Экстренный патч от FreeBSD, закрывающий критическую уязвимость в ping

Главное вовремя признавать свои ошибки 😁

Спустя 5 дней. Глобально и надёжно.

За это время могла бы произойти куча взломов, если бы freebsd где-то использовалась 😁

к счастью, фрибсд никто не использует, поэтому, соответственно, никто не пострадал

интересно, iZEN пропатчился?

Это не уязвимость, а фича. Ответка для хакеров, которые ддосят пингами.

А вот интересно. Получается что в traceroute такой дыры у них нет.

Эту уязвимость еще в -p5 пофиксили, ЕМНИП.

Уязвимость уже давно закрыли.

Да, для 13.1-RELEASE это был -p5. Для других поддерживаемых (12.3-RELEASE, 12.4-RELEASE) версий наверняка тоже закрыли.

Спустя 5 дней.

Ты по выходу "новостей" ориентируешься, что ли? xD

Уязвимость закрыли в тот же день, когда о ней стало известно.

Это всё потому что ping не была написана на Rust ?

и что?сколько лет жили с этой дырой и ей пользовались кому надо было?а сколько щас дыр которыми пользуются просто не говорят

Ping of Death. Ответный удар

А должны были за день до.

за день до опенок периодически уязвимости закрывает, иногда со скандалами https://www.opennet.ru/opennews/art.shtml?num=48787

Можно объяснить простыми словами?

Эмба́рго: Наложение государством запрета на ввоз другими странами или вывоз из страны золота или иностранной валюты, отдельных видов товаров — оружия, современных технологий и других;

Интел запретил разглашать информацию о уязвимостях? А опенек исправил у себя уязвимость раньше чем интел рассказал о ней?

Примерно так, да. Насколько я понял - интел запретил до какого-то срока публично расглашать информацию об уязвимости, но кулуарно опенок с интелом договорился, что тихо закроют уязвимость до ее публикации. Но на патч обратили внимание, отсюда скандал.

Кстати эта ситуация косвенно опровергает мнение некоторых местных товарищей, что опенок никому не нужный, и в него никто не смотрит. Смотрят, и иногда очень пристально.

hobbit, зачем было подтверждать это 4.2?

Права не root, а того юзера от кого был запущен пинг, об этом прямо написано в первоисточнике. И о чём я писал в аналогичной 4.2-теме в толксах.

Спустя 5 дней после чего? Патч наложен 29 ноября. https://svnweb.freebsd.org/base?view=revision&revision=372774

За это время могла бы произойти куча взломов, если бы freebsd где-то использовалась 😁

Объясни, как ты собрался делать через это кучу взломов? На ум приходят только автоматические мониторинги, пингующие чего-то с помощью системной утилиты. Разумеется, запущеные не от рута.

Не говоря уж о том что пинг сам по себе запускается в песочнице.

Ну как нашли — так сразу и закрыли. Но эти желтушники ж не могли подождать закрытия, им надо сразу везде раззвенеть об уязвимости!

а пинг не с suid битом запускается?

Запускается с suid, создаёт raw-сокет (ещё ничего никуда не шлёт и тем более не принимает), дропает себе права до обычных, и потом начинает основную работу. Эксплуатировать suid-root в нём можно только найдя баг в коде создания raw-сокета (что очень вряд ли, т.к. это один syscall), парсинга аргументов (хотя не уверен, может он тоже после дропа прав) или в ld.so (было такое, LD_PRELOAD протаскивали через suid-фильтр как-то и подгружали злонамеренные библиотеки, но давно пофиксено).

что опенок никому не нужный

Опёнок – лучше что случилось с BSD. Именно он дал этому миру и Linux много полезных технологий.

crypt, обновляйся.

Я помню в 1998-м его: отсутствие shared библиотек, в ядре lock на всё...

А ты обновил?

Если не путаю ты сервак хотел фряхе поднять, как там?

Давай свой IP попингую.

Если не путаю ты сервак хотел фряхе поднять, как там?

Только купил охлад. В процессе сборки короче.

я вот кстати недавно пришел к тому же мнению. При всей моей любви к фряхе, она в последнее время остается вещью в себе, и какие-то freebsd-специфичные штуки как правило остаются в ней же, несмотря на то, что фря большая и старается поддерживать кучу всего, нетфликс, опять же, вбухивает в нее. Опенок наоборот - мал, никакие большие игроки по крупному в нее не вкладываются, но тем не менее многие идеи, приходящие в сумасшедшую голову Тео, расползаются часто в том или ином виде по всему опенсурсу.

