LINUX.ORG.RU

Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync


0

0

В rsync найдена ошибка переполнения "кучи". Ошибка позволяет удалённо выполнить на уязвимом компьютере любой код.

Вероятнее всего именно эта ошибка использовалась злоумышленниками для получения контроля над rsync-серверами GNU, Gentoo и Debian.

Рекомендуется обновиться до версии 2.5.7.
http://samba.org/rsync/download.html

>>> Подробности (на англ.)

Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

вероятной причиной является некачественный код ядра, который стал напоминать решето (или сито - кому как больше нравится) Почему не ломают BSD сервера в таком количестве?

anonymous ()

Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

потому что:
1) бсд серверов в таком количестве нет
2) они как неуловимый Джо ;)

anonymous ()

Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

>Почему не ломают BSD сервера в таком количестве? В каком количестве?

В количестве debian/fsf/gentoo?

Думаю в таком ломают ;)

anonymous ()

Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

&qt 1) бсд серверов в таком количестве нет

Lol! www.netstat.ru хотя бы

&qt 2) они как неуловимый Джо ;)

ну да, а повесомей аргумент? :)

poliakov ()

Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

Интерсно, а они остановятся, выдав этот вердикт, или продолжат искать остальные ВЕРОЯТНЫЕ причины?

yozhhh ★★★ ()

Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

Бред. Вовремя надо было патчить ядра если дошло до того, что зюзикс на сервера ставите. рсинк - это всего лишь дорога к ядру. С тем же успехом можно сказать, что перл стал причиной взломов т.к. локальный юзверь мог пускать скрипты из под хттп.

А насчет дыр в БСД - назовите последнюю, которая рута прямо вот так давала (ну или как это было с ptrace)?

Михаил.

FreeBSD ★★★ ()

Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

забавное дело, если полистать securitylab.ru или securityfocus.com, то лидером по ядерным security-багам в ядре (local dos, local root, remote dos) окажется оpenbsd. именно в ядре...

anonymous ()

Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

А как же утверждение про украденный пароль разработчика?
Крали пароль или нет? Если да, то дырка в rsync им до лампочки.

anonymous ()

Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

> А насчет дыр в БСД - назовите последнюю, > которая рута прямо вот так давала (ну или как это > было с ptrace)?

И действительно, о чем это... http://www.securitylab.ru/41340.html http://www.securitylab.ru/40151.html kernel memory access - тоже можно рута получить: http://www.securitylab.ru/40620.html http://www.securitylab.ru/39635.html ...

По безопасности ядра BSD ничуть не лучше (особенно глючный openbsd, с одной дыркой в дефолт инстал :)..

Другое дело, если сравнивать ОС. bsd - это 4 системы, а линух - 20+, и у каждого дистрибьютора свои понятия о качестве (или их отсутсвие). Кроме того линухи - это те оси на которые переходять неквалифицированные администраторы. Они не возьмут FreeBSD (или даже Debian) - они поставят на сервер Mandrake или бесплатный RedHat (часто с этим встречался), которые не могут претендовать на качество, потому что выходят 2-3 раза в год. Да и bsd популярнее помойму только в рунете...

Почему linux страдает сейчас именно в .org, а не .com - это загадка.. Может быть это дело SCO c Микрософтом? :))

anonymous ()

Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

2 два последних анонимуса:

Насчет опенбсд я спорить не буду. "Трогал" эту рыбку пару раз и после FreeBSD чуял себя рыбой в песке.
Давайте пофлеймим насчет FreeBSD & http://www.securitylab.ru/39635.html (libcs2.ko)
В дополнение - те, кто прочитал статью -

"Согласно сообщению, уязвимый модуль загружается только когда установлена 'option IBCS2' в конфигурационном файле ядра, или если kldload(8) используется для динамической загрузки или 'ibcs2_enable' установлен в rc.conf(5) файле."

