Ping of Death в OpenBSD Packet Filter

попингуем

Решето.

решето!!!

Вот так обосрались.... Как они могли?

> Ping of Death

А я уж думал, что это дела давно минувших дней...

Ну и как теперь такую новость Линукс откомментирует? "Мастурбирующие на безопасность обезьяны, мастурбируют недостаточно интенсивно?"

s/Линукс/Линус/

>_<

> "Мастурбирующие на безопасность обезьяны, мастурбируют зря"

FIXED.

Собственно, он именно так и сказал: бесполезно.

Жесть. Все это способствует развитию паранойи ^_^

> Публичного эксплоита нет

Получайте: nmap -sO ТАКОЙ_ХОСТ_ЧТОБ_ОБРАБОТАЛСЯ_ПФ-ОМ

реквестирую в трэд клоуна/ов с воплями, что "фря рулит...", а то как-то нет в треде огонька и холивара. pf рулит, что мы и наблюдаем...

Их не будет, их запинговали.

>Атакующий при помощи одного специально сформированного IP пакета может вызвать панику ядра

Вызывание паники ядра есть мелкое хулиганство - уязвимость не критическая (атакующий не может получить доступ). Хотя гадость ещё та, ждём обновлений.

линк по теме: http://milw0rm.org/exploits/8406

>реквестирую в трэд клоуна/ов с воплями, что "фря рулит..."

Клоуны не могущие отличить FreeDSD от OpenBSD уже тут.

каких еще обновлений ты ждешь? патч сразу выложили.

> Вызывание паники ядра есть мелкое хулиганство

подрастешь, увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя, и поймешь, что это не только "мелкое хулиганство"

> Клоуны не могущие отличить FreeDSD от OpenBSD уже тут.

молодец, что доложил о прибытии

>уязвимость не критическая (атакующий не может получить доступ)
зато этого более чем достаточно, чтобы твой шлюз на openbsd не работал, не нужны ни DOS, ни DDOS

однако, афаик проблема сугубо пф-специфик, так что интересно, что там с фришкой, уязвима ли она? фри под рукой не имею, потестьте, кто-то.

действительно, проблема весьма серьезная. я обновился утром двенадцатого. чего и вам желаю.

>подрастешь, увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя

Видимо ты умён не по годам, если не знаешь про дублирующие сервера. Учи матчасть.

ага, тоесть, два-три файерволла/роутера/шейпера за carp'ным интерфейсом, да? и что, спасает от этой дыры?

Дык патч же выложили ;)

> не знаешь про дублирующие сервера. Учи матчасть.

И чем это поможет в данном случае? Уязвимость в целой линии ядер, они все уйдут в панику.

я это о том, что ты привел принципиально некорректный аргумент.

>> А я уж думал, что это дела давно минувших дней...

Всё правильно. BSD, наконец, догнала этот момент.

сарказм такой. ты не прав, проблема серьезная. к тому же, уязвимы практически все инсталляции openbsd, и наврят ли кто-то применяет те обходные меры, что описаны в патче, by default

>может вызвать панику ядра

ААААААААААААААААААА!!!!!!!!!

Ага, сейчас потестим, сейчас по всему тырнету потестим. Me ушёл тестить

Уязвимость в PF связана с тем, что тип протокола на редиректе и нат некоторые забывают указать.

У меня сроду стояло:
rdr proto tcp from any to any port http -> $ext_if port 8080
- тип протокола точно указан: "tcp".

Не положишь ты тырнет. Тырнет давно на безопасном линаксе, а инсталляции с опенбсд, на которые онанируют их седобрадые девственники-админы, никому не интересны.

>> А я уж думал, что это дела давно минувших дней...

> Всё правильно. BSD, наконец, догнала этот момент.

Что ж... Ждём бот-сеть на OpenBSD. :))

Так есть уже - http://www.linux.org.ru/view-message.jsp?msgid=3637410

при чем тут ОпенБСД?

> каких еще обновлений ты ждешь? патч сразу выложили.

Не сразу. Лично обнаруживший уязвимость, он же автор патча жаловался, что опенковцы забили. Причем этак месяц забивали

> однако, афаик проблема сугубо пф-специфик,

Нет, проблема в ядре опенка. Фрибзд unaffected

это конец. такого просто не может быть. я в это не верю. что дальше? все версии линукс имеют критическую уязвимость из за того что ядро написано на C? любой компьютер можно взломать, поднеся к нему циркониевый браслет?

