http://bsdnir.blogspot.com/2011/12/free ... -team.htmlNo, the Grinch didn't steal the FreeBSD security officer GPG key,
and your eyes aren't deceiving you:
We really did just send out 5 security advisories.
-- Colin Percival (FreeBSD Security Officer)
Очень неожиданно, практически на кануне католического Рождества, было выпущено сразу 5-ть исправлений безопасности, что бы разъяснить сложившуюся ситуацию Colin Percival, даже написал отдельное письмо, в список рассылки freebsd-security@.
В письме отмечается, что хоть сейчас и не очень удачное время, обычно бюллетени безопасности стараются выпускать по средам, когда наибольшие число системных администраторов на работе, а так же, не в канун праздников. Но в данное время есть как минимум две серьёзных уязвимости, которые требуют незамедлительной реакции.
Первая, это уязвимость FreeBSD-SA-11:08.telnetd в сервисе telnet, которая позволяет удалённому пользователю получить права root, в том числе замеченно, что данную уязвимость уже используют. Из положительных моментов стоит отметить, то что сервис telnet отключен по умолчанию и большинство пользуются ssh, однако откладывать решение данного вопроса было нельзя.
Второй проблемой является уязвимость FreeBSD-SA-11:07.chroot, ради её исправления пришлось добавить дополнительный интефейс в libc, так что список обновляемых файлов получился внушительным, пользователей freebsd-update, просят обратить на это внимание и не пугаться.
Вот список сообщений безопасности, с краткими пояснениями
FreeBSD-SA-11:10.pam - функция pam_start() не проверяет имя сервиса. Некоторые сторонние приложения, например kcheckpass из KDE, могут передавать имя политики, в командной строке, а OpenPAM трактует его как относительный для директорий /etc/pam.d или /usr/local/etc/pam.d. Из-за этого пользователь, имеющий право запуска таких приложений может выполнить код с root привилегиями.
Базовая система не содержит уязвимых приложений, рекомендации по проверке сторонних приложений приведены в SA.
FreeBSD-SA-11:09.pam_ssh - модуль pam_ssh неправильно предоставляет доступ, если пользователь имеет приватные ключи без пароля.
В базовой система данный модуль не включен по умолчанию, не в одной из политик, если модуль pam_ssh включен, то злоумышленник может получить доступ к учётным записям имеющим приватные ssh ключи без парольной фразы.
FreeBSD-SA-11:08.telnetd - уязвимость в коде telnetd, ключи шифрования не проверяются при передачи и может вызвать переполнение буфера, который имеет фиксированный размер.
Так как демон telnetd, по умолчанию, не запущен, то уязвимы только системы с принудительно запущенным сервисом. Сервис часто запускается не на прямую, а через inetd, следовательно не будет виден в списке процессов, рекомендации по проверке и устранению уязвимости приведены в CA.
FreeBSD-SA-11:07.chroot -выполнение произвольного коде если сервис ftpd запущен в chroot.
Более подробно данная проблему уже обсуждалась в листе рассылке.
FreeBSD-SA-11:06.bind - удалённый взломщик может вызвать отказ в обслуживании (DoS) сервиса bind, неверно сформированным запросом, входящего в комплект поставки FreeBSD. Для проведения атаки злоумышленнику не обязательно иметь доступ к DNS серверу жертве, достаточно например послать специальную ссылку, и к серверу обратится любая система или даже автоматически сервис проверки спама.
[опасносте!] Поздравление с Рождеством от FreeBSD Security T
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
[опасносте!] Поздравление с Рождеством от FreeBSD Security T
Раз уж никто не хочет писать и копипастить со всяких опеннетов, то очередная минутка самопиара
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
клёво
Убей их всех! Бог потом рассортирует...
