Целочисленное переполнение в FreeBSD

Для такого дела могут и червя написАть...

Вообще-то, в оригинале новости сказано, что уязвимость уже пофикшена.

Как bsd так саныча и след простыл ;)

Плохо это, надеюсь повсеместно обновлятся не надо? :(

# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.bin/fetch
# make obj && make depend && make && make install

а то что там у них на сайте уже с фиксом?

в какой еще функции ??? в утилите fetch, а не в функции. первоисточник ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:16.fetch.asc на securitylab.ru новости никогда не проверяют, на ЛоР тоже к сведению - утилита используеться для закачки исходного кода приложений из портов большинство вместо нее wget используют

/usr/bin/fetch v freebsd
v linuxe wget.

on daje ne suidniy i uzaetsya tolko pri obnovlenii portov/src itd.. nu i esli che kachnut bistro nado.. veroyatnost' chto libo poimet' cherez nego .000001%

Все нормально. 5 минут промухали...

а то что там у них на сайте уже с фиксом?

А, ты сомневался?

>> poimet' cherez nego .000001%

Глупость какая..

Объясни плз. механизм распространения этого червя.
Учитывая, что fetch - клиентская программа (аналог wget), запускается (в основном) при сборке портов.

Для того чтобы использовать эту уязвимость нужно одно из двух:
а)быть commiterом freebsd :) Это фактически отпадает. (Коммитер и без fetch может гадостей наделать).
б)быть SA одного из серверов, указанных в MASTER_SITES или PATCH_SITES для порта, который "жертва" будет устанавливать/обновлять. Либо сломать этот сервер.

Я согласен, дырка неприятная, потому что fetch обычно запускается от рута. Но при чём же здесь червь?

А DNS? Забыл? Я те в локале подвешу хост в файле /etc/hosts

а что, кто-то ещё fetch для сборки портов юзает .... wget'ом же проще?

>> а что, кто-то ещё fetch для сборки портов юзает .... wget'ом же проще?

Configure хочется поднять? А зачем?
Простите за вопрос.

КАК? ls -l /etc/hosts -rw-r--r-- 1 root wheel 66 25 авг 13:31 /etc/hosts

Т.е. чтобы мне повесить в хостс, надо быть рутом на моей машине , а если ты рут - зачем тебе что-то подвешивать и мучать бедный fetch?

>fetch обычно запускается от рута

А нах?

2 Sun-ch: Напрямую-то оно понятно, не запускают (ежели мозги ещё остались), НО а от кого portupgrade/portinstall и make install clean в портах запускают? Если мы не перебили FETCH_CMD и в distfiles тарболла нет, то в итоге получаем запущенный от рута fetch, который будет этот тарболл качать, и иначе (по умолчанию) никак, потому как в /usr/ports/distfiles только рут писать может. Причём, согласись, перебивание FETCH_CMD на (например) wget или curl это не решение, бо потенциально дырявы и они :) Правда эксплоитить эти дырки совсем не просто (про червя это кто-то загнул), но всё равно неприятно :)

$make PORTSDIR=/usr/home/portmaster/ports/

Вытаскиваешь и собираешь как portmaster

$su root -c 'make install'

Устанавливаешь как рут.

<<< $make PORTSDIR=/usr/home/portmaster/ports/ Вытаскиваешь и собираешь как portmaster $su root -c 'make install' Устанавливаешь как рут.

Ну, вот на ящик коньяка я тя и развел ))) Сам подумай почему )))

2anonymous (*) (19.11.2004 15:22:05):

> а что, кто-то ещё fetch для сборки портов юзает .... wget'ом же проще?

Чем проще-то? Нафиг ставить wget, когда fetch уже из коробки.

2 Sun-ch: Я понимаю, что так лучше. Согласен на 100%. Это очень правильный подход. Но, не дефолт во freebsd. А я про дефолт говорю. Отсюда фраза _обычно_ запускается. Т.е. можно и не от рута. Но не по умолчанию. Думаю ты меня понял. К тому же, остаётся (малая) вероятность того, что оно тебе Х3 что соберёт от пользователя portmaster, например из-за дырки в fetch, а ты потом это от рута поставишь/запустишь. Но это уже переходит грань здоровой/нездоровой паранойи :)

Ну соберет он длля тебя... Я про фрю сервера говорю

>Но это уже переходит грань здоровой/нездоровой паранойи :)

читал где-то про заплведи админа:

*be paranoid

*be aware of the fact you'll be hacked one day

*...

