((

palach ()

Re: Удаленный отказ в обслуживании в linux

Для исправления необязательно качать 2.6.15.3

Открываем net/ipv4/icmp.c

правим текстовым редактором.

if (ip_options_echo(&icmp_param.replyopts, skb_in)) 
-goto ende; 
+goto out_unlock;

Далее ядро можно собрать без make clean, т.е. make bzImage,
копируем bzImage в /boot вместо старого, затем перезагружаемся.

(проверено на 2.6.14.4)

xnix ★★ ()

Re: Удаленный отказ в обслуживании в linux

А когда-то кричали, что воот дескать FreeBSD/OpenBSD - падает от icmp пакета ;) Эх Все мы смертны

anonymous ()

Re: Удаленный отказ в обслуживании в linux

Грустно конечно, неприятно, но прорвемся.

Главное чтоб не получилось как в шутке:

Поздравляю всех ***ов, эта версия прорыв! Ждем версию 3.1, в которой прорыв будет устранен.

Valmont ★★★ ()

Re: Удаленный отказ в обслуживании в linux

Интересно, а по какой статье можно уволить админа, поставившего 2.6.* на производственный сервер?

Sun-ch ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от anonizmus

Re: Удаленный отказ в обслуживании в linux

а, вижу, вроде нет:

Secunia Advisory: SA18766
Release Date: 2006-02-08
Critical:
Moderately critical
Impact: DoS
Where: From remote
Solution Status: Vendor Patch
OS: Linux Kernel [b]2.6.x[/b] 

госпади, какой же я молодец что до сих пор 2.4.х юзаю %-) на серверах %-)

anonizmus ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

Преступная халатность ;( И заодно можно поставить под сомнение его професиональные качества со всеми вытекающими...

palach ()

Re: Удаленный отказ в обслуживании в linux

а можно ли как-нибудь заблокировать фаерволл'ом подобные пакетики?

anonymous ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

> Интересно, а по какой статье можно уволить админа, поставившего 2.6.* на производственный сервер?

Баг присутствует только для 2.6.12 - 2.6.15.3

anonymous ()

Re: Удаленный отказ в обслуживании в linux

Бугага, это при _посылке_ сообщения возможно. Т.е. если система сама создаст такое сообщение при декодировании приянятого, но принятое будет отброшено, если у него были некорректные опции.

rtc ★★ ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

>Интересно, а по какой статье можно уволить админа, поставившего 2.6.* на производственный сервер?

Да, саныч наверное круче разработчиков SLES и RHEL, которые уже давно работают на 2.6. :)

suser ()

Re: Удаленный отказ в обслуживании в linux

Да мне пох, на чем работают разрботчики SLES и RHEL, зато ко мне пришло заплаканное офисное жывотное и заявила, что их линакс-сервер "похоже нае$нулся".

Sun-ch ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

>Да мне пох, на чем работают разрботчики SLES и RHEL, зато ко мне пришло заплаканное офисное жывотное и заявила, что их линакс-сервер "похоже нае$нулся".

Саныч придумал отличный повод пересадить жывотное со стола на колени?

>Sun-ch # (10.02.2006 12:17:09)

rtc ★★ ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

daesh Sun-ch -u geltuu zvezdu , ili dage dve .

naschet novosti eto konechno nexorosho , no gde te anonymousi i ne tol'ko chto zroradstvovali pro Freebsd ?

ksta u menia linux server 2.4 , a levie icmp paketi regutsia snachala na freebsd routere/firewalle a potom eshe i na samom linux-e

p.s. sorry za translit ( tut krugom odni nerusskie :) )

j262 ★★ ()

Re: Удаленный отказ в обслуживании в linux

Пингую hping с timestamp и с route, 2.6.14 никак не хочет падать доситься. У кого-нибудь получилось?

init ★★★★★ ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от anonymous

Re: Удаленный отказ в обслуживании в linux

>> Интересно, а по какой статье можно уволить админа, поставившего 2.6.* на производственный сервер?

>По несоответствию :)

Интересно, а по какой статье можно уволить анонимусов?

Debian Sarge x86-64 ядро 2.6.8-11. Спим спокойно.

marten ()

Re: Удаленный отказ в обслуживании в linux

2 Саныч & анонимоус:
>> Интересно, а по какой статье можно уволить админа, поставившего 2.6.* на производственный сервер?
>По несоответствию :)

По той же самой, по которой будешь его увольнять за дырки в Соплярке/FreeFufloBSD/Винде.
В сличае с оффтопиком можешь сразу увольнять главного архитектора ПО.

Потом не забудь уволиться сам, если ты этого админа на работу и принимал.



