LINUX.ORG.RU

Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

 , ,


0

0

Сообщается об уязвимости в Sun Solaris, которая может быть использована удаленными пользователями, чтобы вызвать отказ в обслуживании.

Ошибка в реализации TCP-стека позволяет в условиях шторма TCP SYN пакетов вызвать таймаут сетевых соединений или значительное потребление процессорного времени.

Замечание: успешное использование ошибки требует, чтобы переменная "tcp_conn_req_max_q0" ndd(1M) имела значение выше, чем 1024, используемое по умолчанию.

Уязвимы версии Solaris 8, 9, и 10 для платформ sparc и x86.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Кастую Саныча

INFOMAN ★★★★★ ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Ну на самом то деле что это за баг для работы которого надо срециально готовить тачку, менять значения в конфигах? Если бы оно работало из коробки так сказать :), это было бы да...

vizor ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Где-то я это уже слышал... Баян-с?

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

тюнинг сервера - западло не для настоящих пацанов? Думаю на большинстве веб-серверов под солярой этот параметр увеличен. Так что баг вполне неприятный.

Tramper ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

хотел што-нить абиднае про саляру сказать, он не буду - саныч покусает...

OzOx ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

> Думаю на большинстве веб-серверов под солярой этот параметр увеличен.

Ошибаешься, на большинстве веб-серверов под солярой на этот параметр все забили и не задумываются даже о нем.

cascade ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

На ЛОР-е, как обычно, один написал столетней давности баг, другой не проверил новость, печально...:)

Sun Alert ID: 200864 Title: Security Vulnerability in the TCP Implementation of Solaris Systems May Allow a Denial of Service When Accepting New Connections While Undergoing a TCP "SYN Flood" Attack Product: Solaris 8 Operating System, Solaris 9 Operating System, Solaris 10 Operating System Category: Security Release Phase: Resolved Resolved Date: 06-May-2008

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Ох уж это форматирование...:(
Sun Alert ID: 200864
Title:   Security Vulnerability in the TCP Implementation of
         Solaris Systems May Allow a Denial of Service When
         Accepting New Connections While Undergoing a TCP "SYN
         Flood" Attack
Product: Solaris 8 Operating System, Solaris 9 Operating System,
         Solaris 10 Operating System
Category:             Security
Release Phase:        Resolved
Resolved Date:        06-May-2008

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Прошу прощения за вопрос не в тему. Есть ли какие типовые решения под солярис, которых под линукс нет? В каких случаях солярис предпочтительней использовать, чем линукс?

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

>cifs в ядре соляры, и плотно интегрирован с zfs и nfs

Саныч, поясни что этот пасаж означает??? Что именно в смысле CIFS сервера там в ядре и интегрировано?

Bebop ★★ ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

CIFS в ядре как у microsoft(r) windows(tm)? А почему бы тогда не использовать ее для этих целей? Оно дешевле чем солярис в обслуживании и производительнее. Да еще, оказывается, и надежнее.

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Вы так сложно излагаете свои мысли, что их даже трудно понять, что Вы написали во втором вопросе своём??:-\

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

Yoda ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

недавно купили на работе с моей подачи сервер Sun Fire 2100 , поставил на нотик себе Solaris 10 чтоб подучиться прежде чем на сервак ОСь ставить (пишу щас с него). Хочу поднять Samba server чтоб для локалки файлопомойку юзерам сделать, теперь прочитал про CIFS. Уважаемый Sun-ch подскажите хотя бы в общих чертах как этот CIFS запустить, будут ли на шарах русские буквы и права доступа? С уважением, Андрей InstantRails@gmail.com

Yoda ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Тоже, что и у NFS сервера например, тоже и у CIFS сервера, если Вам интересно, как и что, то исходники доступны, интеграция состоит в том, что можно экспортировать файловую систему по CIFS через ZFS интерфейс, без использования сторонних продуктов вроде Samba, для этого, просто задаётся опция для файловой системы - zfs set sharesmb и всё она начинает экспортироваться CIFS сервером...:)

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10, да там будут русские буквы, будут прова доступа в стиле NT ACL-ов, можно даже его интегрировать в AD будет с авторизацией...:)

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

О! Раз Вы в теме, поясните еще пару моментов, если не затруднит...

Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов?

Как рулить такой "самбой"???

ЗЫ Извините, за глупые вопросы, но я с солярой мало знаком.

Bebop ★★ ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

"успешное использование ошибки требует, чтобы переменная "tcp_conn_req_max_q0" ndd(1M) имела значение выше, чем 1024, используемое по умолчанию." (c) Это новость? Шаман, ты че?

