|
Обнаружена уязвимость в FreeBSD 5.1 execve(). Локальный атакующий может вызвать отказ в обслуживании системы. Подробности c SecurityLab
|
А там всё на английском. Простому русскому человеку как понять? Ведь тема достаточно интересная...
|
Guest а как простой русский человек собирается во free жить? в смысле с доками разбираться? ихмо без английского никуда :o
|
к предыдущей заметке (уязвимость в FreeBSD 5.1 execve().)
Уязвимы системы: FreeBSD 5.1-RELEASE/Alpha. Возможно другие версии FreeBSD 5.1-RELEASE/IA32 не уязвима. Насчет других архитектур - неизвестно, но возможна уязвимость. Риск: низкий Уязвимость локальная дата: 23 июня 2004 описание: Возможна атака на ядро FreeBSD/Alpha при специальном обращении к системному вызову execve(). Приведен разбор кодов и заплатка продолжим :type: 2004-06-30 В коде ядра выявлена уязвимость в совместимости с Linux-приложениями (Linux binary compatibility mode input validation error), затрагивающая все версии 4.x и 5.x *: Во FreeBSD, как известно, обеспечивается совместимость с бинарным кодом Linux при помощи подгружаемых модулей. Выявленна ошибка получения некоторых системных вызовов Linux, что может привести к получению доступа к памяти без достаточной валидации. При локальной атаке возможно чтение и/или перезапись участков памяти ядра (portions of kernel memory), *что может привести выявлению значимой информации, или к потенциальной возможности повышения привелегий. Локальная атака может вызвать сбой в системе (system panic). Как с этим бороться: 1) внимательно прочесть документацию (ссылка дана наверху) 2) до обновления можно запретть совместимость с Linux-приложениями, выгрузив соответствующий модуль 3) обновить систему до сегодняшних 4-STABLE; или *RELENG_5_2, RELENG_4_10, RELENG_4_9, или RELENG_4_8 security branch 4) или, как вариант - пропатчить систему: a) скачать заплатку по одной из приведенных ссылок и проверить PGP-подпись Код:
# cd /usr/src # patch < /path/to/patch с) перекомпилировать ядро и перезагрузить систему NB!!! рекомендуется внимательно ознакомится с версиями и именами заменяемых исходных файлов, а также с PGP-подписью (все данные - все по той же ссылке) [s]Исправлено: mar, 12:16 3-07-2004[/s] [s]Исправлено: mar, 12:20 3-07-2004[/s] |
...существует некоторая программа freebsd-update, которая, как я понимаю (я не где не ошибся?) и патчит все дырки известные на данный момент... единственный минус - при перекомпилировании чего-либо (что раньше было подправлено freebsd-update'ом) процедуру freebsd-update'ирования придется повторять...
|
Demiurg
Не freebsd-update, а в каталоге /usr/src/ make update. Читайте комментарии в /usr/src/Makefile. |
...на сколько я помню - она так и называется (FreeBSD 5.2.1)... помнится сам её из портов ставил... и помнится она также и в 5.1 называлась...
|
есть такая партия: /usr/ports/security/freebsd-update - но, насколько я понимаю, в отличие от make update тут Вы получите (скачаете и установите) бинарники. То есть могут возникнуть проблемы с какими-то индивидуальными сборками (?).
[s]Исправлено: mar, 14:36 26-07-2004[/s] |
...как я понимаю, make update можно сделать и в /usr/src/sys... не потянет ли это ядро целиком из инета?.. или только изминившиеся ветки исходных текстов?..
|
Demiurg
Будут закачаны только обновления, а не весь код целиком. |
...а как лучше (ради стабильности системы), обновлять только ядро или и все системные библиотеки и программы... что лучше (самое необходимое) поместить в /usr/src чтобы после апдейтов проблем поменьше возникало?..
|
А скажите как на ваш взгляд есть ли смысл обновляться с freeBSD 5.2.1 release? Там глюки с ACPI. И я так понял что обновлять лучше world а не только ядро верно? Хотя я пожалуй подожду 5.x STABLE. Разработчики обещали что вблизи 5.2 будет STABLE в доках ../share/doc/..
|
Верно. При разбалансировке версии world и kernel система вообще может отказаться работать.
