Уязвимости в DHCP

#define DHCP_VERSION "2.0pl5-OpenBSD"

Эхх... А только решил испугаться :))

Угу, ток вот BSD версии как раз не уязвимы....

А я так учу пионеров: делаешь grep -r ISC program_source_dir
Если не дай боже что-то выдаёт, быстро делаешь rm -rf program_source_dir
даже не задумываясь. Такой хоккей на наших серверах не нужен ;)

Напугал!

Насколько я понимаю, уязвимы только DHCP 3.0.1rc*. Релиз-кандидатами не пользуюсь, а DHCP 3.0pl2 в списке уязвимых не значится.

Сплю дальше...

Проснись и пой :)

Глянь народ дергаться начал:

SuSE-SA:2004:019 - buffer overflow in dhcp-server 06/23/2004
MDKSA-2004:061 - Updated dhcp packages fix buffer overflow vulnerabilities

----- Fedora Update Notification FEDORA-2004-190 2004-06-23 ---------------------------------------------------------------------

Product : Fedora Core 2 Name : dhcp Version : 3.0.1rc14 Release : 1 Summary : A DHCP (Dynamic Host Configuration Protocol) server and relay agent. Description : DHCP (Dynamic Host Configuration Protocol) is a protocol which allows individual devices on an IP network to get their own network configuration information (IP address, subnetmask, broadcast address, etc.) from a DHCP server. The overall purpose of DHCP is to make it easier to administer a large network. The dhcp package includes the ISC DHCP service and relay agent.

To use DHCP on your network, install a DHCP service (or relay agent), and on clients run a DHCP client daemon. The dhcp package provides the ISC DHCP service and relay agent.

--------------------------------------------------------------------- Update Information:

dhcp-3.0.1rc14-1 is now available. This release fixes a buffer overflow vulnerability in the Fedora Core 2 dhcp-3.0.1rc12-*. We strongly urge you to upgrade.

(CAN-2004-0460, CAN-2004-0461)

Санчес, а *BSD-то незря проверенный софт используют и гнутую херь переписывают ;) А?

> а *BSD-то незря проверенный софт используют и гнутую херь переписывают ;)
дык йоптить!
система-то для спокойной работы серьезных людей,
а не для экспериментов студентов всяких и прочих неофитов...

>> а *BSD-то незря проверенный софт используют и гнутую херь
>> переписывают ;)
> дык йоптить!
> система-то для спокойной работы серьезных людей,
> а не для экспериментов студентов всяких и прочих неофитов...

Не, студенты всякие и прочие неофиты щас разорутся, что, мол, всякий
ancient софт во всяких там бздях делает их воистину нефункциональными,
отсталыми и архаичными системами, которые "не нужны" ;)
Вот многие линуксы с напиханными в них релиз-кандидатами и "стабильными"
ядрами 2.6.х - это самое то, что необходимо серверным системам...

> Вот многие линуксы с напиханными в них релиз-кандидатами и "стабильными"
ядрами 2.6.х - это самое то, что необходимо серверным системам...
чтобы упасть и отжаться по пять раз в день!

2lapic (*) (25.06.2004 7:19:06) вообще то не надо, есть еще умные люди которые не пользуються релиз кандидатами и ядрами 2.6.x - ибо сырое оно еще для серверов то. Все зависит от радиуса кривизны рук и от того кто чем пользуеться - вот пионЭры на сервера ставят ИКСЫ!!! обалдеть- думаете зачем? как же для графических звизделок.

Я ставил на сервер Х. Потому что оракл надо было туда ставить. А потом сносить -- да мне легче оставить...есть-то они не просят...

Я извиняюсь, господа, но по-моему "не тавить X-ы на сервер" что-то из разряда "не держать на сервере компилятор"... Как ни думал об этом - по-моему все это детский лепет. Если сам не сидишь за севером, если у тебя есть отдельная workstation, то X действительно лишнее, но в противном случае.... Вот объясните мне тупому что плохого в том, что на сервере есть компилятор и X, если он запросто выдерживает нагрузку и нормально работает ?

