LINUX.ORG.RU

Уязвимость в FreeBSD OPIE


0

0

Security Advisory FreeBSD-SA-06:12.opie

Категория: contrib.

Уязвимы все версии.

В некоторых случаях локально запущенный атакующим код может изменить пароль суперпользователя. Уязвимость вызвана ошибкой в opiepasswd, которой можно воспользоваться, если в sshd_config PermitRootLogin=yes (по умолчанию no), или атакующий может выполнять код от пользователя группы wheel.


Workaround:

1. Отключить поддержку OPIE в PAM

2. или снять setuid с opiepasswd.


Лечение:

1. Обновить систему до 4-STABLE, 5-STABLE, 6-STABLE или до
RELENG_6_0, RELENG_5_4, RELENG_5_3, RELENG_4_11, RELENG_4_10

2. или воспользоваться заплаткой ftp://ftp.FreeBSD.org/pub/FreeBSD/CER...


Примечание для анонимусов: OPIE -- OTP (one-time password) система, использующая алгоритм запрос/ответ.

>>> Подробности

★★★★★

Проверено: Tima_ ()
Ответ на: комментарий от anonymous

> И при чем тут POSIX ACL?

Ну тогда уж не POSIX ACL, а целиком расширенные атрибуты, в которых и хранятся ACL, capabilities, MAC метки... Или это уже не средство повышения безопасности?

> Events Audit, насколько я слышал, собираются добавить только в 7.0.

Это часть OpenBSM, которая интегрирована в 7-CURRENT, а сейчас никто тебе не мешает поставить на любую позикс систему, хоть на линукс. Стоп! Так ты ведь уже сказал, что там "есть" auditd ;)

Еще раз ставлю в уме галочку: когда речь заходит о том, что "есть" в линукс, начинают перечислять все сторонние проекты, патчи, хаки и трюки (да-да, S/Key там тоже "есть"); а когда красноглазые поднимают очередную волну "ваша бсд дырявая", всё это сразу забывается, и линукс превращается в "просто ванильное ядро". LOL

> SEBSD разве работает из коробки?

А что в ванильном ядре работает "из коробки" без сборки и доработки напильником конфигов? ;)

> Далее в glibc 2.3 давно внесены изменения, препятсвующие эксплуатации переполнения кучи, как с этим делом во фре?

Ты меня спрашиваешь, и сам же сообщаешь о Propolice... Странный...

> Набор патчей Propolice, препятствующих эксплуатации переполнения стека и re-in-libc под FreeBSD более не поддерживается(IBM забросил поддержку)

Смешно. С тем же успехом я могу сказать, что ibm забросил поддержку линукс, поскольку патчей не предоставляет. ;) Вот только интересно, почему у меня и на 5.4, и на 6.0 все пропатчено и работает?

baka-kun ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> Зачем платить каким-то чудакам, когда в Linux выбор журналирующих FS богат и бесплатен?

Ну я же не знаю, зачем она тебе так срочно понадобилась.

> И эти якобы медленные(из-за журнала) ФС

Еще раз: "с журналированием данных".

> если бы журналирование было не нужно, то фришники не декларировали бы его появление в 7.0

и вы наконец отстанете с своим "а у вас журнала нет" ;)

> Чего спорного то

А ты подсчитай. Количество SA, их impact, затронутые инсталляции...

> sendmail(или его уже исключили из базовой системы)?

Ну я же говорю, как только речь об уязвимостях, сразу "а у нас только ядро, остальное вообще просто рядом валялось" :-D

> Почему они не выбрали BSD с такой классной лицензией BSDL

Неужели ты хочешь в сотый раз выслушать, чем накладываемые GPL ограничения выгодны крупным корпорациям? Или тебе нужен новый флейм про "свободу" и "закрытие"? Вот тебе две аксиомы:

1. GPL накладывает на разработчика серьезные ограничения, препятствующие ему свободно распоряжаться результатом своего труда.

2. Однажды открытый под _любой_ Open Source лицензией код абсолютно невозможно закрыть.

baka-kun ★★★★★
() автор топика
Ответ на: комментарий от baka-kun

может быть скоро появиться cvs.microsoft.com ?? и тогда ваще всем *nix хана!! :))

anonymous
()
Ответ на: комментарий от anonymous

>>Найди сначала программу opiepasswd в Linux, идиото.