(ткните пальцем в того, кто вот это юзает на боевом сервере? думаю мало найдется таких из числа FreeBSD users)
+ эксплоита я не видел.

Вот и получается что вроди как FreeBSD секурнее (by default) нежели Linux или OpenBSD (которая claims to be the most secure OS).

FreeBSD & RuNET - кто был на площадках типа Демоса в Мск. и говорили с людьми наверное знают что FreeBSD более популярна (в рунете) нежели другие оси. Традиция или больше? :)

На западе господствует редхат (как уже говорилось хостеры тамошние являются некудышными админами, и это факт - поставил себе что-нибудь типа Plesk/Ensim поверх редахата и спит спокойно, а потом куча вопросов) из-за простоты пользования и популярности (процентов 80% не ставили FreeBSD т.к. у неё инсталятор сложный).

А я пошел спать, спок. ночи.

М.

FreeBSD ★★★ ()

Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

В любом случае "На вкус и на цвет фламастеры разные" (С) не помню чей. :)

FreeBSD ★★★ ()

Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

2FreeBSD (*) (05.12.2003 8:26:57)

Ты почитай, что пишет, гад:

"Отсюда следует вывод. Если вы не работаете в Linuxе, и не начинайте пока вас не заставит жизнь. А защита информации зависит не от ОС, а от прокладки между стулом и клавиатурой."

http://www.securitylab.ru/41563.html

Там "Windows rules!".

anonymous ()

Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

согласен про фломастеры и libcs2.ko. Хрен с ним.

Просто для тех кто хочит пофлэймить про "решето" - стравниваем FreeBSD c другой ОС (дистрибутивом). А Linux - с другим ядром. И тут уж можно поспорить...
Все понимают, что в какой-нибудь статистике взлома за словом linux может стоять все что угодно, кроме linux: демон, плохое управление дистрибутивом, админ-секретарь-менеджер по совместительству... Но потом пальцем показывают не на ОС а на слово линукс.
Сам использую Debian и FreeBSD.

anonymous ()

Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

Так, не надо насчет секурности.!
Много ты видел BSD где пароль рута дают?
А тут пожалуйста-ломай :) Только для начала файл .bash_history
глянь....
ssh 204.126.2.44
Login:root
Passwd:gentoo
----------
а идет все отсюда...
http://www.nsa.gov/selinux/index.html
-----------
И никакая ОСЬ рядом не стояла

anonymous ()

Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

> Только для начала файл .bash_history глянь....

Ну, пожалуй, если добрались до каталога /root (где ЭТО лежит), то этот факт уже... Однако, если компрометируется одна машина, это не должно вызывать компрометацию остальных.

anonymous ()

Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

кхе-кхе, угу это уже давно. все только досят а не пытаются ломать :)
последний анонимус - поищите на opennet.ru новость про "openroot" - проект Jail в FreeBSD :) Там не только рута дают, но и дают (давали) посношать все к чертям. никаких патчей не стоит, просто человек настроил систему для показа jail в FreeBSD ну и задно может кому интересно будет :)

FreeBSD ★★★ ()

Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

> А насчет дыр в БСД - назовите последнюю, которая рута прямо вот так давала (ну или как это было с ptrace)?

ну вроде как не далее, чем год назад. Через /proc.

ivlad ★★★★★ ()

Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

> ткните пальцем в того, кто вот это юзает на боевом сервере?

мы пускали Oracle так. Самый что ни на есть боевой сервер был.

ivlad ★★★★★ ()

Re: Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

2FreeBSD (*) (05.12.2003 9:57:03)

>последний анонимус - поищите на opennet.ru

И что там было информативного?

> новость про "openroot" - проект Jail в FreeBSD :)

Это[?]:

"Группа энтузиастов, экспериментируя с jail в FreeBSD, открыла публичный shell доступ к окружению FreeBSD 4.8-stable. Кроме шела предоставляется полноценный доступ к системе с правами root. Сервер работает только в рабочее время авторов проекта, ночью он недоступен. Для входа необходимо набрать: ssh -l openroot -p 30 openroot.no-ip.org На запрос пароля введите "openroot", далее наберите команду "su"."