> что плохого в том, что на сервере есть компилятор и X, если он запросто выдерживает нагрузку и нормально работает ?

Про иксы не скажу, но если у тебя на сервере есть компилятор и его поломают... ну, руткиты рулят =) может ты им еще и исходнички системы положишь заодно, для пущего удобства?

>> что плохого в том, что на сервере есть компилятор и X, если он
>> запросто выдерживает нагрузку и нормально работает ?
>
> Про иксы не скажу, но если у тебя на сервере есть компилятор и его
> поломают... ну, руткиты рулят =) может ты им еще и исходнички 
> системы положишь заодно, для пущего удобства?

А вот не скажите. Пример: сборка ports на OpenBSD. Оно там под
systrace крутится и более ничерта делать не умеет. А от локальных
пользователей можно и отчмодить грамотно. Так что не проблема.

> мол, всякий ancient софт во всяких там бздях делает их воистину
нефункциональными,

Если б только это. Отставание идёт по всем фронтам - драйверы,
интерфейсы, отстойная скорость системы - как fs, так и сетевая
подсистема. Во freebsd ещё сносно, а openbsd во всех бенчмарках в самом
низу.

>> мол, всякий ancient софт во всяких там бздях делает их воистину 
>> нефункциональными, 
> 
> Если б только это. Отставание идёт по всем фронтам - драйверы, 
> интерфейсы, отстойная скорость системы - как fs, так и сетевая 
> подсистема. Во freebsd ещё сносно, а openbsd во всех бенчмарках в 
> самом низу.

А скажи-ка мне как мне под Linux завести два crypto-акселлератора
для моего VPN шлюза?

Как, как? Посредством кувалды. Именно ей увеличивают радиус кривизны.

> А скажи-ка мне как мне под Linux завести два crypto-акселлератора
для моего VPN шлюза?

А почему не двадцать два? А почему не для моего шлюза? ;)

2 int19h:
> ну, руткиты рулят =)
Извините, если кто-то проламал на столько, что смог запихнуть rootkit, то что мешает ему запихнуть тот же компилятор ???
Во-вторых, ну вот поимел вас кто-то, смотрит, а скомпилить свою заразу не может, т.е. никак не воспольуется вашей системой в своих целях и что он будет делать ? Я бы сделал "rm -rf /" :-) (при отсутствии rm оный закидывается так же, как и rootkit). Вот теперь скажите, сильно спасает отсутствие компилятора ? По-моему это кажущаяся безопасность.

> как мне под Linux завести два crypto-акселлератора
это зависит от.
например поставить openssl-engine и не парится.:-)

> > а *BSD-то незря проверенный софт используют и гнутую херь переписывают ;)

> дык йоптить!
> система-то для спокойной работы серьезных людей,
> а не для экспериментов студентов всяких и прочих неофитов...

И давно ли в системе для спокойной работы серьезных людей появился volume management? Насколько я помню, в той же FreeBSD он еще даже и не появился??? В таком случае, "серьезные люди", сидит и молчите в тряпочку - ибо система без этого класса софта нафиг не нужна никому, кроме пионеров.

P.S.: два года прозанимавшись FreeBSD и Linux, я выбрал Linux за его простоту, стабильность и скорость развития... О чем не жалею, чего и вам желаю :-)

> Извините, если кто-то проламал на столько, что смог запихнуть rootkit, то что мешает ему запихнуть тот же компилятор ???

Возможно я ошибаюсь, но мне всегда казалось что нормальные руткиты собираются на ломаемой системе. Иначе легко огрести грабли с совместимостью, да и обнаружить его легче. Хотя...

> Во-вторых, ну вот поимел вас кто-то, смотрит, а скомпилить свою заразу не может, т.е. никак не воспольуется вашей системой в своих целях и что он будет делать ? Я бы сделал "rm -rf /" :-) (при отсутствии rm оный закидывается так же, как и rootkit).

Лучше уж это, чем если кто на вашу систему open relay поставит для спама =)