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
Для любителей NetBSD и telnetd ходить сюда http://mail-index.netbsd.org/source-cha ... 29928.html у себя новость тоже подновил
UPD: для OpenBSD https://twitter.com/pitrh/status/151044607126409216
UPD: для OpenBSD https://twitter.com/pitrh/status/151044607126409216
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
в OpenBSD удалили telnetd в 2005 году, молодцы
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
Ну фик знает, вон находится народ которые его до сих пор применяет, хотя они скорее правы.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
- f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
Говорят багу больше 20 лет
http://thexploit.com/secdev/a-textbook- ... netd-code/
http://thexploit.com/secdev/a-textbook- ... netd-code/
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
- iZEN
- ст. лейтенант
- Сообщения: 1095
- Зарегистрирован: 2007-09-15 16:45:26
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
Рабочий конфиг без telnet, sendmail и bind, и остального барахла:
Код: Выделить всё
> cat /etc/src.conf
WITHOUT_AMD=true
WITHOUT_ASSERT_DEBUG=true
WITHOUT_ATM=true
WITHOUT_BIND_DNSSEC=true
WITHOUT_BIND_ETC=true
WITHOUT_BIND_LIBS_LWRES=true
WITHOUT_BIND_MTREE=true
WITHOUT_BIND_NAMED=true
WITHOUT_FLOPPY=true
WITHOUT_FREEBSD_UPDATE=true
WITHOUT_GAMES=true
WITHOUT_GDB=true
WITHOUT_HTML=true
WITH_IDEA=true
WITHOUT_IPFILTER=true
WITHOUT_IPFW=true
WITHOUT_IPX=true
WITHOUT_IPX_SUPPORT=true
WITHOUT_LIB32=true
WITHOUT_LPR=true
WITHOUT_NDIS=true
WITHOUT_NETGRAPH=true
WITHOUT_NETGRAPH_SUPPORT=true
WITHOUT_PROFILE=true
WITHOUT_RCS=true
WITHOUT_SENDMAIL=true
WITHOUT_SYSINSTALL=true
WITHOUT_TELNET=true
WITHOUT_WIRELESS=true
WITHOUT_WIRELESS_SUPPORT=true
WITHOUT_WPA_SUPPLICANT_EAPOL=true
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
у меня в своё время был больше.
единственное насторожило
единственное насторожило
WITHOUT_LIB32=true
- Neus
- капитан
- Сообщения: 1980
- Зарегистрирован: 2008-09-08 21:59:56
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
видимо не пользует 32 битный софт..
- QweЯty
- лейтенант
- Сообщения: 796
- Зарегистрирован: 2010-10-12 0:15:15
- Откуда: Таганрог, Калининград
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
iZEN писал(а):Рабочий конфиг без telnet, sendmail и bind, и остального барахла:Код: Выделить всё
> cat /etc/src.conf WITHOUT_AMD=true WITHOUT_ASSERT_DEBUG=true WITHOUT_ATM=true WITHOUT_BIND_DNSSEC=true WITHOUT_BIND_ETC=true WITHOUT_BIND_LIBS_LWRES=true WITHOUT_BIND_MTREE=true WITHOUT_BIND_NAMED=true WITHOUT_FLOPPY=true WITHOUT_FREEBSD_UPDATE=true WITHOUT_GAMES=true WITHOUT_GDB=true WITHOUT_HTML=true WITH_IDEA=true WITHOUT_IPFILTER=true WITHOUT_IPFW=true WITHOUT_IPX=true WITHOUT_IPX_SUPPORT=true WITHOUT_LIB32=true WITHOUT_LPR=true WITHOUT_NDIS=true WITHOUT_NETGRAPH=true WITHOUT_NETGRAPH_SUPPORT=true WITHOUT_PROFILE=true WITHOUT_RCS=true WITHOUT_SENDMAIL=true WITHOUT_SYSINSTALL=true WITHOUT_TELNET=true WITHOUT_WIRELESS=true WITHOUT_WIRELESS_SUPPORT=true WITHOUT_WPA_SUPPLICANT_EAPOL=true
это файло в котором список того что не будет компилиться и входить в ядро при ее компиляции, отличной от GENERIC?
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi
Убей их всех! Бог потом рассортирует...