top
logo


В TCP-стеке FreeBSD выявлена опасная уязвимость PDF Печать E-mail
Автор: adm   
30.04.14 07:35

В TCP-стеке всех поддерживаемых веток FreeBSD выявлена опасная уязвимость (CVE-2014-3000), позволяющая инициировать крах ядра через отправку специально оформленного набора TCP-пакетов в рамках установленного сетевого соединения. Так как в результате уязвимости часть памяти стека может быть переписана данными из других нитей ядра, не исключается вариант эксплуатации уязвимости, при котором злоумышленник может получить доступ к областям памяти ядра, которые потенциально могут содержать конфиденциальные данные, такие как параметры входа. При этом проведение подобной атаки отмечается как слишком трудоёмкий процесс, требующий тщательной организации атаки с учётом особенностей целевой системы.

Уязвимость вызвана ошибкой в коде помещения пакетов в очередь сборки (reassembly queue). В ситуации когда в рамках TCP-соединения пакеты приходят с нарушением цепочки следования порядковых номеров, сегменты помещаются в очередь сборки и ожидают появления пакетов с недостающими номерами. Из-за ошибки, очередной сегмент данных может быть добавлен в стек при достижении лимита на максимальный размер очереди, что приводит к неопределённому состоянию памяти стека после возврата из функции помещения пакета в очередь.

Проблема исправлена в выпусках 8.4-STABLE, 8.4-RELEASE-p9, 8.3-RELEASE-p16, 9.2-STABLE, 9.2-RELEASE-p5, 9.1-RELEASE-p12, 10.0-STABLE и 10.0-RELEASE-p2. В качестве обходного пути для защиты от уязвимости при помощи пакетного фильтра pf может быть включен режим нормализации входящих пакетов (правило "scrub in all").

Дополнительно отмечается устранение ещё двух уязвимостей, которые проявляются только в ветке FreeBSD 10.0:

  • Проблема (CVE-2014-3001) с загрузкой правил ограничения доступа к devfs для jail-окружений. Так как правила devfs не активировались при загрузке, присутствовала возможность создания узлов devfs из jail-окружений с системными правами доступа, без применения ограничений и скрытия узлов для изолированных окружений. Таким образом запущенный в jail-окружении процесс мог получить доступ к закрытым ресурсам хост-системы, в том числе ко всем имеющимся устройствам, что позволяло атакующему повысить свои привилегии или организовать утечку информации.
  • Во входящем в состав базовой системы пакете OpenSSL устранена уязвимость (CVE-2010-5298), позволяющая атакующему осуществить подстановку данных в буфер, используемый в другом SSL-соединении, установленном в рамках того же многопоточного приложения. Проблема вызвана инициированием освобождения памяти буфера, до фактического окончания его использования (use-after-free). Проблема выявлена в процессе аудита кода OpenSSL проектом OpenBSD и затрагивает все версии OpenSSL (включая 1.0.1g), собранные с опцией SSL_MODE_RELEASE_BUFFERS.
  1. Главная ссылка к новости (http://lists.freebsd.org/pipermail/freeb...)
  2. OpenNews: Отчёт о состоянии развития FreeBSD за первый квартал 2014 года
  3. OpenNews: Официально объявлено о выходе FreeBSD 10.0
  4. OpenNews: В обновлениях к FreeBSD 8 и 9 изменено поведение генератора псевдослучайных чисел и исправлены уязвимости
Тип: Проблемы безопасности
Ключевые слова: freebsd, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 10:40, 30/04/2014 [ответить] [смотреть все] –8 +/
Вау Хана бсдельным серверам И свой heartbleed, с чертиками и снобами ... весь текст скрыт [показать]
 
    3.19, Sw00p aka Jerom, 13:27, 30/04/2014 [^] [ответить] [смотреть все]  +/
NFS кажись с ним не дружит, ставлю только на внешний интерфейс... весь текст скрыт [показать]
 
  4.33, iZEN, 16:52, 30/04/2014 [^] [ответить] [смотреть все]  –2 +/
 
  5.58, Sw00p aka Jerom, 14:31, 01/05/2014 [^] [ответить] [смотреть все]  +/
One reason not to scrub on an interface is if one is passing NFS through PF.
http://www.openbsd.gr/faq/pf/scrub.html
 
