LINUX.ORG.RU

Несанкционированный удаленный доступ в Sun Solaris


0

0

Ошибка в демоне in.telnetd позволяет обойти проверку пароля при входе в систему.

Уязвима Solaris 10 на всех поддерживаемых архитектурах.

>>> Подробности

anonymous

Проверено: anonymous_incognito ()

>Ошибка в демоне in.telnetd позволяет обойти проверку пароля при входе в систему.

И установка у соплярки ацтой! =]

Metallic
()
Ответ на: комментарий от anonymous

>Тут не вопрос кто виноват -а вопрос что с этим делать :)

Если разработчики не могут сразу нормально писать - пусть переписывают.

anonymous
()
Ответ на: комментарий от anonymous

>>Просто названия модулей поменялись и по умолчанию загрузились другие.

>И что теперь с этим делать? вручную переименовывать?

В конфиге ядра выбрать как старые, так и новые. Или только старые.

rtc ★★
()
Ответ на: комментарий от anonymous

> iptables завязан на версию модуля в ядре : в 2.6.20 у него поменялся синтаксис и /etc/iptables пришлось переписывать.

Ой?! А я, дурак, и не заметил... Сижу с "родным" федоровским iptables, который собирался с заголовками 2.6.18, а ядро использую 2.6.20, и не знаю что у меня оказывается ничего не работает...

Может хватит нести чушь, а? В линуксе в юзерспейсе очень мало кто зависит от ядра, за исключением libc.

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

> Внутренние разработки.

Если у вас возникла "несовместимость" - выгоняйте своих кодеров нах. Потому как если это бинарная несовместимость - пересобрать пакет дело нескольки минут. А если у вас компилятор перестал ккомпилировать и падает с ошибками - см.начала абзаца, то есть "выгоняйте своих кодеров нах".

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

>>ну так это вина не Линукс, а разработчиков, тебе так не кажется?

>Тут не вопрос кто виноват -а вопрос что с этим делать :)

Кроме долгого и мучительного расстрела разработчиков? В тех случаях, что библиотеки совместимости не катят - ставить системы в chroot (у меня так работала RH7.2 на FC4) или, в запущенных случаях, Xen или другие виртуализаторы.

tailgunner ★★★★★
()
Ответ на: комментарий от anonymous

> Все (ну или почти ,ну хорошо -некоторое) серьезное коммерческое ПО идет в виде обьектов а не бинарников

Ты про оракел? Так оракел надо убивать за один только config.c в который зашиваются имя юзера и группы.

no-dashi ★★★★★
()

Спасибо всем за ответы по iptables -щас отошлю товарищу у которого проблемы с этим были. (чтобы не вводить дальше публику в заблуждение - моя поляна другая -солярис) >Если у вас возникла "несовместимость" - выгоняйте своих кодеров нах. >Потому как если это бинарная несовместимость - пересобрать пакет дело >нескольки минут. А если у вас компилятор перестал ккомпилировать и >падает с ошибками - см.начала абзаца, то есть "выгоняйте своих кодеров >нах".

Они уже сами ушли и оставили в нагрузку софт.

>Кроме долгого и мучительного расстрела разработчиков? В тех случаях, >что библиотеки совместимости не катят - ставить системы в chroot (у >меня так работала RH7.2 на FC4) или, в запущенных случаях, Xen или >другие виртуализаторы.

Да ,вот так и живем :)

>Ты про оракел? Так оракел надо убивать за один только config.c в который зашиваются имя юзера и группы.

Да я про него родимого.А про зашитые имя юзера и пароль -вопрос спорный тк все равно делается юзер со спецефическими настройками для его запуска.

anonymous
()
Ответ на: комментарий от anonymous

> > "выгоняйте своих кодеров >нах".

> Они уже сами ушли и оставили в нагрузку софт.

Жесть :-) Платить не пробовали? :-)

> А про зашитые имя юзера и пароль - вопрос спорный

Спорный вопрос - это про то, использовать ли переменную окружения чтобы указать каталог конфигурационного файла или указывать полный путь к файлу. А зашивать в бинарник юзера и пароль, это уже клиника. Как и требовать преекмопиляции для задайствования некоторой фичи вместо того, чтобы просто указать "load libfeature.so" в конфиге.

no-dashi ★★★★★
()
Ответ на: комментарий от geek

> у саныча опять праздник? :)

Все зависит от его сексуальной ориентации :-)

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

>etc/iptables пришлось переписывать.

eill@mail:~$ ls /etc/iptables
/usr/bin/ls: /etc/iptables: No such file or directory
eill@mail:~$

"дяденька, вы калиткой не ошиблись?" (Ц) (ТМ)

gr_buza ★★★★
()
Ответ на: комментарий от gr_buza

самое смешное, что больше всего разоряются те, кто не работает на Solarise. патчи для solari появляются моментально. да и в 10 по умолчанию работют через SSH P.S. только в пигвинах root имеет логинится удаленноюю

anonymous
()
Ответ на: комментарий от anonymous

>P.S. только в пигвинах root имеет логинится удаленноюю

как это похоже на перевод с китайского (линк см в толках :))))

З.Ы. не знаю, кто там кого имеет, но ЛЮБАЯ система требует рихтовки. Другое дело в количестве оной.

gr_buza ★★★★
()
Ответ на: комментарий от anonymous

> патчи для solari появляются моментально

Далеко не всегда и не везде можно патчить. Есть организации, где интернет в производствнных помещениях запрещён вообще. Чтобы пройти в помещения, где машины работают, нужно оформлять допуск и объяснять, зачем.

wa
()
Ответ на: комментарий от anonymous

> dik а зачем вообще доступ к "телу" ? зачем тогда удалённий доступ RSA??