А переход 5.x в категорию stable ожидается к осени. |
Отлично буду ждать с нетерпением ! :up: :oszone:
|
UE
Читайте о планах по выпуску FreeBSD 5.3-STABLE здесь. |
Наблюдал 26.08.2004 г. в 18.30 непонятную вещь на ftp.freebsd.org. С фтпишника полностью исчезли порты и дистфайлы, зато виден каталог /etc/ и в нем база данных с паролями для доступа к ftp. Однако. :confused:
Добавлено: В 18.45 уже исправили. Но, кому-то, как мне, повезти могло утащить пароли для доступа в ftp. Добавлено: 19.15. Неполадки продолжаются. Полностью исчез каталог /pub/, а каталог /etc/ виден. Добавлено: 19.29. Вроде, все встало на места. |
хм... а во frebsd=ых рассылках ничего не было :confused:
|
Ну, тем неменее. Глазам своим я еще верю... И наркотиками или там галюциногенами какими никогда не пользовался.
|
Belansky
дык я тебе тоже верю :), а вот FreeBSD ну просто очень бы хотелось доверять :o |
30.08.2004 г. 09 ч. 34 мин. И опять тоже самое. Причем проверял с трех машин. Каталог /etc/ лежит, как на ладони. Непонятно, однако.
|
Belansky
наверное, надо во FreeBSD.org все это отписать |
Хотя, посмотрел на других фтпишниках, например, ftp.relcom.ru, каталог /etc/ также виден. Может, ничего страшного в этом и нет.
|
Belansky
вообще-то /etc на ftp раньше бывали видны всегда. Файл паролей там бывал без реальных паролей и без реальных пользователей, так что показ его ничему не грозил :) Вопрос в другом - насколько я поняла, там что-то странное творилось? (хотя, может быть просто переконфигуряли на глазах изумленной публики). |
Два дня, как все встало на места. Видимо, и впрямь что-то конфигурили на ходу.
|
FreeBSD-SA-04:16: fetch - Overflow error in fetch (переполнение буфера в fetch) - сообщение от 19.11.04 (со ссылкой на http://www.freebsd.org/security/ )
- уязвимы: все версии FreeBSD - Исправлено: 2004-11-18 12:02:13 UTC (RELENG_5, 5.3-STABLE) 2004-11-18 12:03:05 UTC (RELENG_5_3, 5.3-RELEASE-p1) 2004-11-18 12:04:29 UTC (RELENG_5_2, 5.2.1-RELEASE-p12) 2004-11-18 12:05:36 UTC (RELENG_5_1, 5.1-RELEASE-p18) 2004-11-18 12:05:50 UTC (RELENG_5_0, 5.0-RELEASE-p22) 2004-11-18 12:02:29 UTC (RELENG_4, 4.10-STABLE) 2004-11-18 12:06:06 UTC (RELENG_4_10, 4.10-RELEASE-p4) 2004-11-18 12:06:22 UTC (RELENG_4_9, 4.9-RELEASE-p13) 2004-11-18 12:06:36 UTC (RELENG_4_8, 4.8-RELEASE-p26) 2004-11-18 12:06:52 UTC (RELENG_4_7, 4.7-RELEASE-p28) Что делать: Либо: 1) Обновить систему до 4-STABLE, или 5-STABLE, или RELENG_5_3, RELENG_5_2, RELENG_4_10, RELENG_4_8 (на дату после указанной выше) Либо: 2) "пропатчить" систему (FreeBSD 4.8, 4.10, 5.2, 5.3): a) Скачайте соответствующий patch по прилагаемой ссылке и сверьте PGP - подпись при помощи утилиты PGP. # ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...16/fetch.patch # ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...etch.patch.asc b) Выполните (от root ) следующие команды: # cd /usr/src # patch < /path/to/patch # cd /usr/src/usr.bin/fetch # make obj && make depend && make && make install Детали исправлений (что, где, когда) Branch Revision Path RELENG_4 src/usr.bin/fetch/fetch.c 1.10.2.28 RELENG_4_10 src/UPDATING 1.73.2.90.2.5 src/sys/conf/newvers.sh 1.44.2.34.2.6 src/usr.bin/fetch/fetch.c 1.10.2.23.2.1 RELENG_4_9 src/UPDATING 1.73.2.89.2.14 src/sys/conf/newvers.sh 1.44.2.32.2.14 src/usr.bin/fetch/fetch.c 1.10.2.21.2.1 RELENG_4_8 src/UPDATING 1.73.2.80.2.29 src/sys/conf/newvers.sh 1.44.2.29.2.27 src/usr.bin/fetch/fetch.c 1.10.2.20.2.1 RELENG_4_7 src/UPDATING 1.73.2.74.2.32 src/sys/conf/newvers.sh 1.44.2.26.2.30 src/usr.bin/fetch/fetch.c 1.10.2.18.2.1 RELENG_5 src/usr.bin/fetch/fetch.c 1.72.2.2 RELENG_5_3 src/UPDATING 1.342.2.13.2.4 src/sys/conf/newvers.sh 1.62.2.15.2.6 src/usr.bin/fetch/fetch.c 1.72.2.1.2.1 RELENG_5_2 src/UPDATING 1.282.2.20 src/sys/conf/newvers.sh 1.56.2.19 src/usr.bin/fetch/fetch.c 1.62.4.1 RELENG_5_1 src/UPDATING 1.251.2.20 src/sys/conf/newvers.sh 1.50.2.20 src/usr.bin/fetch/fetch.c 1.62.2.1 RELENG_5_0 src/UPDATING 1.229.2.28 src/sys/conf/newvers.sh 1.48.2.23 src/usr.bin/fetch/fetch.c 1.58.2.1 |
Новое обновление по безопасности для всех версий FreeBSD
ftp://ftp.freebsd.org/pub/FreeBSD/CE...:17.procfs.asc |
...есть подозрение, что на одной машине стоит backdoor... как узнать, какой именно процесс "ломится" через ppp в инет?
|
Demiurg
Может следует использовать sockstat и посмотреть что за процессы конектятся в сеть. У тебя ppp -auto ...? Просто был у меня случай. Вначале dns сервер посылал udp пакеты. Потом после еще оказалось что само ядро тоже шлет пакет на multycast адрес (непомню какой, но это был не backdoor) Вобщем если sockstat непоможет рекомендую просмотреть спомошью tcpdump. |
Очередной патч по безопасности закрывающий брешь в клиенте telnet, способную привести к ошибке переполнения буфера.
|
Два патча по безопасности. ftp://ftp.freebsd.org/pub/FreeBSD/CE...2.sendfile.asc и ftp://ftp.freebsd.org/pub/FreeBSD/CE...5:03.amd64.asc
|
И снова патч по безопасности. При генерации списка сетевых интерфейсов ядро пишет в часть буфера, не обнуляя ее. В результате предыдущее содержимое буфера может быть доступно процессу. Процесс пользователя может получить доступ к 12 байтам данных. Эта память может содержать такую информацию, как части кэша файла или буфера терминала (например, в буфере терминала может находится пароль пользователя).
|
Очередной патч по безопасности.
|
|
Очередной патч по безопасности.