  6.62, iZEN, 16:19, 01/05/2014 [^] [ответить] [смотреть все]  +/
cat etc pf conf 1 Macros Сетевой интерфейс ext_if net0 Разрешенные тип... весь текст скрыт [показать]
image
 
  7.80, Sw00p aka Jerom, 01:25, 02/05/2014 [^] [ответить] [смотреть все]  +/
спс за развёрнутый конфиг, в принципе у мня точно так же работает без косяков при scrub in all, поэтому я написал "кажись", хотя судя по документации всё иначе
 
2.8, KT315, 11:03, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  +/image  
  3.31, Аноним, 15:39, 30/04/2014 [^] [ответить] [смотреть все]  +/
Да, кому не лениво - проверьте, запатчился ли опеннет ... весь текст скрыт [показать]
 
2.10, Sabakwaka, 11:31, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  +5 +/
Откуда этот смелый вывод в приложении именно к BSD Команда OpenBSD как раз выяв... весь текст скрыт [показать] [показать ветку]
 
  3.29, Аноним, 15:22, 30/04/2014 [^] [ответить] [смотреть все]  +/
А еще Тео сказал что в openssh под фряхой есть дыра Но какая - он не скажет Та... весь текст скрыт [показать]
 
  4.46, Аноним, 07:41, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
Сволочь ваш Тео, при всём уважении У соседа в доме спрятана бомба, но где имен... весь текст скрыт [показать]
 
  5.47, arisu, 09:44, 01/05/2014 [^] [ответить] [смотреть все]  +/
> Сволочь ваш Тео, при всём уважении.

а не хочет он фряшникам помогать. Тео, конечно, не самый лёгкий в общении человек на свете, но со своей позиции — вполне прав. опять же: про бомбу-то сказал. а дальше — «ищите, вы ж типа крутые такие.»

 
5.52, Аноним, 11:28, 01/05/2014 [^] [ответить] [смотреть все]  –1 +/
Бесспорно Но вы знаете, миндальничать с теми кто раздвигает ноги перед акулами ... весь текст скрыт [показать]
 
  6.55, arisu, 11:36, 01/05/2014 [^] [ответить] [смотреть все]  +/
вообще-то у Тео совсем по другим поводам разногласия были — из-за чего он и ушёл форк пилить.
 
  7.63, Аноним, 16:38, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
Да я про текущее состояние дел У него судя по всему некий батхерт от того что е... весь текст скрыт [показать]
 
  8.79, arisu, 23:54, 01/05/2014 [^] [ответить] [смотреть все]  +/
пардон, ты чушь пишешь. не пиши её больше, пожалуйста.
 
1.5, xrayid, 10:51, 30/04/2014 [ответить] [смотреть все]  +/ Юзанье православного PF приносит свои плоды...
 
  2.9, Аноним, 11:18, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
 
  3.15, Аноним, 12:46, 30/04/2014 [^] [ответить] [смотреть все]  –1 +/
в pf нормализовать только, остальное отдать ipfw - в чем проблема они вместе др... весь текст скрыт [показать]
 
  4.43, Аноним, 05:20, 01/05/2014 [^] [ответить] [смотреть все]  –1 +/
Наш человек упорно пилит много ядерный поточный pf - npf По слухам - весьма усп... весь текст скрыт [показать]
 
  5.64, Аноним, 16:38, 01/05/2014 [^] [ответить] [смотреть все]  +/
 
  6.82, Аноним, 04:03, 02/05/2014 [^] [ответить] [смотреть все]  +/
Он про это http en wikipedia org wiki NPF_ 28firewall 29 Мне тоже кто-то из к... весь текст скрыт [показать]
 
1.6, Аноним, 11:01, 30/04/2014 [ответить] [смотреть все]  +/
It is possible to defend to these attacks by doing traffic normalization using a... весь текст скрыт [показать]
  1.11, AlexAT, 11:45, 30/04/2014 [ответить] [смотреть все]  +1 +/ Хорошо, что закрывается фильтром, но очень печально, что самый базовый стек ногами пишется...
В TCP-стеке FreeBSD выявлена опасная уязвимость  
  2.12, Sabakwaka, 11:52, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
 
