| |
В TCP-стеке всех поддерживаемых веток FreeBSD выявлена опасная уязвимость (CVE-2014-3000), позволяющая инициировать крах ядра через отправку специально оформленного набора TCP-пакетов в рамках установленного сетевого соединения. Так как в результате уязвимости часть памяти стека может быть переписана данными из других нитей ядра, не исключается вариант эксплуатации уязвимости, при котором злоумышленник может получить доступ к областям памяти ядра, которые потенциально могут содержать конфиденциальные данные, такие как параметры входа. При этом проведение подобной атаки отмечается как слишком трудоёмкий процесс, требующий тщательной организации атаки с учётом особенностей целевой системы.
Уязвимость вызвана ошибкой в коде помещения пакетов в очередь сборки (reassembly queue). В ситуации когда в рамках TCP-соединения пакеты приходят с нарушением цепочки следования порядковых номеров, сегменты помещаются в очередь сборки и ожидают появления пакетов с недостающими номерами. Из-за ошибки, очередной сегмент данных может быть добавлен в стек при достижении лимита на максимальный размер очереди, что приводит к неопределённому состоянию памяти стека после возврата из функции помещения пакета в очередь.
Проблема исправлена в выпусках 8.4-STABLE, 8.4-RELEASE-p9, 8.3-RELEASE-p16, 9.2-STABLE, 9.2-RELEASE-p5, 9.1-RELEASE-p12, 10.0-STABLE и 10.0-RELEASE-p2. В качестве обходного пути для защиты от уязвимости при помощи пакетного фильтра pf может быть включен режим нормализации входящих пакетов (правило "scrub in all").
Дополнительно отмечается устранение ещё двух уязвимостей, которые проявляются только в ветке FreeBSD 10.0:
- Проблема (CVE-2014-3001) с загрузкой правил ограничения доступа к devfs для jail-окружений. Так как правила devfs не активировались при загрузке, присутствовала возможность создания узлов devfs из jail-окружений с системными правами доступа, без применения ограничений и скрытия узлов для изолированных окружений. Таким образом запущенный в jail-окружении процесс мог получить доступ к закрытым ресурсам хост-системы, в том числе ко всем имеющимся устройствам, что позволяло атакующему повысить свои привилегии или организовать утечку информации.
- Во входящем в состав базовой системы пакете OpenSSL устранена уязвимость (CVE-2010-5298), позволяющая атакующему осуществить подстановку данных в буфер, используемый в другом SSL-соединении, установленном в рамках того же многопоточного приложения. Проблема вызвана инициированием освобождения памяти буфера, до фактического окончания его использования (use-after-free). Проблема выявлена в процессе аудита кода OpenSSL проектом OpenBSD и затрагивает все версии OpenSSL (включая 1.0.1g), собранные с опцией SSL_MODE_RELEASE_BUFFERS.
|
|
- Главная ссылка к новости (http://lists.freebsd.org/pipermail/freeb...)
- OpenNews: Отчёт о состоянии развития FreeBSD за первый квартал 2014 года
- OpenNews: Официально объявлено о выходе FreeBSD 10.0
- OpenNews: В обновлениях к FreeBSD 8 и 9 изменено поведение генератора псевдослучайных чисел и исправлены уязвимости
| Тип: Проблемы безопасности | Ключевые слова: freebsd, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
7.80, Sw00p aka Jerom, 01:25, 02/05/2014 [^] [ответить] [смотреть все] | +/– |
спс за развёрнутый конфиг, в принципе у мня точно так же работает без косяков при scrub in all, поэтому я написал "кажись", хотя судя по документации всё иначе
| | |
| 2.8, KT315, 11:03, 30/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
2.10, Sabakwaka, 11:31, 30/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +5 +/–Откуда этот смелый вывод в приложении именно к BSD Команда OpenBSD как раз выяв... весь текст скрыт [ показать] [ показать ветку] |
5.47, arisu, 09:44, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
> Сволочь ваш Тео, при всём уважении.
а не хочет он фряшникам помогать. Тео, конечно, не самый лёгкий в общении человек на свете, но со своей позиции — вполне прав. опять же: про бомбу-то сказал. а дальше — «ищите, вы ж типа крутые такие.»
| | | 5.52, Аноним, 11:28, 01/05/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Бесспорно Но вы знаете, миндальничать с теми кто раздвигает ноги перед акулами ... весь текст скрыт [ показать]
1.5, xrayid, 10:51, 30/04/2014 [ответить] [смотреть все] +/–
Юзанье православного PF приносит свои плоды...
1.6, Аноним, 11:01, 30/04/2014 [ответить] [смотреть все] +/–It is possible to defend to these attacks by doing traffic normalization using a... весь текст скрыт [ показать]
1.11, AlexAT, 11:45, 30/04/2014 [ответить] [смотреть все] +1 +/–
Хорошо, что закрывается фильтром, но очень печально, что самый базовый стек ногами пишется...
2.16, iZEN, 12:50, 30/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] –5 +/–Ой-ли Стек TCP из BSD используется примерно на 95 десктопов и большой части се... весь текст скрыт [ показать] [ показать ветку]
8.44, Аноним, 05:37, 01/05/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Ну нубы и у нас есть А ты уже смазал и почистил свой Калашников ТоварищщщЪ -... весь текст скрыт [ показать] 6.34, iZEN, 17:10, 30/04/2014 [ ^] [ ответить] [ смотреть все] +/–Новшества в Windows Server 2008 стек TCP IP http samag ru archive article 17... весь текст скрыт [ показать]
12.53, Аноним, 11:34, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–Что-то Тео, которому стало душно платить за электричество которое сожрали доисто... весь текст скрыт [ показать] |
13.56, arisu, 11:37, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
глядя на то, что сейчас пытаются сделать с системами на базе пингвинуса, я лично начинаю крепко подумывать о том, что пора менять рабочую ОС. на опёнка.
| | |
|
15.78, arisu, 23:45, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
> Флаг в руки, барабан на шею и электричку навстречу. А я вот
> вижу для себя уйму новых фич которые мне пригодятся и сделают
> мою жизнь лучше.
