Remote DoS в ядрах 2.6.x

0

0

В ядрах 2.6 ветки нашли Remote DoS. Причина -- неправильный тип переменной. Уязвимость связана с netfilter, а точнее, с правилами iptables, отвечающими за TCP options, например, --tcp-option. Причём неважно, что же делает правило, в котором применена эта опция.

Баг нашли на x86 платформе, другие платформы не проверялись, но, судя по всему, баг есть и там.

Как обычно, :-) к сообщению о найденном баге прилагается информация о том, как его исправить.

>>> Подробности

Ссылка

←	Проект Gabber нуждается в главном разработчике.

Fujitsu финансирует разработку новых возможностей PostgreSQL

→

Если учесть, что iptables запускается только из-под root'а или требует соответствующих привилегий, то бояться, собственно, нечего...

...разве, что криков "опять дырявых лялих".

stark_lnx
(01.07.04 14:23:45 MSK)

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSK

Вобще то для того что бы послать пакет на какой то хост прав администратора на том хосте не требуется...

anonymous
(01.07.04 14:25:41 MSK)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSK

Of course, there is no need to have a shell access to attacked host

Читать надо внимательнее... Неприятная штука...

~~dObryi~~
(01.07.04 14:30:02 MSK)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSK

Чуть не забыл ... "дырявый лялих" ;)

~~dObryi~~
(01.07.04 14:32:52 MSK)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 14:23:45 MSK

Вы, IMHO, не до конца поняли суть. Достаточно послать особый пакет (в сообщении приводится) на атакуемый хост, чтобы он ушёл в бесконечный цикл, жрущий весь процессор.

Obidos
(01.07.04 14:34:35 MSK) автор топика

Ссылка

gentoo-dev-sources уже патч наложили давно =)

Selecter
(01.07.04 14:39:20 MSK)

Ответ на: комментарий от Selecter 01.07.04 14:39:20 MSK

Ещё вчера

Selecter
(01.07.04 14:40:08 MSK)

Ссылка

Ну на серверах с real ip я его пока не видел
А в локалке, можно пойти и в морду дать. Т.к. самый действенные методы зашиты, это административные

kka
(01.07.04 14:41:42 MSK)

Ответ на: комментарий от kka 01.07.04 14:41:42 MSK

Пилять, никакой в людях карпоративной культуры нет.

~~Sun-ch~~
(01.07.04 14:53:44 MSK)

Ответ на: комментарий от Sun-ch 01.07.04 14:53:44 MSK

> ... никакой в людях карпоративной культуры нет.

это ты про что? :) И как-же надо было поступить?

mator
(01.07.04 15:41:59 MSK)

Ссылка

Хорошо, что у меня линух прикрыт файрволлом на бсде =)

int19h
(01.07.04 15:45:23 MSK)

Ответ на: комментарий от Sun-ch 01.07.04 14:53:44 MSK

c ноги, с ноги :-))

~~o1o~~
(01.07.04 15:45:35 MSK)

Ссылка

Ответ на: комментарий от int19h 01.07.04 15:45:23 MSK

да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера) вот когда выйдет 2.6.18 тогда и посмотрим.

anonymous
(01.07.04 15:53:49 MSK)

Ответ на: комментарий от int19h 01.07.04 15:45:23 MSK

Если вы _не_ используете правила с tcp_options, вам бояться нечего.

Obidos
(01.07.04 15:58:04 MSK) автор топика

Ответ на: комментарий от Obidos 01.07.04 15:58:04 MSK

> Если вы _не_ используете правила с tcp_options, вам бояться нечего.

Я их (iptables) вообще не использую - говорю ж, на бсде оно =)

Впрочем, это не специально. Просто машинка dual boot, а винду ж тоже чем-то прикрывать надо... а на старом железе BSD как-то лучше смотрится =)

int19h
(01.07.04 16:06:17 MSK)

Ответ на: комментарий от int19h 01.07.04 16:06:17 MSK

Я ни в кой мере не против BSD, у меня у самого Опёнок локалку от злодеев ;-) прикрывает.

Obidos
(01.07.04 16:16:49 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 01.07.04 15:53:49 MSK

> да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера

Совершенно в этим согласен. Ставить 2.6 на боевые сервера - большая неосторожность, если не сказать глупость.

Блин, что меня огорчает - при всей моей любви к Линуксу и любому проявлению OpenSource - в последнее время, чуть ли не каждый день появляются новые сообщения об уязвимостях. Думаешь, а не начать ли бояться...

stark_lnx
(01.07.04 16:21:13 MSK)

Ответ на: комментарий от stark_lnx 01.07.04 16:21:13 MSK

> чуть ли не каждый день появляются новые сообщения об уязвимостях

Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- пусть там дыры находят чуть реже, зато какие... ;)

Obidos
(01.07.04 16:32:05 MSK) автор топика

Ответ на: комментарий от kka 01.07.04 14:41:42 MSK

У меня работал 2.6.6 двое суток 8))))) Срочно заглушка нужна была 8)))) Хотя никакого хитрого файрволла там не было. Там вообще ничего не было, кроме thttpd, отдающего совсем немного статики.

~~Zulu~~
(01.07.04 16:39:00 MSK)

Ссылка

Ответ на: комментарий от Obidos 01.07.04 16:32:05 MSK

>Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- >пусть там дыры находят чуть реже, зато какие... ;)

...и при каких обстоятельствах найденные :)

anonymous
(01.07.04 16:49:03 MSK)

Ссылка

А kernel.org тоже на 2.6...

anonymous
(01.07.04 17:17:25 MSK)

Ссылка

Ответ на: комментарий от stark_lnx 01.07.04 16:21:13 MSK

> Думаешь, а не начать ли бояться...

I must not fear.
Fear is the mind-killer.
Fear is the little death that brings total obliteration.
I will face my fear.
I will permit it to pass over me and through me.
And when it has gone past, I will turn the inner eye to see it's path.
Where the fear has gone there will be nothing.
Only I will remain.

int19h
(01.07.04 19:10:36 MSK)