2.16, iZEN, 12:50, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  –5 +/
Ой-ли Стек TCP из BSD используется примерно на 95 десктопов и большой части се... весь текст скрыт [показать] [показать ветку]
image  
  3.17, Добрый Дохтур, 13:16, 30/04/2014 [^] [ответить] [смотреть все]  +2 +/
это на каких таких десктопах и насколько большой части серверов 5 ... весь текст скрыт [показать]
 
  4.18, iZEN, 13:25, 30/04/2014 [^] [ответить] [смотреть все]  –3 +/
В TCP-стеке FreeBSD выявлена опасная уязвимость
 
  5.20, Добрый Дохтур, 13:31, 30/04/2014 [^] [ответить] [смотреть все]  +4 +/
В windows не бсдшный стек ... весь текст скрыт [показать]
 
  6.25, Аноним, 14:02, 30/04/2014 [^] [ответить] [смотреть все]  +5 +/
Если быть точным, был до NT 6 x В Linux тоже изначально был взято BSD-шный, но ... весь текст скрыт [показать]
 
  7.27, Andrey Mitrofanov, 14:16, 30/04/2014 [^] [ответить] [смотреть все]  +2 +/
Анониму opennet безусловно виднее, чем бывшему программеру из ms http www tl... весь текст скрыт [показать]
 
  8.38, Аноним, 19:57, 30/04/2014 [^] [ответить] [смотреть все]  +/
А что такое БДТ ... весь текст скрыт [показать]
 
  9.41, Аноним, 22:06, 30/04/2014 [^] [ответить] [смотреть все]  +/
 
  10.66, Аноним, 16:44, 01/05/2014 [^] [ответить] [смотреть все]  +/
А, по бороздят просторы мог бы и догадаться ... весь текст скрыт [показать]
 
8.44, Аноним, 05:37, 01/05/2014 [^] [ответить] [смотреть все]  –1 +/
Ну нубы и у нас есть А ты уже смазал и почистил свой Калашников ТоварищщщЪ -... весь текст скрыт [показать]
 6.34, iZEN, 17:10, 30/04/2014 [^] [ответить] [смотреть все]  +/
Новшества в Windows Server 2008 стек TCP IP http samag ru archive article 17... весь текст скрыт [показать]
image  
  7.36, Andrey Mitrofanov, 17:31, 30/04/2014 [^] [ответить] [смотреть все]  +1 +/
http www kuro5hin org story 2001 6 19 05641 7357 I I worked at Microsoft fo... весь текст скрыт [показать]
 
  8.39, Аноним, 20:07, 30/04/2014 [^] [ответить] [смотреть все]  +2 +/
Ну вот так MS срубил несколько миллиардов, а бздюки остались с голой попой, впло... весь текст скрыт [показать]
 
  9.40, iZEN, 22:01, 30/04/2014 [^] [ответить] [смотреть все]  +/
Скорее 8212 ценностные ориентиры У капиталистически-настроенных личностей це... весь текст скрыт [показать]
В TCP-стеке FreeBSD выявлена опасная уязвимость
 
  10.45, Аноним, 06:04, 01/05/2014 [^] [ответить] [смотреть все]  +/
Если некто Истинный Хакер, ему абсолютно нет резона заботиться о благе корпораст... весь текст скрыт [показать]
 
    12.51, Туту, 11:15, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
Как раз нет. У вас школьное понятие этого слова
 
12.53, Аноним, 11:34, 01/05/2014 [^] [ответить] [смотреть все]  +/
Что-то Тео, которому стало душно платить за электричество которое сожрали доисто... весь текст скрыт [показать]
 
  13.56, arisu, 11:37, 01/05/2014 [^] [ответить] [смотреть все]  +/
глядя на то, что сейчас пытаются сделать с системами на базе пингвинуса, я лично начинаю крепко подумывать о том, что пора менять рабочую ОС. на опёнка.
 