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

>Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.
>Bebop

Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего [beeeeeeeeeeeeeeeeeeeeeeeeeeeeeeep]?!

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

> А вот NFS-Server ядерный вас не смущает?! Нет?

Кто сказал, что не смущает? Очень даже... Как увижу. краснею сразу и отворачиваюсь.

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

>Да как же вы задрали! А вот NFS-Server ядерный вас не смущает?! Нет? Так а чего

Отучаемся думать и говорить за всех!

Есть чего по делу сказать? Нет? Тогда [beeeeeeeeeeeeep].

Bebop ★★ ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Bebop - ты вообще не в теме - зело ты мудак :) Сколько воздуху было попорчено что наконец то в линухе нЫфЫсЫ в ядре и теперь то мы дадим стране угля на скорости проводов! :) Эти хотят отгружать и по цивс ...
Да ничего страшного - когда самбу 4 завенут в ядро - ты первый же орать будешь что мы передовее всех передовых - тут таких уродов 95%

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

>CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

уважаемый ZANWER, а подскажите когда этот апдейт будет? или придется на сервер OpenSolaris заливать, или коммерческую поддержку покупать что-ли? Я щас вот на нотик поставил 10-ку зарегестрировался на сайте Sun апдейты безопасности только доступны.

Yoda ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Ананимус ты похоже беспросветно туп - глаза открой пошире и посмотри что именно я спрашивал. Мне фиолетово про nfs. Я спрашивал про cifs в соляре и мой вопрос был в НЕ том "на кой это надо" а в том как это там сделано и как этим рулят.

А что касается всякой дряни в ядре - так ты можешь сколько угодно портить воздух, мне поровну. Хотя я действительно считаю, что пользовательским сетевым сервисам в ядре не место. Вот только обсуждать это не намерен.

Bebop ★★ ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

> Я вот прочитал про in-kernel CIFS server implementation... если честно на мой взгляд это что-то из серии графики в ядре, ну да ладно.

Это из серии для высоконагруженных серверов, но не будем обсуждать CIFS сервер в ядре, NFS сервер уже милион лет в ядре, да и Lustre тоже в ядре, а ещё есть TUX - веб сервер в ядре GNU/Linux, так что это оставим, как есть...:)

> Т.е. в такой реализации есть ли демоны типа smbd и чем они занимаются? Ну или кто там обслуживает коннекты клиентов? > Как рулить такой "самбой"???

Конечно есть, так и нызываеться smbd, рулить CIFS сервером можно через sharemgr, так же через sharemgr управляеться и NFS...:)

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Update 6 для Solaris 10, выйдет ориентировочно в ноябре этого года, возможно конечно он задержится, возможо нет, тут я нечего не могу сказать, этого незнают даже представители Sun, Вам сейчас будут доступны не только обновления безопастности, но и обновления драйверов, и Kernel Update-ы, так же будут доступны Update-ы программного обеспечения, не всего, это зависит от того, в каком статусе выпущен SunSolve билютень, некоторые будут требовать наличия платной подписки, цена подписки не велика, тем болие, Вы можете купить сервис план на один сервер, поставить Proxy Patch Server, он бесплатный и патчить хоть милион своих серверов через него...:)

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

>Вы можете купить сервис план на один сервер, поставить Proxy Patch Server

о-о-о спасибо за инфу ZANSWER - я честно говоря этого не знал, подписка на год действительно невелика что-то около 580$ если не ошибаюсь. Наберусь смелости и попрошу подсказать как поставить Patch Server, уж больно мне Solaris приглянулся - не хочется бросать, все что можно на работе попробую на Соляр перевести.

Yoda ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

> CIFS сервер ещё не бекпортировали в Solaris 10, на данный момент он доступен в OpenSolaris, со следующим Update-ом он появится и в Solaris 10

Откуда дровишки про in-kernel CIFS Server в Solaris 10? См. здесь: http://www.opensolaris.org/jive/thread.jspa?messageID=226805

anonymous ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

Нет ещё дешевле, Basic Service Plan стоит всего 324 долара, что даже меньше чем у Red Hat для RHEL, для установки Patch Proxy Update Connection Manager-а необходимо установить вот этот патч 119789-09 - http://sunsolve.sun.com/search/document.do?assetkey=1-21-119789-09-1

ZANSWER ()

Re: Удаленный DoS в Sun Solaris посредством шторма TCP SYN пакетов

> uname -imprsv
SunOS 5.9 Generic_118558-30 sun4u sparc SUNW,Sun-Fire-V490

> ndd -get /dev/tcp tcp_conn_req_max_q0
4096

Упс...

Subcreator ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.