LINUX.ORG.RU

Ping of Death в OpenBSD Packet Filter

 ,


0

1

При помощи одного специально сформированного IP-пакета атакующий может вызвать панику ядра (как из локальной сети, если используется правило NAT, так и извне, если используется правило RDR).

Публичного эксплоита нет, но его нетрудно сделать самому. Баг проверен (эксплоит) на OpenBSD 4.3. Уязвимости подвержены все версии OpenBSD, в которые вошел PF.

Быстрый способ устранить проблему - указать явно список траслируемых протоколов в конфиге:
nat/rdr ... inet/inet6 proto { tcp udp icmp/icmp6 } ...

Информация на русском

>>> Официальная errata и патч



Проверено: hibou ()

Вот так обосрались.... Как они могли?

emaxx ★★
()

Ну и как теперь такую новость Линукс откомментирует? "Мастурбирующие на безопасность обезьяны, мастурбируют недостаточно интенсивно?"

Demon37 ★★★★
()
Ответ на: комментарий от Demon37

> "Мастурбирующие на безопасность обезьяны, мастурбируют зря"

FIXED.

Собственно, он именно так и сказал: бесполезно.

name_no ★★
()

Жесть. Все это способствует развитию паранойи ^_^

sm217
()

реквестирую в трэд клоуна/ов с воплями, что "фря рулит...", а то как-то нет в треде огонька и холивара. pf рулит, что мы и наблюдаем...

sda00 ★★★
()

>Атакующий при помощи одного специально сформированного IP пакета может вызвать панику ядра

Вызывание паники ядра есть мелкое хулиганство - уязвимость не критическая (атакующий не может получить доступ). Хотя гадость ещё та, ждём обновлений.

S_wine
()
Ответ на: комментарий от S_wine

> Вызывание паники ядра есть мелкое хулиганство

подрастешь, увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя, и поймешь, что это не только "мелкое хулиганство"

lester ★★★★
()
Ответ на: комментарий от S_wine

> Клоуны не могущие отличить FreeDSD от OpenBSD уже тут.

молодец, что доложил о прибытии

lester ★★★★
()
Ответ на: комментарий от S_wine

>уязвимость не критическая (атакующий не может получить доступ)
зато этого более чем достаточно, чтобы твой шлюз на openbsd не работал, не нужны ни DOS, ни DDOS

dimon555 ★★★★★
()
Ответ на: комментарий от S_wine

однако, афаик проблема сугубо пф-специфик, так что интересно, что там с фришкой, уязвима ли она? фри под рукой не имею, потестьте, кто-то.

val-amart ★★★★★
()
Ответ на: комментарий от dimon555

действительно, проблема весьма серьезная. я обновился утром двенадцатого. чего и вам желаю.

val-amart ★★★★★
()
Ответ на: комментарий от lester

>подрастешь, увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя

Видимо ты умён не по годам, если не знаешь про дублирующие сервера. Учи матчасть.

S_wine
()
Ответ на: комментарий от S_wine

> не знаешь про дублирующие сервера. Учи матчасть.

И чем это поможет в данном случае? Уязвимость в целой линии ядер, они все уйдут в панику.

tailgunner ★★★★★
()
Ответ на: комментарий от val-amart

сарказм такой. ты не прав, проблема серьезная. к тому же, уязвимы практически все инсталляции openbsd, и наврят ли кто-то применяет те обходные меры, что описаны в патче, by default

val-amart ★★★★★
()

>может вызвать панику ядра

ААААААААААААААААААА!!!!!!!!!

FiXer ★★☆☆☆
()
Ответ на: комментарий от val-amart

Уязвимость в PF связана с тем, что тип протокола на редиректе и нат некоторые забывают указать.

У меня сроду стояло:
rdr proto tcp from any to any port http -> $ext_if port 8080
- тип протокола точно указан: "tcp".

iZEN ★★★★★
()
Ответ на: комментарий от frost_ii

Не положишь ты тырнет. Тырнет давно на безопасном линаксе, а инсталляции с опенбсд, на которые онанируют их седобрадые девственники-админы, никому не интересны.

shimon ★★★★★
()
Ответ на: комментарий от frost_ii

>> А я уж думал, что это дела давно минувших дней...

> Всё правильно. BSD, наконец, догнала этот момент.


Что ж... Ждём бот-сеть на OpenBSD. :))

iZEN ★★★★★
()
Ответ на: комментарий от val-amart

> каких еще обновлений ты ждешь? патч сразу выложили.