Кажется спутал. Внутри макоси фря?

Darwin

Кстати, а как ведет себя OBSD+pf на гиговых каналах?Где то можно почитать бенчмарки в сравнении с iptables?

плохо пингуется

это кстати уже какое отверстие? четвертое?

Доставили, что тут сказать :)

> это кстати уже какое отверстие? четвертое?

Всего лишь второе. "two remote holes in the default install", а pf по дефолту отключен. Видишь ли, при инсталле можно включить только OpenNTPD и OpenSSH, а с таким раскладом опенбзд становится прям-таки неуловимым Джо - ее не то, чтоб ломать, ее использовать не захочется.

>> каких еще обновлений ты ждешь? патч сразу выложили.
> Не сразу. Лично обнаруживший уязвимость, он же автор патча жаловался, что опенковцы забили. Причем этак месяц забивали

пруфлинк или 4.2
оригинальный advisory: http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_dereference_kernel_...
здесь говорится о том, что опенбсдишников уведомили 9-го, а 11-го уже был патч. медленно? возможно. "месяц забивали"? неправда.


> однако, афаик проблема сугубо пф-специфик,
Нет, проблема в ядре опенка. Фрибзд unaffected

ты патч видел? ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.5/common/002_pf.patch
поясню, что все, что меняется, это поведение функции pf_test() в sys/net/pf.c. Эта функция - центральное место ПФа, тут происходит решение о действиях с пакетом. как ты думаешь, во фре тот же файлик? я незнаю, но мне это кажется очень вероятным. Патч добавляет проверку на присутствие icmpv4 в ipv6 и icmpv6 в ipv4 и отбрасывает такие пакеты.

>увидишь рабочий сервер с кучей клиентов, который даже перегрузить нельзя, и поймешь, что это не только "мелкое хулиганство"

вряд ли на этом сервере будет бздя

если этот сервер - файрволл/шейпер, то более чем возможно.

> Лично обнаруживший уязвимость, он же автор патча жаловался
кстати, тоже 4.2
обнаруживший уязвимость - Sebastian Rother, автор патча - jsing
http://www.openbsd.org/cgi-bin/cvsweb/src/sys/net/pf.c?rev=1.634.2.1;content-...

> оригинальный advisory: http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_dereference_kernel_.. .

неоригинальный нифига. Прям там и было все сказано, причем с руганью. Попробуй нагуглить его же в архивах со словами "before openbsd guys fuck it up" - еще вчера там было именно так (ну, разве что не уверен насчет слова "guys"). Кто прошел вчера по ссылке с опеннета, еще могли видеть.

> ты патч видел?

Посмотрел, спасибо, а то влом было, теперь знаю, что уязвимость из-за кривой обработки ядром опенка "ICMPv4 packets with ICMPv6 payload" и наоборот.

> как ты думаешь, во фре тот же файлик?

Представляешь, во фрибзде не pf, а порт pf для фрибзда, о чем опеночники не устают напоминать в каждом разговоре, заодно указывая не его отсталость, мол, нет таких вообще в ядре фряхе подсистем, чтоб все это реализовать. Вот и сплойт нереализуем оказалсо, хехе. Кстати, а файлик этот есть, я даж не поленился, перечитал, так что он точно совсем другой. И на двух фряшных шлюзах проверил.

А вообще-то, я объяснил тебе то, что и так ясно из документации по фряхе, опенку, и тому самому адвизори.

ты конечно молодец, весь из себя такой умный, только почему-то невнимательный и заранее собеседников считаешь дибилами. а еще абсолютно не понимаешь сарказма.
разумеется, во фре тот же файл, только всюду понатыкано #ifdef __FreeBSD__, и он, кстати, месяца этак на 3 отстает от опеновской версии. так вот, в этом файле такой проверки, какую добавляет этот патч, _нет_. Вот как раз смотрел сейчас. Возможно, это не делает фряху уязвимой, вследствие каких-то там еще отличий.
завтра вот не поленюсь поставить фришку и поэкперементировать.