>про local root на bugtraq только про шапку написано
по крайней мере для Debian это тоже имеет место:
--------------------------------------------------------------------------
Debian Security Advisory DSA 304-1 security@debian.org
http://www.debian.org/security/ Matt Zimmerman
May 15th, 2003 http://www.debian.org/security/faq --------------------------------------------------------------------------
Package : lv
Vulnerability : privilege escalation
Problem-Type : local
Debian-specific: no
CVE Id : CAN-2003-0188
Leonard Stiles discovered that lv, a multilingual file viewer, would
read options from a configuration file in the current directory.
Because such a file could be placed there by a malicious user, and lv
configuration options can be used to execute commands, this
represented a security vulnerability. An attacker could gain the
privileges of the user invoking lv, including root.
For the stable distribution (woody) this problem has been fixed in
version 4.49.4-7woody2.
For the old stable distribution (potato) this problem has been fixed
in version 4.49.3-4potato2.
For the unstable distribution (sid) this problem is fixed in version
4.49.5-2.
мне очень нужно пользоваться функциональными патчами на ядро 2.4.20
(CryptoAPI, UDF и т.д.). Ядро из дистра не подходит. На новое переходить,
пока эти патчи не вышли тоже никак нельзя.
И что мне теперь делать? Где оперативно найти все security патчи на
ТЕКУЩУЮ (или даже предыдущую) версию ОРИГИНАЛЬНОГО ядра?
Патчи типа grsecurity, cipherfunk конфликтуют с cryptoAPI и тоже не подходят.
аналогичная проблема имею 2.4.20 с кучей патчей, но не дистрибутивное
и что мне опять трахаться чтоб на 2.4.21rc2 все эти патчи накладывать,
может есть всё-таки патч для 2.4.20?
Слушайте, умники, о чем вы тут вообще трепетесь?
При чем тут бага в кернеле и зафлудить с измененным адресом?
Вот вам простая формула:
1)послать простой пинг на 20 разных машин с измененным обратным адресом, который указывает на другую конкретную машину.
2) на каждую из 20 машин ICMP пакет ушел маааленький и один.
3) как вы думаете каков будет трафик на точке входа той машины, обратный адрес которой вы указали? пакет*20! А если машин 100? А если 200?
Эта формула применима для всех ОС, кернелов, и тд, вне зависимости стоят на них какие-то патчи или нет. Спастись от этого можно только правильно настроив фильтр на атакуемой машине заранее.
Стар как мир этот DoS. Известен он был со времен рождения линукса. Помогает опция в ядре "Big Routing Table".
С другой стороны, читаем последствия хорошо спланированой атаки:
This could potentially bring a Linux system offline with a
rate of only 400 packets per second
Странное понятие у них "offline". У меня на веб-серверах
средний показатель 300 пакетов/секунду. Так что не страшно.
300 пакетов на вебсервере
это хорошо
ну тут речь идет о 400 пакетах и досе
я на долбаном диалапе могу 400 пакетов
сгенирить и сервак в дауне это есть очень плохо....
> ну тут речь идет о 400 пакетах и досе
я на долбаном диалапе могу 400 пакетов
Я говорю о нормальных пакетах по 1500 байт. А ты похоже не понял, к чему говорилось про 400 пакетов. Эти 400 пакетов в секунду - пропускная способность сервака во время DoS. Ими можно обслужить порядка 300-400 веб-юзеров в минуту. Совсем неплохо.
Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов...
Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов..."
читать надо официально руководство по установке, а
не какой-то левый фак !
Меня порадовала строчка: "I prefer the simple way to install the packages, dselect is a hard way."
И после этого, мне будут втирать, что "dselect - намного круче, чем handy-install"... :-))) Эх, жаль, что Слаквари нет для MIPS'ов..."
читать надо официальное руководство по установке, а
не какой-то левый фак !
Во-первых, я абсолютно уверен, что с первого раза "как надо" я Debian и на писюк-то не поставлю. Что уж говорить про столь специфичную железячку...
Соответственно, метод установки по сети мало устраивает.
Во-вторых, у этой железячки нет дисковода. Потому ставить придется либо с CD, либо как описано в HOW-TO'шке загружаться с DHCP. Причём, вариант с DHCP не очень подходит из-за того, что я попросту не знаю, как войти в system maintenance menu. (родная документация от железки не сохранилась, а в том, что лежит на сайте SGI я этого не нашел) Возможно, удастся поставить дисковод от PC'шки... Но, честно говоря, я боюсь эксперементировать (в своё время за железячку заплатили $10'000).
В общем, вот такие пироги. Идеальный выход - загрузочный установочный CD. Значит, придется качать.
Тут тоже печальная проблема: 632 Мбайта. Канал ADSL от MTU - до 6-ти Мбит/с. (т. е., в принципе, оно может выкачаться за время порядка 800 секунд). Но траффик стоит $0.1 без налогов. Значит, $80 - насмарку (65$ + НДС). Для сравнения Slackware 9.0 с полным набором книжек, плюшевым пингвином и двумя маечками обойдется в $173.85 (без перевозки и растаможки). Дело даже не в деньгах. Просто я за то, чтобы отдать эти несчастные 80 баксов сообществу GNU, чем интернет-провайдеру (кстати, моё начальство тоже придерживается этого мнения: платить надо тем, кто что-то ДЕЛАЕТ...)
господа Debian'щики скажите, вот такое apt'ом возможно: произвести upgrade пакетов только что бы они не из репозитария брались скомпиленные, а скачивались сорсы, компилялись и ставились, короче что то типа
apt-get source -b package_name
но для всех пакетов что обновились в пепозитарии?