  14.65, Аноним, 16:42, 01/05/2014 [^] [ответить] [смотреть все]  +/
Флаг в руки, барабан на шею и электричку навстречу А я вот вижу для себя уйму н... весь текст скрыт [показать]
 
  15.78, arisu, 23:45, 01/05/2014 [^] [ответить] [смотреть все]  +/
> Флаг в руки, барабан на шею и электричку навстречу. А я вот
> вижу для себя уйму новых фич которые мне пригодятся и сделают
> мою жизнь лучше.

слушай, где-то я это слышал… сейчас вспомню… а, точно: у любителей системы от m$ и у любителей системы от огрызка.

 
15.84, Аноним, 04:07, 02/05/2014 [^] [ответить] [смотреть все]  +/
Ты овца по ходу про сисдемди Раздвигай булки сейчас будут делать тебе лучше... весь текст скрыт [показать]
 13.83, Аноним, 04:05, 02/05/2014 [^] [ответить] [смотреть все]  +/
Завидуешь плесень ... весь текст скрыт [показать]
 8.48, arisu, 09:47, 01/05/2014 [^] [ответить] [смотреть все]  +/ > work was begun on a new version of TCP/IP, written entirely by Microsoft.

что интересно — в исходниках тукана в tcp-стеке наблюдаются копирайты интеля.

 
  9.59, Аноним, 15:41, 01/05/2014 [^] [ответить] [смотреть все]  +/
который, внезапно, тоже его не сам изобрел как и компилятор, неожиданно и кр... весь текст скрыт [показать]
 
  10.75, arisu, 23:26, 01/05/2014 [^] [ответить] [смотреть все]  +/
ты чего сказать-то хотел? я понимаю, первомай, формулировать тяжело. но ты уж постарайся.
 
5.21, Аноним, 13:31, 30/04/2014 [^] [ответить] [смотреть все]  –1 +/
Так вот почему windows server такой падучий ... весь текст скрыт [показать]
 
  6.37, rshadow, 18:23, 30/04/2014 [^] [ответить] [смотреть все]  +/
Стек взяли, а pf забыли ... весь текст скрыт [показать]
image
 
  7.61, Аноним, 16:08, 01/05/2014 [^] [ответить] [смотреть все]  +/
АпплЕ - менее разобрчивы - там и от фряхи и от Обзд и от стрекозы и от линукс и ... весь текст скрыт [показать]
 
  8.67, Аноним, 16:49, 01/05/2014 [^] [ответить] [смотреть все]  +/
Linux это врядли - они жадные, GPLя боятся как черт ладана ... весь текст скрыт [показать]
 
3.22, Аноним, 13:38, 30/04/2014 [^] [ответить] [смотреть все]  +/
в висте tcpip стек переписали ... весь текст скрыт [показать]
 
  4.28, Аноним, 14:26, 30/04/2014 [^] [ответить] [смотреть все]  +/
 
3.26, metallica, 14:08, 30/04/2014 [^] [ответить] [смотреть все]  +1 +/
Как хоть докажите, а можно только примерами кода, что правы Мне так вот совсем ... весь текст скрыт [показать]
 2.30, Аноним, 15:23, 30/04/2014 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
У них все так в последнее время Что не мешает фанам орать про качественный код... весь текст скрыт [показать] [показать ветку]
 
1.23, Анонус, 13:41, 30/04/2014 [ответить] [смотреть все]  +/ о том что в rc.conf по-умолчанию выключили devfs_ruleset уже больше года пишут в maillist и столько же PR. Кошмар, сколько времени проходит от PR до его решения
  1.32, Аноним, 15:48, 30/04/2014 [ответить] [смотреть все]  +/  1.42, Аноним, 02:17, 01/05/2014 [ответить] [смотреть все]  +/
Вот тебе и эталонная реализация TCP ... весь текст скрыт [показать]
 
  2.49, Аноним, 10:00, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/
 
  3.54, Аноним, 11:36, 01/05/2014 [^] [ответить] [смотреть все]  +/
Это в смысле ненyжности чтоли ... весь текст скрыт [показать]
 
  4.57, metallica, 13:02, 01/05/2014 [^] [ответить] [смотреть все]  +/
Стек сетевой в линуксе обогнал по внедрённому функционалу в плане поддержки разновидностей
типов пакетов, network congestion, все unix-like ОС.
Но делалось это просто сваливанием всего в одну кучу, при этом никто не думал о
оптимальности или просто аккуратности, но таковые характерны для кода сетевого стека из опенсоляры.
Просто поверхностного взгляда на коды достаточно, чтоб в это убедиться.
 