>http://packages.debian.org/stable/admin/opie-server

По дефолту она не ставится. Можешь посчитать число серверов, где оно вообще используется, в то время как во фре opiepasswd по дефолту торчит в базовой, да еще суидная, судя по рекомендации убрать суидный бит...

anonymous
()
Ответ на: комментарий от baka-kun

> Неужели ты хочешь в сотый раз выслушать, чем накладываемые GPL ограничения выгодны крупным корпорациям? Или тебе нужен новый флейм про "свободу" и "закрытие"?

Для корпораций удобней BSDL: кто-то тебе написал код, они этот код взяли, закрыли, немного довели и пошли продавать.

> 2. Однажды открытый под _любой_ Open Source лицензией код абсолютно невозможно закрыть.

Да, то что было написано уже не закроешь, ибо это как всплывшая информация, которую уже невозможно сокрыть. Лицензия GPL, в отличие от BSDL, код которой можно законно заныкать, не позволяет закрыть чужой GPL-код и продавать как свой, что способствует мощному развитию кода под GPL. Большинство opensource-проектов под GPL, авторы пишут код, зная, что лицензия не даст присосаться к ним паразитам, которые только и будут заниматься тыриньем кода, улучшением и продажей уже закрытого кода, не давая ничего взамен.

> Ну я же не знаю, зачем она тебе так срочно понадобилась.

Ну например слышал невыдуманную историю о том, как UFS с SoftUpdates была полностью убита когда во время работы backgrund fsck был произведен резет.

> Ну я же говорю, как только речь об уязвимостях, сразу "а у нас только ядро, остальное вообще просто рядом валялось" :-D

Ну так правильно - Linux-ы разные, а фри как винды, одинаковые, с набором одинакового накиданного до кучи софта в базовой системе, половина используемых демонов и конфигов в базовой, половина - в каком-то дурацком /usr/local.

> А ты подсчитай. Количество SA, их impact, затронутые инсталляции...

8 баг за последние 2-2.5 месяца, большинство из них ядерные, удаленные(wifi, nfs, pf, ipfw, ipsec), в production release. А теперь посчитай число удаленных уязвимостей, устраненных в ядре Linux, стабильного Debian или RHEL. За последние 3 месяца одно обновления ядра в Debian и два в RHEL, среди которых большинство - локальные DoS в разных дровах.

anonymous
()
Ответ на: комментарий от anonymous

>Ну так правильно - Linux-ы разные, а фри как винды, одинаковые, с набором одинакового накиданного до кучи софта в базовой системе, половина используемых демонов и конфигов в базовой, половина - в каком-то дурацком /usr/local.

Кстати говоря, какой смысл держать sendmail и в базовой системе и в портах? Хотя ладно, из портов можно пересобрать его кастомизированно. Но зачем он тогда нужен в базовой системе? Не правильнее ли при установке его ставить именно из портов?

Как обновить только sendmail, не обновляя всю систему, после последней найденной уязвимости?

PashaKustov ★★
()
Ответ на: комментарий от PashaKustov

>Как обновить только sendmail, не обновляя всю систему, после последней найденной уязвимости?

В Security Advisory все описано очень подробно. Качается патч, накладывается на исходники, пересобирается ТОЛЬКО сендмыл и только его бинарник обновляется.

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc

GeoF
()
Ответ на: комментарий от anonymous

>>Найди сначала программу opiepasswd в Linux, идиото.

>http://packages.debian.org/stable/admin/opie-server

>По дефолту она не ставится. Можешь посчитать число серверов, где оно >вообще используется, в то время как во фре opiepasswd по дефолту торчит >в базовой, да еще суидная, судя по рекомендации убрать суидный бит...

>anonymous (*) (24.03.2006 20:10:11)

Просили найти такую программу в Linux. Ну вот, как оказалось, она имеет место быть. Но как только эта программа нашлась, сразу же начались гнилые отмазки: "А она, типа, по дефолту не ставится. А она не много где используется" etc. Т.е. изначально заданный вопрос: "Найди сначала программу opiepasswd в Linux, идиото" засчитываем, как заданный абсолютным дауном.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.