[mar]

Belansky
наверное, надо во FreeBSD.org все это отписать

[Belansky]

Хотя, посмотрел на других фтпишниках, например, ftp.relcom.ru, каталог /etc/ также виден. Может, ничего страшного в этом и нет.

[mar]

Belansky
вообще-то /etc на ftp раньше бывали видны всегда. Файл паролей там бывал без реальных паролей и без реальных пользователей, так что показ его ничему не грозил Вопрос в другом - насколько я поняла, там что-то странное творилось? (хотя, может быть просто переконфигуряли на глазах изумленной публики).

[Belansky]

Два дня, как все встало на места. Видимо, и впрямь что-то конфигурили на ходу.

[mar]

FreeBSD-SA-04:16: fetch - Overflow error in fetch (переполнение буфера в fetch) - сообщение от 19.11.04 (со ссылкой на http://www.freebsd.org/security/ )
- уязвимы: все версии FreeBSD
- Исправлено:
2004-11-18 12:02:13 UTC (RELENG_5, 5.3-STABLE)
2004-11-18 12:03:05 UTC (RELENG_5_3, 5.3-RELEASE-p1)
2004-11-18 12:04:29 UTC (RELENG_5_2, 5.2.1-RELEASE-p12)
2004-11-18 12:05:36 UTC (RELENG_5_1, 5.1-RELEASE-p18)
2004-11-18 12:05:50 UTC (RELENG_5_0, 5.0-RELEASE-p22)
2004-11-18 12:02:29 UTC (RELENG_4, 4.10-STABLE)
2004-11-18 12:06:06 UTC (RELENG_4_10, 4.10-RELEASE-p4)
2004-11-18 12:06:22 UTC (RELENG_4_9, 4.9-RELEASE-p13)
2004-11-18 12:06:36 UTC (RELENG_4_8, 4.8-RELEASE-p26)
2004-11-18 12:06:52 UTC (RELENG_4_7, 4.7-RELEASE-p28)

Что делать:
Либо:
1) Обновить систему до 4-STABLE, или 5-STABLE, или RELENG_5_3, RELENG_5_2, RELENG_4_10, RELENG_4_8 (на дату после указанной выше)
Либо:
2) "пропатчить" систему (FreeBSD 4.8, 4.10, 5.2, 5.3):

a) Скачайте соответствующий patch по прилагаемой ссылке и сверьте PGP - подпись при помощи утилиты PGP.

# ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...16/fetch.patch
# ftp ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...etch.patch.asc

b) Выполните (от root ) следующие команды:
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.bin/fetch
# make obj && make depend && make && make install

Детали исправлений (что, где, когда)

Branch Revision Path

RELENG_4
src/usr.bin/fetch/fetch.c 1.10.2.28
RELENG_4_10
src/UPDATING 1.73.2.90.2.5
src/sys/conf/newvers.sh 1.44.2.34.2.6
src/usr.bin/fetch/fetch.c 1.10.2.23.2.1
RELENG_4_9
src/UPDATING 1.73.2.89.2.14
src/sys/conf/newvers.sh 1.44.2.32.2.14
src/usr.bin/fetch/fetch.c 1.10.2.21.2.1
RELENG_4_8
src/UPDATING 1.73.2.80.2.29
src/sys/conf/newvers.sh 1.44.2.29.2.27
src/usr.bin/fetch/fetch.c 1.10.2.20.2.1
RELENG_4_7
src/UPDATING 1.73.2.74.2.32
src/sys/conf/newvers.sh 1.44.2.26.2.30
src/usr.bin/fetch/fetch.c 1.10.2.18.2.1
RELENG_5
src/usr.bin/fetch/fetch.c 1.72.2.2
RELENG_5_3
src/UPDATING 1.342.2.13.2.4
src/sys/conf/newvers.sh 1.62.2.15.2.6
src/usr.bin/fetch/fetch.c 1.72.2.1.2.1
RELENG_5_2
src/UPDATING 1.282.2.20
src/sys/conf/newvers.sh 1.56.2.19
src/usr.bin/fetch/fetch.c 1.62.4.1
RELENG_5_1
src/UPDATING 1.251.2.20
src/sys/conf/newvers.sh 1.50.2.20
src/usr.bin/fetch/fetch.c 1.62.2.1
RELENG_5_0
src/UPDATING 1.229.2.28
src/sys/conf/newvers.sh 1.48.2.23
src/usr.bin/fetch/fetch.c 1.58.2.1

[Belansky]

Новое обновление по безопасности для всех версий FreeBSD
ftp://ftp.freebsd.org/pub/FreeBSD/CE...:17.procfs.asc

[Demiurg]

...есть подозрение, что на одной машине стоит backdoor... как узнать, какой именно процесс "ломится" через ppp в инет?

[misher]

Demiurg
Может следует использовать sockstat
и посмотреть что за процессы конектятся
в сеть.

У тебя ppp -auto ...?
Просто был у меня случай. Вначале dns
сервер посылал udp пакеты. Потом
после еще оказалось что само ядро
тоже шлет пакет на multycast адрес (непомню какой, но это был не backdoor)
Вобщем если sockstat непоможет
рекомендую просмотреть спомошью tcpdump.

[Belansky]

Очередной патч по безопасности закрывающий брешь в клиенте telnet, способную привести к ошибке переполнения буфера.

[Belansky]

Два патча по безопасности. ftp://ftp.freebsd.org/pub/FreeBSD/CE...2.sendfile.asc и ftp://ftp.freebsd.org/pub/FreeBSD/CE...5:03.amd64.asc