  5.68, Аноним, 16:51, 01/05/2014 [^] [ответить] [смотреть все]  +/
Но, в конечном итоге, оно работает и делает это довольно хорошо Код - не экспон... весь текст скрыт [показать]
 
  6.70, metallica, 17:41, 01/05/2014 [^] [ответить] [смотреть все]  +/
> Но, в конечном итоге, оно работает и делает это довольно хорошо.

До поры, на днях поболтал с кернельщиком из одной местной шараги, которая
производит специализированный дистр-файервол на базе дебиана. И он говорил про неоптимальность и жуткую неэффективность стека в линукс, про то как большую часть времени
движения пакета через дебри функций стека он или висит на локах в функциях, или торчит
в очередях. Говорил про то, что умные люди, для целей специализированных сетевых решений,
обязательно пишут свой стек, цепляясь  сразу за netif_rx/ops->ndo_start_xmit(skb, dev);

 
  7.71, AlexAT, 18:24, 01/05/2014 [^] [ответить] [смотреть все]  +/
> Говорил про то, что умные люди, для целей специализированных сетевых решений,

Ключевое слово: специализированных. Сетевой стек Linux является стеком общего назначения, и, кстати, баланс там соблюден в принципе неплохо - очень многое там можно сделать и правильно, в рамках существующего, просто судя по всему делающим специализированные решения лень разбираться.

Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно забитых локов не так уж и много для начала. Разве что какой-то краевой специализированный случай рассматривать, опять же.

image
 
  8.72, metallica, 18:45, 01/05/2014 [^] [ответить] [смотреть все]  +/
> там можно сделать и правильно, в рамках существующего, просто судя по
> всему делающим специализированные решения лень разбираться.

Вроде разобрались, надо писать свой, но через начальство такое решение
не пропихнуть, когда и так вроде работает, а узкие места просто маскируют и прикрывают.

> Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно
> забитых локов не так уж и много для начала.

Локи+очередя в совокупности тормозят не плохо.

> какой-то краевой специализированный случай рассматривать, опять же.

Про такой и говорилось, а простые общие решения любой школяр из дебиана сваяет.

 
  9.73, Аноним, 20:00, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
И это правильно, ибо дай эстетам-чистоплюям волю и они 20 лет будут наводить мар... весь текст скрыт [показать]
 
  10.74, AlexAT, 20:02, 01/05/2014 [^] [ответить] [смотреть все]  +/
+1. Иногда проще и дешевле забить на некоторые недостатки существующего, чем писать свой велоси^W стек, с блекджеком и шлюхами.
image
 
7.76, arisu, 23:34, 01/05/2014 [^] [ответить] [смотреть все]  +/ беда. пойду, скажу, чтобы мне скорости интернетов понизили, а то ядро напрягается.

оно работает? работает. неидеально? пичалечка. только мне байты уже сегодня гонять надо, а не через тридцать лет, когда МегаПрограммисты наконец реализуют свой идеальный МегаСтек.

 4.60, Аноним, 15:43, 01/05/2014 [^] [ответить] [смотреть все]  +/
не, в смысле ненужности - вы не видели чего у QNX пока творится или на каком э... весь текст скрыт [показать]
 
  5.69, Аноним, 17:02, 01/05/2014 [^] [ответить] [смотреть все]  +/
Мне пофиг что в QNX творится А зачем мне полудохлое микроядро от дышащего на ла... весь текст скрыт [показать]
 

Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39674

 
Интересная статья? Поделись ей с другими:

Детские песни

    изображение - детские песни онлайн слушать и скачать минусовки

Детские песенки
онлайн скачать минус

Как собрать кубик?

изображение - как собрать кубик Рбика
Как собрать
кубик Рубика?


bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика