LINUX.ORG.RU

Внимание: совершено вторжение на сервера сайта freebsd.org

 ,


3

3

Команда обеспечения безопасности внутренней инфраструктуры сайта http://www.freebsd.org/ сообщает о состоявшемся вторжении на два узла кластера, обеспечивающего работу CVS-репозиториев сторонних пакетов. На данный момент довольно большое количество машин отключены от сети и проходят внутреннее инспектирование и анализ.

Взлом был обнаружен лишь 11 ноября, хотя само вторжение, скорее всего, произошло еще 19 сентября. Как полагают исследователи, злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива. Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.

На данный момент на вопрос модификации проверены Subversion-репозитории Source, Ports и Documentation, изменений в них не было. Кроме этого, базовая часть системы FreeBSD также признана не затронутой хакерами. Все релизы и пакеты FreeBSD на официальном FTP-сервере также не содержат модификаций. Однако, набор пакетов для грядущего релиза FreeBSD 9.1-RELEASE был полностью пересобран, так как выявить изменения в нём оказалось невозможно.

В основном, в зону риска попадают пользователи, скачавшие пакеты из портов, полученных не с сервера svn.freebsd.org и его зеркал в период с 19 сентября по 11 ноября.

Всем пользователям FreeBSD даны следующие рекомендации:

  • если вы использовали cvsup/csup, больше этого не делайте;
  • если вы использовали cvsup/csup для получения портов, срочно переходите на использование portsnap(8), разработчики уже давно работают с Subversion;
  • если вы использовали cvs/anoncvs/cvsup/csup для получения src, также переходите на Subversion или скачивайте бинарные пакеты через freebsd-update(8);
  • если вы использовали portsnap(8), выполните команду
    portsnap fetch && portsnap extract
    для получения актуального образа репозитория;
  • следуйте нашим советам по обеспечению безопастности вашей системы, проверьте её на наличие модификаций;
  • все пакеты, установленные в период с 19 сентября по 11 ноября, считайте подозрительными.

Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из сложившейся ситуации и планируют улучшить защиту серверной инфраструктуры для предотвращения возможных атак. Для этого многие неактуальные сервисы будут признаны устаревшими и нерекомендованными к применению, а вместо них по умолчанию будут использоваться современные реализации.

Всем пользователям FreeBSD рекомендуется следить за развитием событий.

>>> Подробности

★★★★★

Проверено: tazhate ()
Последнее исправление: Binary (всего исправлений: 4)
Ответ на: комментарий от swwwfactory

Никакой путаницы с DOCTYPE там нет.

во первых нет внятного пояснения по поводу перевода строк

Я приводил вам ссылку, где разжевано все на счет пробелов и переводов строк, в xml вообще и в DOCTYPE в частности. Не читали?

Во вторых разработчики остаются в заложниках

Какую версию html использовать - решать конкретному проекту, а не w3c. DOCTYPE - в соотв. с версией

Где тут путаница?

anonymous
()
Ответ на: комментарий от anonymous

Я приводил вам ссылку, где разжевано все на счет пробелов и переводов строк, в xml вообще и в DOCTYPE в частности. Не читали?

Еще не читал - бегло просмотрел. Пока выводов не делал. Мне нужно время чтобы переварить эту информацию - не являюсь большим спецом xml нужно кое-что вспомнить - там больше про него речь а не про html. За ссылку спасибо.

Какую версию html использовать - решать конкретному проекту, а не w3c. DOCTYPE - в соотв. с версией

Где тут путаница?

Да, решать не в3ц, но только потом почему-то сайты кривые получаются и с ограниченной поддержкой. Остальное абсолютно так, но в ключе публичного сайта не совсем.

swwwfactory ★★
()
Ответ на: комментарий от jamy

Хех, за десять лет на ЛОРе не часто встречал такого фрякое...фила! Уровень презрения к линуксу тянет на админа провайдера маленькой локальной системы района!

anonymous
()
Ответ на: комментарий от anonymous

Уровень презрения к линуксу тянет на админа провайдера маленькой локальной системы района!

Отнюдь! Я к линуксу отношусь тепло и даже использую его в качестве десктопа на работе. Уровень презрения у меня зашкаливает к тем кто кричит что фря - это некрофилия. Но лично на моем домашнем компе предпочитаю видеть онтопик. А насчет админа - то это ты угадал, только это в прошлом.

jamy
()

Ну вот и обновление на страничке http://www.freebsd.org/news/2012-compromise.html:

Обновления portsnap(8) вновь доступны. Их генерирование было приостановлено из-за остановки инфраструктуры, однако на всех машинах был проведен аудит либо они были переустановлены и теперь мы уверены, что генерация обновлений может быть возобновлена.

Возобновлен экспорт Subversion в CVS. Изменения в репозитарий Subversion снова доступны через csup/CVSup. Прошу заметить, что использование этого метода по прежнему нежелательно и пользователям рекомендуется перейти на другой метод обновления (например freebsd-update(8), portsnap(8) или Subversion). Мы до сих пор не можем гарантировать целостность истории изменений в CVS, однако уверены в корректности текущего состояния в каждой из веток.