слушай, где-то я это слышал… сейчас вспомню… а, точно: у любителей системы от m$ и у любителей системы от огрызка.
| | | 15.84, Аноним, 04:07, 02/05/2014 [ ^] [ ответить] [ смотреть все] +/–Ты овца по ходу про сисдемди Раздвигай булки сейчас будут делать тебе лучше... весь текст скрыт [ показать] 13.83, Аноним, 04:05, 02/05/2014 [ ^] [ ответить] [ смотреть все] +/–Завидуешь плесень ... весь текст скрыт [ показать] 8.48, arisu, 09:47, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–
> work was begun on a new version of TCP/IP, written entirely by Microsoft.
что интересно — в исходниках тукана в tcp-стеке наблюдаются копирайты интеля.
5.21, Аноним, 13:31, 30/04/2014 [ ^] [ ответить] [ смотреть все] –1 +/–Так вот почему windows server такой падучий ... весь текст скрыт [ показать] 3.22, Аноним, 13:38, 30/04/2014 [ ^] [ ответить] [ смотреть все] +/–в висте tcpip стек переписали ... весь текст скрыт [ показать] 3.26, metallica, 14:08, 30/04/2014 [ ^] [ ответить] [ смотреть все] +1 +/–Как хоть докажите, а можно только примерами кода, что правы Мне так вот совсем ... весь текст скрыт [ показать] 2.30, Аноним, 15:23, 30/04/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +3 +/–У них все так в последнее время Что не мешает фанам орать про качественный код... весь текст скрыт [ показать] [ показать ветку]
1.23, Анонус, 13:41, 30/04/2014 [ответить] [смотреть все] +/–
о том что в rc.conf по-умолчанию выключили devfs_ruleset уже больше года пишут в maillist и столько же PR. Кошмар, сколько времени проходит от PR до его решения
1.32, Аноним, 15:48, 30/04/2014 [ответить] [смотреть все] +/–
1.42, Аноним, 02:17, 01/05/2014 [ответить] [смотреть все] +/–Вот тебе и эталонная реализация TCP ... весь текст скрыт [ показать]
|
4.57, metallica, 13:02, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
Стек сетевой в линуксе обогнал по внедрённому функционалу в плане поддержки разновидностей
типов пакетов, network congestion, все unix-like ОС.
Но делалось это просто сваливанием всего в одну кучу, при этом никто не думал о
оптимальности или просто аккуратности, но таковые характерны для кода сетевого стека из опенсоляры.
Просто поверхностного взгляда на коды достаточно, чтоб в это убедиться.
| | |
|
6.70, metallica, 17:41, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
> Но, в конечном итоге, оно работает и делает это довольно хорошо.
До поры, на днях поболтал с кернельщиком из одной местной шараги, которая
производит специализированный дистр-файервол на базе дебиана. И он говорил про неоптимальность и жуткую неэффективность стека в линукс, про то как большую часть времени
движения пакета через дебри функций стека он или висит на локах в функциях, или торчит
в очередях. Говорил про то, что умные люди, для целей специализированных сетевых решений,
обязательно пишут свой стек, цепляясь сразу за netif_rx/ops->ndo_start_xmit(skb, dev);
| | |
|
7.71, AlexAT, 18:24, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
> Говорил про то, что умные люди, для целей специализированных сетевых решений,
Ключевое слово: специализированных. Сетевой стек Linux является стеком общего назначения, и, кстати, баланс там соблюден в принципе неплохо - очень многое там можно сделать и правильно, в рамках существующего, просто судя по всему делающим специализированные решения лень разбираться.
Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно забитых локов не так уж и много для начала. Разве что какой-то краевой специализированный случай рассматривать, опять же.
|
| |
|
8.72, metallica, 18:45, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
> там можно сделать и правильно, в рамках существующего, просто судя по
> всему делающим специализированные решения лень разбираться.
Вроде разобрались, надо писать свой, но через начальство такое решение
не пропихнуть, когда и так вроде работает, а узкие места просто маскируют и прикрывают.
> Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно
> забитых локов не так уж и много для начала.
Локи+очередя в совокупности тормозят не плохо.
> какой-то краевой специализированный случай рассматривать, опять же.
Про такой и говорилось, а простые общие решения любой школяр из дебиана сваяет.
| | |
|
10.74, AlexAT, 20:02, 01/05/2014 [^] [ответить] [смотреть все] | +/– |
+1. Иногда проще и дешевле забить на некоторые недостатки существующего, чем писать свой велоси^W стек, с блекджеком и шлюхами.
|
| | 7.76, arisu, 23:34, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–
беда. пойду, скажу, чтобы мне скорости интернетов понизили, а то ядро напрягается.
оно работает? работает. неидеально? пичалечка. только мне байты уже сегодня гонять надо, а не через тридцать лет, когда МегаПрограммисты наконец реализуют свой идеальный МегаСтек.
4.60, Аноним, 15:43, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–не, в смысле ненужности - вы не видели чего у QNX пока творится или на каком э... весь текст скрыт [ показать] Ваш комментарий
Read more |