LINUX.ORG.RU

Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

 , ,


0

0

Сообщается об уязвимости в Sun Solaris, которая может быть использована удаленными пользователями, чтобы вызвать отказ в обслуживании.

Ошибка в реализации TCP-стека позволяет в условиях шторма TCP SYN пакетов вызвать таймаут сетевых соединений или значительное потребление процессорного времени.

Замечание: успешное использование ошибки требует, чтобы переменная "tcp_conn_req_max_q0" ndd(1M) имела значение выше, чем 1024, используемое по умолчанию.

Уязвимы версии Solaris 8, 9, и 10 для платформ sparc и x86.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Ну на самом то деле что это за баг для работы которого надо срециально готовить тачку, менять значения в конфигах? Если бы оно работало из коробки так сказать :), это было бы да...

vizor
()
Ответ на: комментарий от anonymous

>Где-то я это уже слышал... Баян-с?

Это был ынтрерпрайз ping-of-death

anonymous
()
Ответ на: комментарий от anonymous

>Где-то я это уже слышал... Баян-с?

Трёхрядный. Склероз модераторов в действии.

farisey
()
Ответ на: комментарий от vizor

тюнинг сервера - западло не для настоящих пацанов? Думаю на большинстве веб-серверов под солярой этот параметр увеличен. Так что баг вполне неприятный.

Tramper
()
Ответ на: комментарий от anonymous

>Баян-с?

Нет, это еще один глюк из той же серии.

anonymous
()

хотел што-нить абиднае про саляру сказать, он не буду - саныч покусает...

OzOx
()
Ответ на: комментарий от Tramper

> Думаю на большинстве веб-серверов под солярой этот параметр увеличен.

Ошибаешься, на большинстве веб-серверов под солярой на этот параметр все забили и не задумываются даже о нем.

cascade
()

На ЛОР-е, как обычно, один написал столетней давности баг, другой не проверил новость, печально...:)

Sun Alert ID: 200864 Title: Security Vulnerability in the TCP Implementation of Solaris Systems May Allow a Denial of Service When Accepting New Connections While Undergoing a TCP "SYN Flood" Attack Product: Solaris 8 Operating System, Solaris 9 Operating System, Solaris 10 Operating System Category: Security Release Phase: Resolved Resolved Date: 06-May-2008

ZANSWER
()

Ох уж это форматирование...:(
Sun Alert ID: 200864
Title:   Security Vulnerability in the TCP Implementation of
         Solaris Systems May Allow a Denial of Service When
         Accepting New Connections While Undergoing a TCP "SYN
         Flood" Attack
Product: Solaris 8 Operating System, Solaris 9 Operating System,
         Solaris 10 Operating System
Category:             Security
Release Phase:        Resolved
Resolved Date:        06-May-2008

ZANSWER
()

Прошу прощения за вопрос не в тему. Есть ли какие типовые решения под солярис, которых под линукс нет? В каких случаях солярис предпочтительней использовать, чем линукс?

anonymous
()
Ответ на: комментарий от anonymous

> В каких случаях солярис предпочтительней использовать, чем линукс?

Если Вы - Саныч

anonymous
()
Ответ на: комментарий от cascade

Вы вестимо не так поняли, речь шла о GNU/Linux с установленным LVM + ReiserFS, а не о Sun Solaris...:)

ZANSWER
()
Ответ на: комментарий от frey

В GNU/Linux появился ядерный CIFS сервер??;) Если не затруднит ссылку пожалуйста дайте, я наверное что-то пропустил...:-\

ZANSWER
()
Ответ на: комментарий от Sun-ch

>cifs в ядре соляры, и плотно интегрирован с zfs и nfs

Саныч, поясни что этот пасаж означает??? Что именно в смысле CIFS сервера там в ядре и интегрировано?

Bebop ★★
()
Ответ на: комментарий от Sun-ch

CIFS в ядре как у microsoft(r) windows(tm)? А почему бы тогда не использовать ее для этих целей? Оно дешевле чем солярис в обслуживании и производительнее. Да еще, оказывается, и надежнее.

anonymous
()
Ответ на: комментарий от anonymous

Из того что я знаю: ZFS и DTrace. Если почитать рекламки от Сан, наверняка ещё что-то найдётся :)

anonymous
()

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

Yoda
()

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

Yoda
()
Ответ на: комментарий от Bebop

Тоже, что и у NFS сервера например, тоже и у CIFS сервера, если Вам интересно, как и что, то исходники доступны, интеграция состоит в том, что можно экспортировать файловую систему по CIFS через ZFS интерфейс, без использования сторонних продуктов вроде Samba, для этого, просто задаётся опция для файловой системы - zfs set sharesmb и всё она начинает экспортироваться CIFS сервером...:)

ZANSWER
()
Ответ на: комментарий от Yoda

CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10, да там будут русские буквы, будут прова доступа в стиле NT ACL-ов, можно даже его интегрировать в AD будет с авторизацией...:)

ZANSWER
()
Ответ на: комментарий от ZANSWER

О! Раз Вы в теме, поясните еще пару моментов, если не затруднит...

Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов?

Как рулить такой "самбой"???

ЗЫ Извините, за глупые вопросы, но я с солярой мало знаком.

Bebop ★★
()

"успешное использование ошибки требует, чтобы переменная "tcp_conn_req_max_q0" ndd(1M) имела значение выше, чем 1024, используемое по умолчанию." (c) Это новость? Шаман, ты че?

anonymous
()
Ответ на: комментарий от Bebop

>Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.
>Bebop

Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего [beeeeeeeeeeeeeeeeeeeeeeeeeeeeeeep]?!

anonymous
()
Ответ на: комментарий от anonymous

> А вот NFS-Server ядерный вас не смущает?! Нет?

Кто сказал, что не смущает? Очень даже... Как увижу. краснею сразу и отворачиваюсь.

anonymous
()
Ответ на: комментарий от anonymous

>Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего

Отучаемся думать и говорить за всех!

Есть чего по делу сказать? Нет? Тогда [beeeeeeeeeeeeep].

Bebop ★★
()
Ответ на: комментарий от Bebop

Bebop - ты вообще не в теме - зело ты мудак :) Сколько воздуху было попорчено что наконец то в линухе нЫфЫсЫ в ядре и теперь то мы дадим стране угля на скорости проводов! :) Эти хотят отгружать и по цивс ...
Да ничего страшного - когда самбу 4 завенут в ядро - ты первый же орать будешь что мы передовее всех передовых - тут таких уродов 95%

anonymous
()
Ответ на: комментарий от ZANSWER

>CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

уважаемый ZANWER, а подскажите когда этот апдейт будет? или придется на сервер OpenSolaris заливать, или коммерческую поддержку покупать что-ли? Я щас вот на нотик поставил 10-ку зарегестрировался на сайте Sun апдейты безопасности только доступны.

Yoda
()
Ответ на: комментарий от anonymous

Ананимус ты похоже беспросветно туп - глаза открой пошире и посмотри что именно я спрашивал. Мне фиолетово про nfs. Я спрашивал про cifs в соляре и мой вопрос был в НЕ том "на кой это надо" а в том как это там сделано и как этим рулят.

А что касается всякой дряни в ядре - так ты можешь сколько угодно портить воздух, мне поровну. Хотя я действительно считаю, что пользовательским сетевым сервисам в ядре не место. Вот только обсуждать это не намерен.

Bebop ★★
()
Ответ на: комментарий от Bebop

> Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Это из серии для высоконагруженных серверов, но не будем обсуждать CIFS сервер в ядре, NFS сервер уже милион лет в ядре, да и Lustre тоже в ядре, а ещё есть TUX - веб сервер в ядре GNU/Linux, так что это оставим, как есть...:)

> Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов? > Как рулить такой "самбой"???

Конечно есть, так и нызываеться smbd, рулить CIFS сервером можно через sharemgr, так же через sharemgr управляеться и NFS...:)

ZANSWER
()
Ответ на: комментарий от Yoda

Update 6 для Solaris 10, выйдет ориентировочно в ноябре этого года, возможно конечно он задержится, возможо нет, тут я нечего не могу сказать, этого незнают даже представители Sun, Вам сейчас будут доступны не только обновления безопастности, но и обновления драйверов, и Kernel Update-ы, так же будут доступны Update-ы программного обеспечения, не всего, это зависит от того, в каком статусе выпущен SunSolve билютень, некоторые будут требовать наличия платной подписки, цена подписки не велика, тем болие, Вы можете купить сервис план на один сервер, поставить Proxy Patch Server, он бесплатный и патчить хоть милион своих серверов через него...:)

ZANSWER
()
Ответ на: комментарий от ZANSWER

>Вы можете купить сервис план на один сервер, поставить Proxy Patch Server

о-о-о спасибо за инфу ZANSWER - я честно говоря этого не знал, подписка на год действительно невелика что-то около 580$ если не ошибаюсь. Наберусь смелости и попрошу подсказать как поставить Patch Server, уж больно мне Solaris приглянулся - не хочется бросать, все что можно на работе попробую на Соляр перевести.

Yoda
()
Ответ на: комментарий от ZANSWER

> CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

Откуда дровишки про in-kernel CIFS Server в Solaris 10? См. здесь: http://www.opensolaris.org/jive/thread.jspa?messageID=226805

anonymous
()
Ответ на: комментарий от anonymous

Дровишки обещали Sun в одном из анонсов, за ссылку спасибо, буду иметь ввиду...*SUN*

ZANSWER
()

> uname -imprsv
SunOS 5.9 Generic_118558-30 sun4u sparc SUNW,Sun-Fire-V490

> ndd -get /dev/tcp tcp_conn_req_max_q0
4096

Упс...

Subcreator
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.