LINUX.ORG.RU

1 2

где можно скачать патч к ядру?

anonymous
()

ошибка в lv не только в шапке, но и во всех других дистрах в которых она идёт

anonymous
()

а есть патч исправляющий конкретно эту ошибку? 2.4.21-rc2 качать не хочу, т как эту ошибку они исправили, а каких новых добавили неизвестно

anonymous
()

кстати когда они её успели исправить в 2.4.21-rc2 ?
судя по логу биткипера:

ChangeSet@1.1209, 2003-05-08 21:36:28-03:00, marcelo@freak.distro.conectiva
Changed EXTRAVERSION to -rc2
TAG: v2.4.21-rc2

оно вышло 2003-05-08 , а первая публикация об этой
ошибке была 14'го


anonymous
()
Ответ на: Flashdist - OpenBSD на флеше от Sun-ch

>про local root на bugtraq только про шапку написано

по крайней мере для Debian это тоже имеет место:

--------------------------------------------------------------------------
Debian Security Advisory DSA 304-1 security@debian.org
http://www.debian.org/security/ Matt Zimmerman
May 15th, 2003 http://www.debian.org/security/faq
--------------------------------------------------------------------------

Package : lv
Vulnerability : privilege escalation
Problem-Type : local
Debian-specific: no
CVE Id : CAN-2003-0188

Leonard Stiles discovered that lv, a multilingual file viewer, would
read options from a configuration file in the current directory.
Because such a file could be placed there by a malicious user, and lv
configuration options can be used to execute commands, this
represented a security vulnerability. An attacker could gain the
privileges of the user invoking lv, including root.

For the stable distribution (woody) this problem has been fixed in
version 4.49.4-7woody2.

For the old stable distribution (potato) this problem has been fixed
in version 4.49.3-4potato2.

For the unstable distribution (sid) this problem is fixed in version
4.49.5-2.

We recommend that you update your lv package.

anonymous
()

>Можно зафлудить линух пакетами с изменным адресом источника.

не пойму причем тут lv ?

anonymous
()
Ответ на: комментарий от anonymous

х** знает, спроси у Саныча он зачем-то про lv вспомнил, кстати ещё дыру в cdrecord >=1.11 нашли, root exploit имеется :-)

anonymous
()

так блин, народ, дайте наконец-то патч, щас ведь всякие мудаки флудить начнут, узнав об этой баге.

anonymous
() 

changelog на kernel.org 2.4.21-rc2:
...
  o [NET]: Fix hashing exploits in ipv4 routing, IP conntrack, and TCP synq
...

anonymous
()

Еще два дня назад вышло у редхата ядро, решающее эту проблему. Несложно догадаться, что патч можно взять в исходниках ядра.

jackill ★★★★★
()

пля очень страшная дыра этот lv, я как рут вообще об этой проге впервые слышу :)

anonymous
()

Flashdist - OpenBSD на флеше

>х** знает, спроси у Саныча он зачем-то про lv вспомнил, кстати ещё дыру в cdrecord >=1.11 нашли, root exploit имеется :-)

Дык я читал bugtraq, а там все в одной куче

Sun-ch
() автор топика

exploit кто нибудь видел по этому поводу ?

anonymous
()
Ответ на: комментарий от anonymous

а ты проверь может у тебя этот lv стоит а ты и не знаешь, а узнаешь только когда тебя похачат :-)))

anonymous
()
Ответ на: комментарий от anonymous

есть src.rpm а в нём есть файл linux-2.4.20-nethashfix.patch , возможно это оно, ща выложу куда-нибудь

anonymous
()

нет это кривой патч, на 2.4.20 он не встаёт :-(

anonymous
()

lv - local vulnerability ??

anonymous
()

да а как насчет флуда???

anonymous
()
Ответ на: комментарий от anonymous

> а ты проверь может у тебя этот lv стоит а ты и не знаешь, а узнаешь только когда тебя похачат :-)))

для тех кто в танке - если я как root не знаю этой проги то я ее и запускать ни разу не буду. хачьте на здоровье.

anonymous
()

Flashdist - OpenBSD на флеше

>для тех кто в танке - если я как root не знаю этой проги то я ее и запускать ни разу не буду. хачьте на здоровье.

Зачем иметь такую дыру в системе ? Обновить/снести пакет сложно ?

Sun-ch
() автор топика

кому не влом - выложите патч

качать весь src.rpm ради одного патчика ломает

anonymous
()

а чё 2.4.21rc2 сложно поставить?

anonymous
()

подскажите пож, - это безобразие 2.2.х касается?

anonymous
()

Расскажите подробно как DOS сделать че за измененный адресс это ip или че. Хочу проверить.

anonymous
()

>Расскажите подробно как DOS сделать че за измененный адресс это ip или че. Хочу
> проверить.
Так тебе и рассказали злобный хацкер.

anonymous
()

Ответьте мне на один вопрос:

мне очень нужно пользоваться функциональными патчами на ядро 2.4.20 (CryptoAPI, UDF и т.д.). Ядро из дистра не подходит. На новое переходить, пока эти патчи не вышли тоже никак нельзя.