|
Из freebsd-security-notifications@freebsd.org
Цитата:
|
Продолжение (опять bind)
============================================================================= Message: 3 FreeBSD-SA-05:12.bind9 Security Advisory The FreeBSD Project Topic: BIND 9 DNSSEC remote denial of service vulnerability Category: core Module: bind9 Announced: 2005-06-09 Credits: Internet Systems Consortium Affects: FreeBSD 5.3 Corrected: 2005-03-23 18:16:29 UTC (RELENG_5, 5.3-STABLE) 2005-06-08 21:29:15 UTC (RELENG_5_3, 5.3-RELEASE-p16) CVE Name: CAN-2005-0034 For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit <URL:http://www.freebsd.org/security/>. I. Background BIND 9 is an implementation of the Domain Name System (DNS) protocols. The named(8) daemon is the Internet domain name server. DNS Security Extensions (DNSSEC) are additional protocol options that add authentication and integrity to the DNS protocols. DNSSEC is not enabled by default in any FreeBSD release. A system administrator must take special action to enable DNSSEC. II. Problem Description A DNSSEC-related validator function in BIND 9.3.0 contains an inappropriate internal consistency test. When this test is triggered, named(8) will exit. III. Impact On systems with DNSSEC enabled, a remote attacker may be able to inject a specially crafted packet that will cause the internal consistency test to trigger, and named(8) to terminate. As a result, the name server will no longer be available to service requests. IV. Workaround DNSSEC is not enabled by default, and the "dnssec-enable" directive is not normally present. If DNSSEC has been enabled, disable it by changing the "dnssec-enable" directive to "dnssec-enable no;" in the named.conf(5) configuration file. V. Solution Perform one of the following: 1) Upgrade your vulnerable system to 5-STABLE, or to the RELENG_5_3 security branch dated after the correction date. 2) To patch your present system: The following patches have been verified to apply to FreeBSD 5.3 systems. a) Download the relevant patch from the location below, and verify the detached PGP signature using your PGP utility. # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...12/bind9.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...ind9.patch.asc b) Execute the following commands as root: # cd /usr/src/ # patch < /path/to/patch # cd /usr/src/lib/bind # make obj && make depend && make && make install # cd /usr/src/usr.sbin/named # make obj && make depend && make && make install VI. Correction details The following list contains the revision numbers of each file that was corrected in FreeBSD. Branch Revision Path ------------------------------------------------------------------------- RELENG_5 src/contrib/bind9/lib/dns/validator.c 1.1.1.1.2.2 RELENG_5_3 src/UPDATING 1.342.2.13.2.19 src/sys/conf/newvers.sh 1.62.2.15.2.21 src/contrib/bind9/lib/dns/validator.c 1.1.1.1.2.1.2.1 ------------------------------------------------------------------------- VII. References http://cve.mitre.org/cgi-bin/cvename...=CAN-2005-0034 http://www.kb.cert.org/vuls/id/938617 http://www.isc.org/index.pl?/sw/bind/bind-security.php http://www.isc.org/index.pl?/sw/bind/bind9.php |
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Хм... Слушайте, раз уж тема так называется - мне очень не хочется, чтобы мою систему кто-нить хакнул, поэтому - подскажите какую прогу, с помощью которой можно было бы искать руткиты и т.д. То есть, чтобы она как ipfw работала на фоне и не давала никому взломать мою Фри. :)
|
SantaXP