У них свои сети, отличные от Интернет. И тащить в эти сети какие-то там патчи никто никогда не даст.

wa
()
Ответ на: комментарий от wa

2wa Если эти сетки настолько закрытые, как туда злоумышленник из публичного тырнета телнетом попадёт? А?

anonymous
()
Ответ на: комментарий от anonymous

>2wa Если эти сетки настолько закрытые, как туда злоумышленник из публичного тырнета телнетом попадёт? А?

Зачем из тырнета? Из локалки. Или у тебя и без этого все работники могут читать документы друг друга и директора?

anonymous
()

Саныч, расскажи нам что-нибудь про enterprise class Solaris. Я обожаю это слушать. :)

anonymous
()
Ответ на: комментарий от MiracleMan

> telnet? да ну.. разве остались ещё те, кто этим пользуется.. ;-) тем более на Solaris..

Почемк "тем более"? В соляре он работает особенно криво?

anonymous
()
Ответ на: комментарий от geek

> у саныча опять праздник? :)

Бегает в мыле по всему зданию, telnetd на всех серваках останавливает :)

anonymous
()
Ответ на: комментарий от sv75

> Телнет... да еще и дырявый... Или это подвтерждение гипотезы "в продакшн используются наиболее кривые решения?"

Наиболее пропеаренные. Это бизнес, он к реальной надёжности и хащищённости имеет крайне мало отношения :)

anonymous
()
Ответ на: комментарий от anonymous

Это что пеар-отдел редхата тут себе на икорочку зарабатывает?

Так вы пишите пишите -может хоть одного идиота заколебавшего всех в техподдержке и на sunsolve.com к себе перетянете :)

>Саныч, расскажи нам что-нибудь про enterprise class Solaris. Я обожаю это слушать. :)

>Почемк "тем более"? В соляре он работает особенно криво?

>Бегает в мыле по всему зданию, telnetd на всех серваках останавливает :)

>Наиболее пропеаренные. Это бизнес, он к реальной надёжности и хащищённости имеет крайне мало отношения :)

anonymous
()
Ответ на: комментарий от anonymous

>Это что пеар-отдел редхата тут себе на икорочку зарабатывает?

При чем здесь пиар? Солярис 10 - с дыркой в телнете, и никакой редхат тут ни при чем.

blaster999 ★★
()
Ответ на: комментарий от anonymous

а Вы в курсе что такое RSA? а что такое "административная сеть" подите мой юнный друг и почитайте доки P.S. ет только у вас админы бегают

anonymous
()
Ответ на: комментарий от blaster999

na Solaris 11/06 не воспроизвелось

anonymous
()
Ответ на: комментарий от blaster999

>При чем здесь пиар? Солярис 10 - с дыркой в телнете, и никакой редхат >тут ни при чем.

Ну подумай сам: дети по соляркой не работают ибо нет там понтов и перделок ,бородатые моджахе^W сисадмины с ней работающие такую херню не напишут.Значит конкуренты. А главный конкурент соляре у нас кто? Не генту с мандривой же в самом деле.

anonymous
()
Ответ на: комментарий от anonymous

>Только не забываем, что с помощью ifconfig можно поставить на своей рабочей тачке или ноутбуке любой IP и MAC и выдавать себя таким образом за сервер, на самом деле являясь прокси. :)

в подавляющем кол-ве управляемых свичей (а ща все такие делают, более менее которые) - есть привязка ипа к ПОРТУ :) за[xx]ься ип менять с маком, тебя свич пошлет нахер.

anonymous
()
Ответ на: комментарий от anonymous

к физическому порту на свиче, разумеется, а то еще красноглазые подумают что ... %-))

anonymous
()
Ответ на: комментарий от anonymous

>на архитектуре sun4v (T1 процессор, sf1000/2000) не работает

Как собирал? Что в логе? Телепаты, знаеш-ли, в отпуске...

П.С. В техподдержку, наконец, обращался? Что сказали?

;)

anonymous
()
Ответ на: комментарий от anonymous

>Как собирал? Что в логе? Телепаты, знаеш-ли, в отпуске...

Это пипец.. ты тему топика то читал,дитятко?

>П.С. В техподдержку, наконец, обращался? Что сказали?

"Афтар пеши исчо!" там сказали

anonymous
()
Ответ на: комментарий от anonymous

>>а в несерьезно студенческой поделке ляликсе закрыты, ну да что с него >>возьмешь: ему до ынтерпрайза - как до Китая пешком :D

>А до обратной совместимости так вообще в кругосветку

>>не смог удержаться, сорри :)

>Аналогично

Пишите еще, обязательно :)

anonymous
()
Ответ на: комментарий от anonymous

Пропатчили. Все - конец флэйму!

IDR125456-01.zip Synopsis: SunOS 5.10: in.telnetd Interim Security Relief
IDR125457-01.zip Synopsis: SunOS 5.10 i386_x86: in.telnetd Interim Security Relief

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.