2 j262
>p.s. sorry za translit ( tut krugom odni nerusskie :))
Для таких особо тяжелых случаев, когда со всех сторон обложили "не русския" есть http://www.translit.ru



XCHG ()

Re: Удаленный отказ в обслуживании в linux

А какой командой (т.е. с какими парамтерами diff) вообще принято делать ядерные патчи? А то я хотел патч для 2.6.12.6 сделать и не знаю, как надо кошерно...

anonymous ()

Re: Удаленный отказ в обслуживании в linux

ранее верно настроенный фаервол решает эту проблему (по крайней мере можно спокойно исправить исходник, не боясь потерять связь с серваком).
так что вопрос и в опыте админа тоже.

nial ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от anonymous

Re: Удаленный отказ в обслуживании в linux

> хваленые С программисты - goto в ядре!

Гы. Сделай

grep -c goto *.c|grep :[1-9]

в каталоге net/ipv4 сорцов ядра :) За этим, я думаю, последует харакири.

anonymous ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от marten

Re: Удаленный отказ в обслуживании в linux

> это очень страшно, да?

goto в НЕБОЛЬШИХ программных единицах (вроде функций) ничего страшного собой не представляет. Если код всей программной единицы умещается на одном экране, то goto не ухудшает читаемость и не запутывает. Скорее, запутают как раз попытки заменить goto иными языковыми средствами.

yozhhh ★★★ ()

Re: Удаленный отказ в обслуживании в linux

> goto здесь не причем. это оператор в языке програмирования. не больше.

Есть укоренившееся мнение, что goto некошерен, т.к. снижает читаемость программ, поэтому его надо избегать.

yozhhh ★★★ ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от yozhhh

Re: Удаленный отказ в обслуживании в linux

>Есть укоренившееся мнение, что goto некошерен, т.к. снижает читаемость программ, поэтому его надо избегать.

скажи это программистам на ассемблере -)

abbath ★★ ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от yozhhh

Re: Удаленный отказ в обслуживании в linux

иногда наоборот - в некоторых случаях, он улучшает читаемость кода.
ядро линукса тому пример. но это не причина уязвимостей, т.е., применение goto тут не причем.
бля, зачем об этом говорить - давайте лучше о том, как Линус отреагировал на эту уязвимость.

nial ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от marten

Re: Удаленный отказ в обслуживании в linux

Дык еще отцы-основатели говорили, что за использование goto надо отрубать пальцы на руках, оно теперь понятно откуда в ляпиксе столько дыр, как можно проводить аудит кода, когда это не код а какая то солянка.

Sun-ch ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от papazol

Re: Удаленный отказ в обслуживании в linux

здрасте - виноваты разработчики. а не админы, которые были уверены в работе ядра.
а если завтра найдут дыру для remote exploit'a в ветке 2.х - тоже админы выноваты ?

nial ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от Sun-ch

Re: Удаленный отказ в обслуживании в linux

> Дык еще отцы-основатели говорили, что за использование goto надо отрубать пальцы на руках

user@host|/usr/src/sys/kern$ grep -rw goto .| wc -l

1291

user@host|/usr/src/sys/kern$ uname -sr

FreeBSD 4.11-STABLE

Исходников соляриса под рукой нет, а жаль...

anonymous ()

Re: Удаленный отказ в обслуживании в linux

Не хотел писать, но не могу удержаться - всем злорадно пи*девшим на BSD посвящается ;)

bmc ()

Re: Удаленный отказ в обслуживании в linux

но если стоит net.ipv4.icmp_echo_ignore_all=1 - пофиг? =)

WerNA ★★★★★ ()

Re: Удаленный отказ в обслуживании в linux

Запарил этот дырявый лялих =)))

MYMUR ★★★★ ()

Re: Удаленный отказ в обслуживании в linux

Че ты так распереживался? Никто никого увольнять не собирается, но следует иметь ввиду, что ставя ветку, находящуюся в активном девелопменте, надо не спускать с нее глаз, а не пиво сосать до потери человеского облика.

Sun-ch ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от yozhhh

Re: Удаленный отказ в обслуживании в linux

МОгу сказать, что мне в моих программах goto нужен очень редко. Обычно он появляется, если надо быстро поправить свою ошибку или добавить функциональность.

anonymous ()
Ответ на: Re: Удаленный отказ в обслуживании в linux от yozhhh

Re: Удаленный отказ в обслуживании в linux

>bash-3.00$ grep -rw goto .|wc -l
31354

Мдя, вот интересно, хоть один чел со здоровым моском может провести аудит чужого сода хотя с парой-другой тысяч goto?

Sun-ch ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.