вообще-то FreeBSD неплохо защищена по-дефолту, но ежели хочется дополнений (в том числе по руткитам): 1) смотрим какой у Вас стоит securelevel и рихтуем, если надо 2) расставляем (если надо) и куда считаем нужным флаг schg 3) в /etc/fstab для /tmp устанавливаем: rw,noexec,nosuid,nodev,nosymfollow и nodev на все места, где не нужны dev (а не нужны они нигде, кроме /dev и мест, где организуется chroot, или jail-среда) 4) Если стоит ipfw, убедитесь в том, что у Вас на вход закрыто все, кроме необходимого, а большая часть необходимого открывается изнутри по запросу (динамические правила) 5) Правим /etc/sysctl.conf (защищаемся от DOS-атак, превращаем машину в черную дыру для nmap и Ko и т.д.) Цитата:
3-1) - правим (и проверяем /etc/ssh/sshd_config, обращаем внимание: Цитата:
3-2) правим /etc/hosts.allow, разрешая вход по ssh только с определенных ip (заодно правим нужное для других демонов) 7) Ставим программу portsentry и настраиваем ее на блокировку атакующих хостов (чтоб больше не лезли) 8) Установливаем программу chkrootkit и припишите в crontab: Цитата:
На самом деле можно защищаться и сильнее, вопрос, насколько это нужно (одно дело защита firewall, другое - внутреннего сервера, третье - рабочей машины :)) |
SantaXP
Если Вас заинтересовали вопросы безопасности, можете почитать статью Дрю Лавинь "Защита от троянов и руткитов." |
в дополнние - еще несколько ссылок:
http://www.freebsd.org/security/security.html - FreeBSD Security Information + лучше бы подписаться на freebsd-security-notifications@freebsd.org (есть и другие листки рассылки) Увеличение безопасности FreeBSD (советую читать вместе с обсуждениями - ссылки там же) man 8 sshd man 8 init |
mar
Спасибо, будет время почитаю. :) ---- Хм... А ещё вопрос насчёт безопастности, а куда можно записать правила для ipfw, ибо я их записал в sh скрипт, но уже замучился его каждый раз вызывать... ---- Кстати, раз уж тема так называется - а почему считатеся, что сидеть в иксах под рутом - это суицид. И вообще, каким образом Иксы влия.т на безопастность??? |
SantaXP
По-дефолту слушают 6000 порт |
SantaXP
Цитата:
Цитата:
Цитата:
Ну, и, как всегда, на закуску несколько ссылок: http://www.linux.org.ru/books/lor-fa...12.html#ss12.7 http://www.linuxforum.ru/lofiversion...php/t3638.html |
firewall_enable="YES" #Запускаем при старте работу ipfw
firewall_script="путь_к_файлу_со_скриптом" #Скрипт с правилами ipfw Хм... У меня это указано... Хе... Дык, там стоит firewall_script="/etc/rc.firewall", видимо туда и надо записывать... А если указать на другой файл, я файрвол не испрчю, а то у меня есть подозрение, что /etc/rc.firewall содержит ещё кое-что необходимое для работы ipfw??? |
SantaXP
Цитата:
|
Очередной патч по безопасности.
Цитата:
|
Belansky
А эти патчи, они устанавливаются каждый по отдельности или последующий содержит все остальные изменения в системе из предыдущих??? И ещё - их инсталить обязательно? Насколько их неналичие на компе может отразиться на безопастности системы??? |
SantaXP
Цитата:
Цитата:
|
Belansky
Слушайте, вы я думаю в курсе, что у меня модем. Посему, вытянет ли мой модем при средней скорости от 4 до 6 (правда однажды было и 7, но не долго :) ) kb/s обновление системы через cvsup??? ---- оффтоп: я многое слышал про cvsup, однако, что это а штука пока не понял. Это что-то вроде средства автоматизированного обновления системы??? |
SantaXP
Цитата:
Цитата:
|
Belansky
ОК, будет время - поищу спасибо... :) |
Очередное обновление по безопасности ftp://ftp.freebsd.org/pub/FreeBSD/CE...5:17.devfs.asc
Цитата:
|
Очередные обновления по безопасности.
ftp://ftp.freebsd.org/pub/FreeBSD/CE...05:18.zlib.asc Цитата:
ftp://ftp.freebsd.org/pub/FreeBSD/CE...5:19.ipsec.asc Цитата:
|
В системе по умолчанию присутствует второй root - toor. Вопрос такой: какой у него пароль по умолчанию, и, если этого пользователя убрать, нарушится ли какая-то функциональность в системе? Нужно ли после 'отчисления' этого пользователя перестраивать базу данных паролей?
|
|
Что-то у нас упорно про заплатку от седьмого сентября сего года молчат? :)
Цитата:
|
Очередное обновление по безопасности.
Цитата:
|
Cvsup исходников системы...