И что мне теперь делать? Где оперативно найти все security патчи на ТЕКУЩУЮ (или даже предыдущую) версию ОРИГИНАЛЬНОГО ядра? Патчи типа grsecurity, cipherfunk конфликтуют с cryptoAPI и тоже не подходят.

anonymous
()

anonymous (*) (2003-05-17 20:08:52.524) да поставь rc2, CryptoAPI, Cryptoloop с ним работают на ура.

anonymous
()
Ответ на: комментарий от anonymous

аналогичная проблема имею 2.4.20 с кучей патчей, но не дистрибутивное и что мне опять трахаться чтоб на 2.4.21rc2 все эти патчи накладывать, может есть всё-таки патч для 2.4.20?

anonymous
()

Слушайте, умники, о чем вы тут вообще трепетесь? При чем тут бага в кернеле и зафлудить с измененным адресом? Вот вам простая формула:

1)послать простой пинг на 20 разных машин с измененным обратным адресом, который указывает на другую конкретную машину. 2) на каждую из 20 машин ICMP пакет ушел маааленький и один. 3) как вы думаете каков будет трафик на точке входа той машины, обратный адрес которой вы указали? пакет*20! А если машин 100? А если 200?

Эта формула применима для всех ОС, кернелов, и тд, вне зависимости стоят на них какие-то патчи или нет. Спастись от этого можно только правильно настроив фильтр на атакуемой машине заранее.

anonymous
()


Стар как мир этот DoS. Известен он был со времен рождения линукса. Помогает опция в ядре "Big Routing Table".
С другой стороны, читаем последствия хорошо спланированой атаки:

This could potentially bring a Linux system offline with a
rate of only 400 packets per second

Странное понятие у них "offline". У меня на веб-серверах
средний показатель 300 пакетов/секунду. Так что не страшно.

anonymous
()
Ответ на: комментарий от anonymous 

/usr/src/linux> cat ../linux-2.4.20-nethashfix.patch | patch -p1 --dry-run
patching file include/linux/jhash.h
patching file include/linux/sysctl.h
Hunk #1 succeeded at 312 (offset -3 lines).
patching file include/net/tcp.h
Hunk #1 succeeded at 1595 (offset -9 lines).
patching file net/ipv4/netfilter/ip_conntrack_core.c
Hunk #1 succeeded at 31 (offset 3 lines).
Hunk #2 succeeded at 109 (offset 3 lines).
Hunk #5 succeeded at 1430 (offset -5 lines).
patching file net/ipv4/route.c
Hunk #5 succeeded at 2421 (offset -2 lines).
Hunk #6 succeeded at 2460 (offset -2 lines).
Hunk #7 succeeded at 2488 (offset -2 lines).
Hunk #8 succeeded at 2547 (offset -2 lines).
Hunk #9 succeeded at 2555 (offset -2 lines).
patching file net/ipv4/tcp.c
patching file net/ipv4/tcp_ipv4.c
Hunk #1 succeeded at 52 (offset -4 lines).
Hunk #2 succeeded at 858 (offset -11 lines).
Hunk #3 succeeded at 872 (offset -11 lines).
Hunk #4 succeeded at 892 (offset -11 lines).
patching file net/ipv6/tcp_ipv6.c
Hunk #1 succeeded at 34 (offset -2 lines).
Hunk #2 succeeded at 358 (offset -11 lines).
Hunk #3 succeeded at 376 (offset -11 lines).
Hunk #4 succeeded at 1122 (offset -14 lines).
can't find file to patch at input line 583
Perhaps you used the wrong -p or --strip option?
The text leading up to this was:
--------------------------
|# This is a BitKeeper generated patch for the following project:
|# Project Name: Linux kernel tree
|# This patch format is intended for GNU patch command version 2.5 or higher.
|# This patch includes the following deltas:
|#                 ChangeSet    1.1144  -> 1.1145
|#      net/ipv4/netfilter/ip_conntrack_core.c  1.18    -> 1.19
|#       net/ipv6/tcp_ipv6.c    1.22    -> 1.23
|#       net/ipv4/tcp_ipv4.c    1.21    -> 1.22
|#      include/linux/jhash.h   1.1     -> 1.2
|#          net/ipv4/route.c    1.22    -> 1.23
|#
|# The following is the BitKeeper ChangeSet Log
|# --------------------------------------------
|# 03/05/03     jmorris@intercode.com.au        1.1145
|# [NET]: Cosmetic cleanups of jhash code.
|# - Consistent naming (i.e. jhash_xxx)
|# - Reduces the 2&1 word variants to call jhash_3words()
|# - Replaces __inline__ with inline.
|# --------------------------------------------
|#
|diff -Nru a/include/linux/jhash.h b/include/linux/jhash.h
|--- a/include/linux/jhash.h    Tue May  6 02:40:04 2003
|+++ b/include/linux/jhash.h    Tue May  6 02:40:04 2003
--------------------------
File to patch:
Skip this patch? [y]
Skipping patch.
4 out of 4 hunks ignored
patching file net/ipv4/netfilter/ip_conntrack_core.c
Hunk #1 FAILED at 115.
1 out of 1 hunk FAILED -- saving rejects to file net/ipv4/netfilter/ip_conntrack_core.c.rej
patching file net/ipv4/route.c
Hunk #1 FAILED at 205.
1 out of 1 hunk FAILED -- saving rejects to file net/ipv4/route.c.rej
patching file net/ipv4/tcp_ipv4.c
Hunk #1 FAILED at 871.
1 out of 1 hunk FAILED -- saving rejects to file net/ipv4/tcp_ipv4.c.rej
patching file net/ipv6/tcp_ipv6.c
Hunk #1 FAILED at 371.
1 out of 1 hunk FAILED -- saving rejects to file net/ipv6/tcp_ipv6.c.rej
patching file net/ipv4/route.c
Hunk #2 FAILED at 485.
1 out of 2 hunks FAILED -- saving rejects to file net/ipv4/route.c.rej
patching file net/ipv4/tcp_minisocks.c
Hunk #1 succeeded at 447 (offset 3 lines).