>Х3 что соберёт от пользователя portmaster

Ну как же он соберет, родное сердце, когда SIZE и md5 суммы у тебя на

локальном диске лежат?

Посмотри cat distinfo внутри любого порта.

Я в курсе что в distinfo:) А дырка в fetch на что???? :)

>> Ну как же он соберет, родное сердце, когда SIZE и md5 суммы у тебя на локальном диске лежат?

Отдыхайте любибмые всеми анонимусы! )))

>> А дырка в fetch на что???? :) Это тебе загадка на тупость. Отгадаешь - будешь бздеть. Не отгадаешь - пошел ты козе в трещину :)))

cd /usr/ports/misc/foster make deinstall make clean Всем пока, и удачи!!!

И нафига тебе после "make deinstall" "make clean" ?

Хрю.

Геморно очень порты от обычного юзера собирать. Депенденсы часто надо ставить во время сборки, а для этого надо на рута переключацца. Потом ещё в bsd.ports.mk, помню, были кое-какие фенечки, которые из-под обычного юзера не совсем так как задумано работают - уже правда за давностью сразу так и не скажу какие. Я одно время порты из под юзера собирал, но потом решил, что овчинка не стоит выделки.

Флейма развели - вагон и маленькая тележка. Устранение этой уязвимости занимает 5 минут. Зато потом будешь спокоен, а нервы ещё пригодятся.

install от root достигается использованием portupgrade.

а что portupgrade fetch не использует ?

>> И нафига тебе после "make deinstall" "make clean" ?

Чтобы ты спросил, а нафига? ))) А я б ответил - а просто так, нравится мне - вот и все )))

> а что portupgrade fetch не использует ?

что скажешь, то и использует =)

# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.bin/fetch
# make obj && make depend && make && make install

Ну нету у меня /usr/src/usr.bin
В /usr/src/ только sys есть
И ВСЁ !
И што теперь и как ?

вот вам и фрюха, только попробуйте ещё заорать что она безопастнее линуха и более предпочтительней на серверах. :) У нас используется и то и то, и с фрюхой проблем гораздо больше. И вобще она тырнетозависимая як кровосос какой :)

cd /usr/src # patch < /path/to/patch # cd /usr/src/usr.bin/fetch # make obj && make depend && make && make install

>>Ну нету у меня /usr/src/usr.bin >>В /usr/src/ только sys есть >>И ВСЁ ! >>И што теперь и как ?

А слабо пакеты нужные установить с диска!!

<< И вобще она тырнетозависимая як кровосос какой :)

А в деревне "Заветы Ильича" ее как то по духу не намеревались распостранять.

>> вот вам и фрюха, только попробуйте ещё заорать что она безопастнее линуха и более предпочтительней на серверах. :) У нас используется и то и то, и с фрюхой проблем гораздо больше.

Не будем орать- и так все ясно. А, проблемы все от криволапости.

Опять баг без эксплоита, я бы на месте бздюшников обидился, у них не система на неуловимый джо какой-то :)

> И вобще она тырнетозависимая як кровосос какой :)
Дык эта... Вылезай из-под моста, 21й век на дворе.

> Опять баг без эксплоита, я бы на месте бздюшников обидился, у них не система на неуловимый джо какой-то :)

Кстати да - из сопровождаемых (левой задней пяткой, в перекурах между резанием в стрелялки, чтением irc и флеймом в фидо, на две версии назад от свежей) за семь лет ни одну фряху не сломали.

И патчи такого рода, как описанный, накатываются простым скриптом и одним щелчком мыши;)) (впрочем, это от системы не зависит, скрипт с apt-get upgrade тоже в буфер мыши помещается;))

Линуксов за это время сломали четыре, три из них стояло уже года два без контроля и без всяких LIDS/grsec/etc., в одном таки что-то свежее отымели - редчайший случай.

В общем, не забывайте накатывать фиксы не позже чем через месяц с момента выхода, и вас не тронут.

>> Депенденсы часто надо ставить во время сборки

Тут ты правильно заметил! portupgrade -rR port!!!

Ron, ты долбанулся, где ты на виндах порты видел?

Песочница на фряхи за полпинка делается!

а! так фостер из села оказывается :)))) теперь понятно происхождение его риторики :))