Не сразу. Лично обнаруживший уязвимость, он же автор патча жаловался, что опенковцы забили. Причем этак месяц забивали

> однако, афаик проблема сугубо пф-специфик,

Нет, проблема в ядре опенка. Фрибзд unaffected

cascade
()

это конец. такого просто не может быть. я в это не верю. что дальше? все версии линукс имеют критическую уязвимость из за того что ядро написано на C? любой компьютер можно взломать, поднеся к нему циркониевый браслет?

alex4
()

Кстати, а как ведет себя OBSD+pf на гиговых каналах?Где то можно почитать бенчмарки в сравнении с iptables?

dyadko
()

Доставили, что тут сказать :)

ptarh ★★★★★
()
Ответ на: комментарий от alex4

> это кстати уже какое отверстие? четвертое?

Всего лишь второе. "two remote holes in the default install", а pf по дефолту отключен. Видишь ли, при инсталле можно включить только OpenNTPD и OpenSSH, а с таким раскладом опенбзд становится прям-таки неуловимым Джо - ее не то, чтоб ломать, ее использовать не захочется.

cascade
()
Ответ на: комментарий от cascade

>> каких еще обновлений ты ждешь? патч сразу выложили.
> Не сразу. Лично обнаруживший уязвимость, он же автор патча жаловался, что опенковцы забили. Причем этак месяц забивали


пруфлинк или 4.2
оригинальный advisory: http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_dereference_kernel_...
здесь говорится о том, что опенбсдишников уведомили 9-го, а 11-го уже был патч. медленно? возможно. "месяц забивали"? неправда.


> однако, афаик проблема сугубо пф-специфик,

Нет, проблема в ядре опенка. Фрибзд unaffected

ты патч видел? ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.5/common/002_pf.patch
поясню, что все, что меняется, это поведение функции pf_test() в sys/net/pf.c. Эта функция - центральное место ПФа, тут происходит решение о действиях с пакетом. как ты думаешь, во фре тот же файлик? я незнаю, но мне это кажется очень вероятным. Патч добавляет проверку на присутствие icmpv4 в ipv6 и icmpv6 в ipv4 и отбрасывает такие пакеты.

val-amart ★★★★★
()
Ответ на: комментарий от lester

>увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя, и поймешь, что это не только "мелкое хулиганство"

вряд ли на этом сервере будет бздя

prizident ★★★★★
()
Ответ на: комментарий от prizident

если этот сервер - файрволл/шейпер, то более чем возможно.

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

> оригинальный advisory: http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_dereference_kernel_.. .

неоригинальный нифига. Прям там и было все сказано, причем с руганью. Попробуй нагуглить его же в архивах со словами "before openbsd guys fuck it up" - еще вчера там было именно так (ну, разве что не уверен насчет слова "guys"). Кто прошел вчера по ссылке с опеннета, еще могли видеть.

> ты патч видел?

Посмотрел, спасибо, а то влом было, теперь знаю, что уязвимость из-за кривой обработки ядром опенка "ICMPv4 packets with ICMPv6 payload" и наоборот.

> как ты думаешь, во фре тот же файлик?

Представляешь, во фрибзде не pf, а порт pf для фрибзда, о чем опеночники не устают напоминать в каждом разговоре, заодно указывая не его отсталость, мол, нет таких вообще в ядре фряхе подсистем, чтоб все это реализовать. Вот и сплойт нереализуем оказалсо, хехе. Кстати, а файлик этот есть, я даж не поленился, перечитал, так что он точно совсем другой. И на двух фряшных шлюзах проверил.

А вообще-то, я объяснил тебе то, что и так ясно из документации по фряхе, опенку, и тому самому адвизори.

cascade
()
Ответ на: комментарий от cascade

ты конечно молодец, весь из себя такой умный, только почему-то невнимательный и заранее собеседников считаешь дибилами. а еще абсолютно не понимаешь сарказма.
разумеется, во фре тот же файл, только всюду понатыкано #ifdef __FreeBSD__, и он, кстати, месяца этак на 3 отстает от опеновской версии. так вот, в этом файле такой проверки, какую добавляет этот патч, _нет_. Вот как раз смотрел сейчас. Возможно, это не делает фряху уязвимой, вследствие каких-то там еще отличий.
завтра вот не поленюсь поставить фришку и поэкперементировать.

val-amart ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.