Правильным ли будет утверждение, что в настоящий момент времени, исходный код системы, полученый по RELENG_4_11, будет аналогичныи полученому по RELENG_4 + последние заплатки по безопасности?
|
VGrey
Нет. С тегом RELENG_4_11 вы получаете исходники релиза 4.11 и обновления системы по безопасности, например, 4.11-RELEASE-p13. С тегом RELENG_4 вы получаете исходники системы 4.11-STABLE, включая нетолько последние заплатки по безопасности, но и другие обновления. |
То есть я так понимаю что если запускается
cvsup /usr/share/examples/cvsup/standard-supfile в котором указано обновлять src-all до tag=RELENG_5_4 , я получу текущие апдейты для FreeBSD 5,4 (включая обновления безопасности (так называемые Security Updates), исправления утилит, расширение каких-то свойств, исправления в работе с некотрыми девайсами) |
MS-aztoy
Правильно понимаете. |
...сделал подобные настройки:
/etc/sysctl.conf net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 /etc/rc.conf tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" icmp_bmcastecho="YES" ...X'ы стали очень долго стратовать, KDE - минуть 7-10... в какой из строчек я 'гайки безопасности перетянул'? |
Demiurg
Цитата:
Здается мне, что это не столько KDE виновато, сколько сами иксы, которые работают по схеме клиент-сервер и общение между компонентами иксов проходит по протоколу tpc/ip. Попробуйте сами найти виноватую строку методом научного тыка, т.е. предваряя указанные Вами строки знаком комментария и рестартуя иксы. |
Внимание!
Цитата:
Подробности: ftp://ftp.freebsd.org/pub/FreeBSD/CE...%3A04.ipfw.asc |
Очередное обновление по безопасности.
Цитата:
|
Очередные обновления по безопасности.
Цитата:
Цитата:
|
Очередное обновление по безопасности. Затрагивает пятую ветку.
Цитата:
|
|
Очередные обновления по безопасности:
FreeBSD-SA-06:11.ipsec FreeBSD-SA-06:12.opie FreeBSD-SA-06:13.sendmail |
Очередное обновление по безопасности:
FreeBSD-SA-06:14.fpu |
|
Очередное обновление по безопасности:
FreeBSD-SA-06:17.sendmail |
Очередное обновление по безопасности:
FreeBSD-SA-06:21.gzip |
Очередное обновление по безопасности (FreeBSD-SA-06:23.openssl).
Описание и методы устранения уязвимости читать тут В догонку - FreeBSD-SA-06:22 |
Очередная уязвимость - FreeBSD-SA-06:24.libarchive.
Описание и методы устранения уязвимости читать тут В догонку - FreeBSD-SA-06:22 |
|
Очередное обновление по безопасности.
FreeBSD-SA-07:01.jail |
Новое обновление по безопасности:
Код:
FreeBSD-SA-07:03.ipv6 Security Advisory |
Очередное обновление по безопасности.
|
Никто не подскажет,на сколько опасны(или безопасны) эти переменные:
kern.ipc.shm_use_phys kern.ipc.shm_allow_removed ,если их установить в 1.я плохо дуплю в них черо( и в сетке инфы тоже мало |
Очередные обновления по безопасности:
http://security.freebsd.org/advisori...06.tcpdump.asc http://security.freebsd.org/advisori...07:07.bind.asc |
Народ, куда подевалась ветка 6.2 с ftp.freebsd.org ?
|
Добавил в sysctl.conf строку: net.inet.tcp.blackhole=2
отвалился ssh доступ к машине Нужно и то и другое. Подскажите, пожалуйста, можно ли это как-то победить? FreeBSD 7 |
Плз, посоветуйте ось и антивирь.
|
народ у меня такая проблемма возникла! При запуске фрии мне вместо имени которое я ей назначил стоит значок % и команды не хотят отрабатывать, как мне это исправить
|
| Время: 05:04. |
Время: 05:04.
© OSzone.net 2001-