Также прошу заметить, что из-за изменений в инфраструктуре первое обновление как при помощи portsnap(8), так и через csup(1) с высокой вероятностью покажет изменения в большом количестве файлов. Не обращайте внимания.

Как было отмечено в оригинальном сообщении, пакеты, загруженные для готовящегося FreeBSD 9.1-RELEASE, были удалены из-за невозможности их верификации. Для того, чтобы дать возможность системным интеграторам и конечным пользователям удостовериться, что загруженные ими пакеты не из этого набора, мы предоставили файлы, содержащие sha256 и md5 для всех удаленных пакетов.

sergv
()

совершено вторжение на сервера сайта freebsd.org

Звучит былинно

gwinn ★★★★
()
Ответ на: комментарий от swwwfactory

Если не ssh OK Если старый CVS то что конкретно? Непонятно. Предположительно так: либо воспользовались старой дыркой или все-таки ssh старый.

Ты уже достаточно опозорился, хватит, уже не смешно. Ты до сих пор ничего не понял. Просто уходи.

IPR ★★★★★
()
Ответ на: комментарий от swwwfactory

У меня ппри просмотре кода без переноса браузер выделяет красным - не стал разбираться почему - просто сделал заголовок как на в3 и ругаться перестал.

Ты вообще понимаешь что ты несешь? Я такого бреда давненько не читывал.

IPR ★★★★★
()
Ответ на: комментарий от swwwfactory

Рекомендация от самой дилетантской в вебе конторы Google:

Use GIFs for very small or simple graphics (e.g. less than 10x10 pixels, or a color palette of less than 3 colors) and for images which contain animation. If you think an image might compress better as a GIF, try it as a PNG and a GIF and pick the smaller.

https://developers.google.com/speed/docs/best-practices/payload#CompressImages

Binary ★★★★★
()
Ответ на: комментарий от Binary

Он ещё и врёт, от переноса строки фф не перестаёт выделять доктайп красным.

Да по слогу и фейлам видно, что это всего-лишь пафосный дурачок. О чём речь идёт не понял, судит о проекте по заголовку сайта. Уже можно ставить диагноз.

IPR ★★★★★
()

Пользователей OpenBSD событие коснулось тем или иным боком?

anonymous
()
Ответ на: комментарий от v0mqfish

Интересно, а пароль тоже скоммуниздили или он без пароля заходил?Интересно, а пароль тоже скоммуниздили или он без пароля заходил?

Очевидно, что без пароля, ssh-key-agent'ом не пользовался

DRVTiny ★★★★★
()
Ответ на: комментарий от byteplayer

Я вот не знаю — какие-то собрались злые карлики, которые желают смерти всему, что не похоже на них — злых карликов. Им только дай повод позлорадствовать и порадоваться неудаче товарища.

Да бросьте вы. Желать смерти трупу - это какая-то бессмыслица. Мы лишь хотим, чтобы его душа покоилась с миром.

anonymous
()
Ответ на: комментарий от Binary

Это всё GIF'ы, мы уже выяснили.

Нет уж. Если бы защита не была сделана через жопу, то могли бы через что-то аналогичное AppArmor поставить правила доступа для соответствующих библиотек.

anonymous
()

Переустановил на ВМ. Еще ничего не успел поставить, а на 25 порту уже висит smtp.

anonymous
()

Achievment unlocked!

Неуловимый Джо - пойман!

havelite
()
Ответ на: комментарий от anonymous

В BSD нет систем управления политиками.

Если так, то это плохо. Даже если вы залатаете все дыры в софте «по умолчанию», то это никак не гарантирует того, что систему не взломают через сторонний софт поставленный пользователем. ОС, которая претендует на безопасность неплохо бы иметь механизм безопасного запуска непроверенного кода.

EvgenijM86
()
Ответ на: комментарий от anonymous

В BSD нет систем управления политиками.

А MAC (man 4 mac)?

sjinks ★★★
()
Ответ на: комментарий от res2500

в аналогичном случаи тоже не сразу заметили

но с кернел пошустрее обнаружили, а фря сообщает про период около года:

http://www.freebsd.org/news/2012-compromise.html

If you are running a system that has had no third-party packages installed or updated on it between the 19th September and 11th November 2012, you have no reason to worry.

и успокаивают, что ядро не затронуто. Хорошо хоть так. Но это лишь официальные сведения ))

swwwfactory ★★
()
Ответ на: комментарий от swwwfactory

но с кернел пошустрее обнаружили, а фря сообщает про период около года:

Да свали ты отсюда наконец! Опять веществами набаловался и тебя прет? С сентября по ноябрь, это период около года? Ты вообще с нами в одном пространственно-временном континууме или нет?

и успокаивают, что ядро не затронуто. Хорошо хоть так. Но это лишь официальные сведения ))

Наркоман, ты знаешь разницу между base и kernel, и вообще что-нибудь про BSD-системы знаешь?

anonymous
()
Ответ на: комментарий от anonymous

извиняюсь - ошибся (нет редактирования поста - что тут поделаешь), мне сначала показалось что год - период такой же как с кернелом.

swwwfactory ★★
()
Ответ на: комментарий от anonymous

сам удивляюсь )) не придирайся к человеку )) (что тут криминального? ошибся несколько раз) - отвлекаюсь постоянно и возвращаюсь на форум поэтому и туплю сейчас.

это не Билл Гейтс, ошибаешься теперь ты. Знаешь поговорку про того кто не ошибается?

swwwfactory ★★
()
Ответ на: комментарий от anonymous

Конечно.

Ок.

Тебе никто не запрещает так считать ))

Но зачем так категорично - дураки и все тут? Ты имеративненько рассуждаешь, тебе не кажется? ))

swwwfactory ★★
()
Ответ на: комментарий от anonymous

В BSD нет систем управления политиками.

Давно такого вранья не видел.. man 4 mac. вещь появилась в рамках TrustedBSD намного раньше чем NASA подарили линукс сообществу SeLinux.

Currently, the following MAC policy modules are shipped with FreeBSD:

Name Description Labeling Load time mac_biba(4) Biba integrity policy yes boot only mac_bsdextended(4) File system firewall no any time mac_ifoff(4) Interface silencing no any time mac_lomac(4) Low-Watermark MAC policy yes boot only mac_mls(4) Confidentiality policy yes boot only mac_none(4) Sample no-op policy no any time mac_partition(4) Process partition policy yes any time mac_portacl(4) Port bind(2) access control no any time mac_seeotheruids(4) See-other-UIDs policy no any time

anonymous
()
Ответ на: комментарий от anonymous

Лидер проекта OpenBSD немного другого мнения:

Having Read about computer security, one of the parts that mostly
called up my atention were the access control mechanisms. I've found
out that the mechanism used by mostly of the Unix-like systems is DAC
(Discretionary Access Control) and as I could see OpenBSD fits in that
mechanism as well. But the literature says that there is a more
sophisticated mechanism, called MAC (Mandatory Access Control). In my
studies, all the papers I have read explain that
MAC is much more sophiscitated that DAC. Thus I would like to know
from you why OpenBSD does not implement this type of mechanism.

Because it is dumb, and due to it's complexity it impliments a serious systems lifetime trap for system administrators --- most of who are not much smarter than a sack of hammers (excluding those of you reading this, of course).

Look, complexity does not avert risk. Ever. Period.

http://www.mail-archive.com/misc@openbsd.org/msg44886.html

EvgenijM86
()
Ответ на: комментарий от EvgenijM86

MAC DAC

Тео прав, когда речь идет об обычных админах, которые настраивают или не настраивают всякие там селинуксы и прочие аппарморы в зависимости от ситуации. Кроме этого есть ещё всякие копрорации и другие супер-секретные учреждения, где наличие фишек типа мака обязательный аттрибут операционки, иначе её просто не будут ставить там. Не факт что там кто-то это всё настраивает, но оно должно быть, отсюда и появляются всякие там трастед солярисы и трастед бзд, откуда все эти трастед экстеншины запихиваются соответственно в солярисы и фрибзд, и «там у них» есть даже должности типа «solaris security administrator» и даже сертификации такие есть для админов, так что тоже рынок. было бы интересно посмотреть на админа который в реальной жизни использует где-то все эти трастед экстеншины и аппарморы с селинуксами.

mitrox
()
Ответ на: комментарий от anonymous

«не. Я, к примеру, не дурак.»

Чем докажешь?

anonymous
()
Ответ на: комментарий от Manul4eg

FreeBSD была, есть и остаётся одной из самых безопасных операционных систем.

Лол, поработаешь хотя бы лет 5 с ней, перестанешь такое писать.

Так что, господа холиварщики и вендопетушня, успокойтесь

Эк ты сразу всех бздунов оскорбил одним махом. Нетолерантненько. Толсто так намекнул на то что они в putty видят, и на Олмана с МакКузиком.

black7
()
Ответ на: комментарий от observer

А правда ли это? Или просто левое оправдание?

Они просто берегут нежную детскую психику лоровских бздунов.

black7
()

«Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из сложившейся ситуации»

Наверное, решили купить лицензии на Windows Server.

anonymous
()
Ответ на: комментарий от observer

злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива

А правда ли это? Или просто левое оправдание?

Правда. Ключ был получен методом анального термоанализа.

anonymous
()

если серьезно-верно говорят тут,что безопасность из пароля или любого ключа-это не безопасность,это цирк.

Где виртуальное огороженное окружение для каждого пользователя,где запись всех изменений в файлы от «админов»(юзеров) с возможностью отката...

На фоне такого взлома-всякие там Гит или велосипед от сурсфорга(где каждому юзеру по виртуалке с линуксом,и единое файлохранилище с полной историей и возможностью отката) выглядят очень продуманными...

Большая дыра-это доверять человеку.Безопасные системы-это где можно залогинится под главным админом(допустим сперев ключ админа как тут) удалить все,сделать rm rf,но после обноружения взлома откат был в одно нажатие кнопки.Т..е уязвимость по получению админского доступа-это проектная недоработка.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.