LINUX.ORG.RU

Remote DoS в ядрах 2.6.x


0

0

В ядрах 2.6 ветки нашли Remote DoS. Причина -- неправильный тип переменной. Уязвимость связана с netfilter, а точнее, с правилами iptables, отвечающими за TCP options, например, --tcp-option. Причём неважно, что же делает правило, в котором применена эта опция.

Баг нашли на x86 платформе, другие платформы не проверялись, но, судя по всему, баг есть и там.

Как обычно, :-) к сообщению о найденном баге прилагается информация о том, как его исправить.

>>> Подробности

★★★★★

Проверено: Demetrio ()

Если учесть, что iptables запускается только из-под root'а или требует соответствующих привилегий, то бояться, собственно, нечего...

...разве, что криков "опять дырявых лялих".

stark_lnx
()
Ответ на: комментарий от stark_lnx

Вобще то для того что бы послать пакет на какой то хост прав администратора на том хосте не требуется...

anonymous
()
Ответ на: комментарий от stark_lnx

Of course, there is no need to have a shell access to attacked host

Читать надо внимательнее... Неприятная штука...

dObryi
()
Ответ на: комментарий от stark_lnx

Вы, IMHO, не до конца поняли суть. Достаточно послать особый пакет (в сообщении приводится) на атакуемый хост, чтобы он ушёл в бесконечный цикл, жрущий весь процессор.

Obidos ★★★★★
() автор топика

Ну на серверах с real ip я его пока не видел
А в локалке, можно пойти и в морду дать. Т.к. самый действенные методы зашиты, это административные

kka
()
Ответ на: комментарий от Sun-ch

> ... никакой в людях карпоративной культуры нет.

это ты про что? :) И как-же надо было поступить?

mator ★★★★★
()
Ответ на: комментарий от int19h

да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера) вот когда выйдет 2.6.18 тогда и посмотрим.

anonymous
()
Ответ на: комментарий от Obidos

> Если вы _не_ используете правила с tcp_options, вам бояться нечего.

Я их (iptables) вообще не использую - говорю ж, на бсде оно =)

Впрочем, это не специально. Просто машинка dual boot, а винду ж тоже чем-то прикрывать надо... а на старом железе BSD как-то лучше смотрится =)

int19h ★★★★
()
Ответ на: комментарий от int19h

Я ни в кой мере не против BSD, у меня у самого Опёнок локалку от злодеев ;-) прикрывает.

Obidos ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> да никто из нормальнопараноидальных админов 2.6 еще не ставил на боевые сервера

Совершенно в этим согласен. Ставить 2.6 на боевые сервера - большая неосторожность, если не сказать глупость.

Блин, что меня огорчает - при всей моей любви к Линуксу и любому проявлению OpenSource - в последнее время, чуть ли не каждый день появляются новые сообщения об уязвимостях. Думаешь, а не начать ли бояться...

stark_lnx
()
Ответ на: комментарий от stark_lnx

> чуть ли не каждый день появляются новые сообщения об уязвимостях

Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- пусть там дыры находят чуть реже, зато какие... ;)

Obidos ★★★★★
() автор топика
Ответ на: комментарий от kka

У меня работал 2.6.6 двое суток 8))))) Срочно заглушка нужна была 8)))) Хотя никакого хитрого файрволла там не было. Там вообще ничего не было, кроме thttpd, отдающего совсем немного статики.

Zulu ★★☆☆
()
Ответ на: комментарий от Obidos

>Это означает лишь, что народ занимается аудитом кода. Касаемо m$ -- >пусть там дыры находят чуть реже, зато какие... ;)

...и при каких обстоятельствах найденные :)

anonymous
()

А kernel.org тоже на 2.6...

anonymous
()
Ответ на: комментарий от stark_lnx

> Думаешь, а не начать ли бояться...

I must not fear.
Fear is the mind-killer.
Fear is the little death that brings total obliteration.
I will face my fear.
I will permit it to pass over me and through me.
And when it has gone past, I will turn the inner eye to see it's path.
Where the fear has gone there will be nothing.
Only I will remain.

int19h ★★★★
()
Ответ на: комментарий от anonymous

Да уж... Линух корявая система... Каждый день по 5 дыр... И это только найденных....

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.