anonymous
()

то есть не патчится оно, есть нормальный патч?

anonymous
()

300 пакетов на вебсервере
это хорошо
ну тут речь идет о 400 пакетах и досе
я на долбаном диалапе могу 400 пакетов
сгенирить и сервак в дауне это есть очень плохо....

anonymous
()

to anonymous (*) (2003-05-18 00:14:46.84)

vanilla-kernel-2.4.20+ptrace patch. Патчится без единого реджекта. Это или вы что-то не так делаете или ядро слишком специфическое.

anonymous
()
Ответ на: комментарий от anonymous


> ну тут речь идет о 400 пакетах и досе
я на долбаном диалапе могу 400 пакетов

Я говорю о нормальных пакетах по 1500 байт. А ты похоже не понял, к чему говорилось про 400 пакетов. Эти 400 пакетов в секунду - пропускная способность сервака во время DoS. Ими можно обслужить порядка 300-400 веб-юзеров в минуту. Совсем неплохо.

anonymous
()

Кстати, поклонникам Debian... :-)
Вот how-to для установки Debian на компы SGI (debian-mips): http://www.linux-debian.de/howto/debian-mips-woody-install.html

Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов...

R00T
()
Ответ на: комментарий от R00T

" Кстати, поклонникам Debian... :-)
Вот how-to для установки Debian на компы SGI (debian-mips): http://www.linux-debian.de/howto/debian-mips-woody-install.html

Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов..."

читать надо официально руководство по установке, а
не какой-то левый фак !

anonymous
()
Ответ на: комментарий от R00T

" Кстати, поклонникам Debian... :-)
Вот how-to для установки Debian на компы SGI (debian-mips): http://www.linux-debian.de/howto/debian-mips-woody-install.html

Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов..."

читать надо официальное руководство по установке, а
не какой-то левый фак !

anonymous
()

2asoneofus: Понимаешь, в чём дело...

Во-первых, я абсолютно уверен, что с первого раза "как надо" я Debian и на писюк-то не поставлю. Что уж говорить про столь специфичную железячку...
Соответственно, метод установки по сети мало устраивает.

Во-вторых, у этой железячки нет дисковода. Потому ставить придется либо с CD, либо как описано в HOW-TO'шке загружаться с DHCP. Причём, вариант с DHCP не очень подходит из-за того, что я попросту не знаю, как войти в system maintenance menu. (родная документация от железки не сохранилась, а в том, что лежит на сайте SGI я этого не нашел) Возможно, удастся поставить дисковод от PC'шки... Но, честно говоря, я боюсь эксперементировать (в своё время за железячку заплатили $10'000).

В общем, вот такие пироги. Идеальный выход - загрузочный установочный CD. Значит, придется качать.
Тут тоже печальная проблема: 632 Мбайта. Канал ADSL от MTU - до 6-ти Мбит/с. (т. е., в принципе, оно может выкачаться за время порядка 800 секунд). Но траффик стоит $0.1 без налогов. Значит, $80 - насмарку (65$ + НДС). Для сравнения Slackware 9.0 с полным набором книжек, плюшевым пингвином и двумя маечками обойдется в $173.85 (без перевозки и растаможки). Дело даже не в деньгах. Просто я за то, чтобы отдать эти несчастные 80 баксов сообществу GNU, чем интернет-провайдеру (кстати, моё начальство тоже придерживается этого мнения: платить надо тем, кто что-то ДЕЛАЕТ...)

R00T
()
Ответ на: комментарий от anonymous

> Еще два дня назад вышло у редхата ядро, решающее эту проблему. > Несложно догадаться, что патч можно взять в исходниках ядра. http://ftp.redhat.com/pub/redhat/linux/updates/7.3/en/os/SRPMS/kernel-2.4.20-...

Поскольку пользую RH v7.3

anonymous
()

господа Debian'щики скажите, вот такое apt'ом возможно: произвести upgrade пакетов только что бы они не из репозитария брались скомпиленные, а скачивались сорсы, компилялись и ставились, короче что то типа
apt-get source -b package_name
но для всех пакетов что обновились в пепозитарии?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Безопасность