вопросы безопасности

Guest · Отправлено: **20:04, 01-07-2004** | #2

А там всё на английском. Простому русскому человеку как понять? Ведь тема достаточно интересная...

mar · Отправлено: **20:16, 01-07-2004** | #3

Guest а как простой русский человек собирается во free жить? в смысле с доками разбираться? ихмо без английского никуда

mar · Отправлено: **11:59, 03-07-2004** | #4

к предыдущей заметке (уязвимость в FreeBSD 5.1 execve().)
Уязвимы системы:
FreeBSD 5.1-RELEASE/Alpha. Возможно другие версии
FreeBSD 5.1-RELEASE/IA32 не уязвима.
Насчет других архитектур - неизвестно, но возможна уязвимость.
Риск: низкий
Уязвимость локальная
дата: 23 июня 2004
описание:
Возможна атака на ядро FreeBSD/Alpha при специальном обращении к системному вызову execve().
Приведен разбор кодов и заплатка

продолжим

2004-06-30 В коде ядра выявлена уязвимость в совместимости с Linux-приложениями (Linux binary compatibility mode input validation error), затрагивающая все версии 4.x и 5.x *:
Во FreeBSD, как известно, обеспечивается совместимость с бинарным кодом Linux при помощи подгружаемых модулей.
Выявленна ошибка получения некоторых системных вызовов Linux, что может привести к получению доступа к памяти без достаточной валидации.
При локальной атаке возможно чтение и/или перезапись участков памяти ядра (portions of kernel memory), *что может привести выявлению значимой информации, или к потенциальной возможности повышения привелегий. Локальная атака может вызвать сбой в системе (system panic).
Как с этим бороться:
1) внимательно прочесть документацию (ссылка дана наверху)
2) до обновления можно запретть совместимость с Linux-приложениями, выгрузив соответствующий модуль
3) обновить систему до сегодняшних 4-STABLE; или *RELENG_5_2,
RELENG_4_10, RELENG_4_9, или RELENG_4_8 security branch
4) или, как вариант - пропатчить систему:
a) скачать заплатку по одной из приведенных ссылок и проверить PGP-подпись

Код:

 
[FreeBSD 5.2] 
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...3/linux5.patch 
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...nux5.patch.asc 
 
[FreeBSD 4.8, 4.9, 4.10] 
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...3/linux4.patch 
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CE...nux4.patch.asc

b) поставить заплатку:
# cd /usr/src
# patch < /path/to/patch
с) перекомпилировать ядро и перезагрузить систему

NB!!! рекомендуется внимательно ознакомится с версиями и именами заменяемых исходных файлов, а также с PGP-подписью (все данные - все по той же ссылке)

[s]Исправлено: mar, 12:16 3-07-2004[/s]

[s]Исправлено: mar, 12:20 3-07-2004[/s]

Demiurg · Отправлено: **11:34, 25-07-2004** | #5

...существует некоторая программа freebsd-update, которая, как я понимаю (я не где не ошибся?) и патчит все дырки известные на данный момент... единственный минус - при перекомпилировании чего-либо (что раньше было подправлено freebsd-update'ом) процедуру freebsd-update'ирования придется повторять...

Belansky · Отправлено: **15:29, 25-07-2004** | #6

Demiurg
Не freebsd-update, а в каталоге /usr/src/ make update. Читайте комментарии в /usr/src/Makefile.

Demiurg · Отправлено: **09:00, 26-07-2004** | #7

...на сколько я помню - она так и называется (FreeBSD 5.2.1)... помнится сам её из портов ставил... и помнится она также и в 5.1 называлась...

mar · Отправлено: **14:35, 26-07-2004** | #8

есть такая партия: /usr/ports/security/freebsd-update - но, насколько я понимаю, в отличие от make update тут Вы получите (скачаете и установите) бинарники. То есть могут возникнуть проблемы с какими-то индивидуальными сборками (?).

[s]Исправлено: mar, 14:36 26-07-2004[/s]

Demiurg · Отправлено: **00:22, 27-07-2004** | #9

...как я понимаю, make update можно сделать и в /usr/src/sys... не потянет ли это ядро целиком из инета?.. или только изминившиеся ветки исходных текстов?..

Belansky · Отправлено: **10:59, 28-07-2004** | #10

Demiurg
Будут закачаны только обновления, а не весь код целиком.