хотя нет, вру, bhyve к себе эппл упер

Конечно же, надо оставить всё как есть и ни в коем случае не переписывать это на Rust.

Поправил.

Конечно же, надо оставить всё как есть и ни в коем случае не употреблять солёные огурцы.
Каким образом Rust спасёт от подобных ситуаций?

Ай да BSD’уны, ай да молодцы! Есть еще жизнь там похоже, рано хороните систему.

127.0.0.2
:)
а вообще в 127/8 много народу :)

За это время могла бы произойти куча взломов

первое, что делают, установив операционную систему - это пингуют каждый встреченный адрес. не попинговал - день прошёл зря

Я помню в 1998-м его: отсутствие shared библиотек

чего?

Каким образом Rust спасёт от подобных ситуаций?

может быть, ping не скомпилируется?

Опенок наоборот - мал, никакие большие игроки по крупному в нее не вкладываются, но тем не менее многие идеи, приходящие в сумасшедшую голову Тео, расползаются часто в том или ином виде по всему опенсурсу.

Мне больше всего понравилась история, что никто там не знал, что в андроиде libc от openbsd, пока в рассылку не пришёл человек из андроида (звучит!) и не приволок кучу патчей.

В то время, когда бедные голодающие корпорации бьются за последние ip-адреса, буржуи вовсю транжирят /8 сеть

Ну микрософт, например, с его «вторником патчей» и тем что неделю до вторника тачки стоят дырявые, никого не смущает.

Конечно же, надо оставить всё как есть и ни в коем случае не переписывать это на Rust.

О, наконец-то на лоре и здравые идеи начали звучать. Не переписывать всё на Rust это действительно здравая идея.

Зачем? Можно же быстренько фичу наколхозить и в одном коммите с багфиксом залить

Ну микрософт, например, с его «вторником патчей» и тем что неделю до вторника тачки стоят дырявые, никого не смущает.

Как будто они после этого «вторника» становятся сильно защищёнными...

Мой мир уже не станет прежним.

Да ой ли. ssh я бы предпочёл от другого вендора, а не от этих утырков завязавших его на костыли своей никому не нужной системы и наружу выпускающие отдельную «portable» версию. Несовместимый libressl который нигде уже не поддерживается? Костыльные вызовы для изоляции типа unveil, которые в полутора утилитах используются, потому что автору интересно было поддержать? xenocara, про которую нигде больше не слышали? Их MTA костыльный, как там бишь его? tmux пожалуй разве что.

Да ой ли. ssh я бы предпочёл от другого вендора, а не от этих утырков завязавших его на костыли своей никому не нужной системы и наружу выпускающие отдельную «portable» версию

Ааааагласите весь список.

И чёт другие системы почему-то эти утырнутые костыли используют.

Несовместимый libressl который нигде уже не поддерживается?

Что значит «несовместимый»? Несколько лет назад openssl требовался, по-моему, двум пакетам, остальные из 10000 пакетов от его отсутствия не страдали.

Костыльные вызовы для изоляции типа unveil, которые в полутора утилитах используются, потому что автору интересно было поддержать?

Оно используется во всей базовой системе. Да и в сторонних пакетов их явно более двух.

xenocara, про которую нигде больше не слышали?

Уши надо чаще мыть. xenocara это по сути другая компоновка xorg, монолитная вместо 10000 пакетов, плюс некоторые свои патчи. Некоторые свои патчи на какие-то решения накладывают почти все заметные дистрибутивы, в чём тут разница? Им надо включить xorg в свою базовую систему, они это делают там, где им удобно, это не open*d, которые выпускаются в portable-версиях, это по большей части для себя.

Их MTA костыльный, как там бишь его?

OpenSMTPd. У тебя какие-то комплексы по части костылей. opensmtpd шикарен своим унифицированным конфигом в духе всех остальных утилит, от pf до httpd, своей простотой и минимальным количеством кода. Не всем нужен энтерпрайз-почтовик, а в виде минималистичного opensmtpd просто шикарен. Это как nginx во времена перегруженного всем apache.

tmux пожалуй разве что.

а чо screen не угодил-то? :) CTRL-A удобнее, яем CTRL-B :)

А как с уязвимостью в Макоси? В man-странице ping(8) написано «BSD System Manager's Manual».

Вау... не слышал чтобы можно было кого то запинговать насмерть после win98.