> Там не только рута дают, но и дают (давали) посношать все к чертям. никаких патчей не стоит, просто человек настроил систему для показа jail в FreeBSD ну и задно может кому интересно будет :)

Причем здесь "виртуальные системы" на jail и как "дают (давали) посношать все к чертям" ?

Или Вы знаете об уязвимости jail под FreeBSD ? Расскажите...

:-)

anonymous ()

Re: Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

А еще форум почитайте там же. Как один из "юзеров" посношал все нахер и весь Jail накрылся :)))) Рута они, блин, давали. А чего так быстро прекратили? :))))

anonymous ()

Re: Re: Свободная мультиплатформенная графическая библиотека?

to sS Ну даже если на "домене .ру" ошибаются в два раза, линукс сильно отстает. Я думал дела получше...

anonymous ()

Лог своей програмы

>to sS Ну даже если на "домене .ру" ошибаются в два раза, линукс сильно отстает. Я думал дела получше...

Кто ошибается ?

Вообще говоря в .ru _исторически_ была популярна именно FreeBSD так получилось что курчатовцы выбрали именно еЯ когда Инет в СССР только-только начинался - отсюда и повелось.

Остается только сравнить

1) Общий удельный вес домена .ru в общем числе доменов (дай бог 1% ) 2) Посмотреть статистику более весомых доменов (.com .net .edu .org + крупные национальные домены типа .de .uk .fr .etc ;))

sS ★★★★★ ()

Re: Re: Re: Re: Re: Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

>Или Вы знаете об уязвимости jail под FreeBSD ? Расскажите...

Был такой эпизод, правда давно, но многие помнят :)

users with root privilege in a jail(8) virtual machine, can overflow a
buffer in the kernel and bypass access control checks placed on the
abilities of the superuser. These include the ability to "break out"
of the jail environment (jail is often used as a compartmentalization
tool for security purposes), to lower the system securelevel without
requiring a reboot, and to introduce new (possibly malicious) code
into the kernel on systems where loading of KLDs (kernel loadable
modules) has been disabled.

FreeBSD-SA-00:77 Announced: 2000-12-18

Sun-ch ()
Ответ на: Лог своей програмы от sS

Re: Лог своей програмы

>была популярна именно FreeBSD

Да Вы что, ее тогда еще просто не было :)


Началось все примерно в 1983 году. "Наши" люди сподобились вытащить Unix v7 прямо с VAXа Калифорнийского университета в Беркли (Сан Диего). (Не-а, в Беркли, что напротив Сан-Франциско; хорошее место, траву прям на улице курят. Что и объясняет особенности берклеского юникса. (Антонов-ст.))

Там, кстати, можно было найти файлы с записями результатов соревнований по гольфу, бейсболу и теннису сотрудников различных кафедр унивеситета (в числе игроков были и разработчики Unix). По Москве стала ходить магнитная лента, в начале которой была записана программа Rolling. Эта программа, по тем временам неизвестная программистской общественности, bootилась, позволяла копировать ленты на СМах и загружать с них программы.

http://news.demos.su/private/demos.html

Sun-ch ()
Ответ на: Re: Лог своей програмы от Sun-ch

Лог своей програмы

>Да Вы что, ее тогда еще просто не было :)

s/FreeBSD/BSD/g разумеется ;)

sS ★★★★★ ()

Re: Re: Re: Вероятной причиной недавних взломов Open Source серверов - удалённая уязвимость rsync

кстати с grsecurity патчем последний exploit(brk_poc.asm), да и предыдущий(для <=2.4.21), нифига не пашут.
Первый выдаёт segmentation fault, второй просто не пашет...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.