[опасносте!] Поздравление с Рождеством от FreeBSD Security T

Обсуждение всяких разных новостей.
Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

[опасносте!] Поздравление с Рождеством от FreeBSD Security T

Непрочитанное сообщение f_andrey » 2011-12-24 8:04:58

Раз уж никто не хочет писать и копипастить со всяких опеннетов, то очередная минутка самопиара :)
No, the Grinch didn't steal the FreeBSD security officer GPG key,
and your eyes aren't deceiving you:
We really did just send out 5 security advisories.
-- Colin Percival (FreeBSD Security Officer)
Очень неожиданно, практически на кануне католического Рождества, было выпущено сразу 5-ть исправлений безопасности, что бы разъяснить сложившуюся ситуацию Colin Percival, даже написал отдельное письмо, в список рассылки freebsd-security@.
В письме отмечается, что хоть сейчас и не очень удачное время, обычно бюллетени безопасности стараются выпускать по средам, когда наибольшие число системных администраторов на работе, а так же, не в канун праздников. Но в данное время есть как минимум две серьёзных уязвимости, которые требуют незамедлительной реакции.
Первая, это уязвимость FreeBSD-SA-11:08.telnetd в сервисе telnet, которая позволяет удалённому пользователю получить права root, в том числе замеченно, что данную уязвимость уже используют. Из положительных моментов стоит отметить, то что сервис telnet отключен по умолчанию и большинство пользуются ssh, однако откладывать решение данного вопроса было нельзя.
Второй проблемой является уязвимость FreeBSD-SA-11:07.chroot, ради её исправления пришлось добавить дополнительный интефейс в libc, так что список обновляемых файлов получился внушительным, пользователей freebsd-update, просят обратить на это внимание и не пугаться.
Вот список сообщений безопасности, с краткими пояснениями

FreeBSD-SA-11:10.pam - функция pam_start() не проверяет имя сервиса. Некоторые сторонние приложения, например kcheckpass из KDE, могут передавать имя политики, в командной строке, а OpenPAM трактует его как относительный для директорий /etc/pam.d или /usr/local/etc/pam.d. Из-за этого пользователь, имеющий право запуска таких приложений может выполнить код с root привилегиями.
Базовая система не содержит уязвимых приложений, рекомендации по проверке сторонних приложений приведены в SA.
FreeBSD-SA-11:09.pam_ssh - модуль pam_ssh неправильно предоставляет доступ, если пользователь имеет приватные ключи без пароля.
В базовой система данный модуль не включен по умолчанию, не в одной из политик, если модуль pam_ssh включен, то злоумышленник может получить доступ к учётным записям имеющим приватные ssh ключи без парольной фразы.
FreeBSD-SA-11:08.telnetd - уязвимость в коде telnetd, ключи шифрования не проверяются при передачи и может вызвать переполнение буфера, который имеет фиксированный размер.
Так как демон telnetd, по умолчанию, не запущен, то уязвимы только системы с принудительно запущенным сервисом. Сервис часто запускается не на прямую, а через inetd, следовательно не будет виден в списке процессов, рекомендации по проверке и устранению уязвимости приведены в CA.
FreeBSD-SA-11:07.chroot -выполнение произвольного коде если сервис ftpd запущен в chroot.
Более подробно данная проблему уже обсуждалась в листе рассылке.
FreeBSD-SA-11:06.bind - удалённый взломщик может вызвать отказ в обслуживании (DoS) сервиса bind, неверно сформированным запросом, входящего в комплект поставки FreeBSD. Для проведения атаки злоумышленнику не обязательно иметь доступ к DNS серверу жертве, достаточно например послать специальную ссылку, и к серверу обратится любая система или даже автоматически сервис проверки спама.
http://bsdnir.blogspot.com/2011/12/free ... -team.html
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение Alex Keda » 2011-12-24 10:35:33

клёво =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение f_andrey » 2011-12-25 3:30:05

Для любителей NetBSD и telnetd ходить сюда http://mail-index.netbsd.org/source-cha ... 29928.html у себя новость тоже подновил :)

UPD: для OpenBSD https://twitter.com/pitrh/status/151044607126409216
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение hizel » 2011-12-26 10:33:25

в OpenBSD удалили telnetd в 2005 году, молодцы
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение f_andrey » 2011-12-26 10:43:36

Ну фик знает, вон находится народ которые его до сих пор применяет, хотя они скорее правы.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308


Аватара пользователя
iZEN
ст. лейтенант
Сообщения: 1095
Зарегистрирован: 2007-09-15 16:45:26
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение iZEN » 2011-12-26 13:34:36

Рабочий конфиг без telnet, sendmail и bind, и остального барахла:

Код: Выделить всё

> cat /etc/src.conf
WITHOUT_AMD=true
WITHOUT_ASSERT_DEBUG=true
WITHOUT_ATM=true
WITHOUT_BIND_DNSSEC=true
WITHOUT_BIND_ETC=true
WITHOUT_BIND_LIBS_LWRES=true
WITHOUT_BIND_MTREE=true
WITHOUT_BIND_NAMED=true
WITHOUT_FLOPPY=true
WITHOUT_FREEBSD_UPDATE=true
WITHOUT_GAMES=true
WITHOUT_GDB=true
WITHOUT_HTML=true
WITH_IDEA=true
WITHOUT_IPFILTER=true
WITHOUT_IPFW=true
WITHOUT_IPX=true
WITHOUT_IPX_SUPPORT=true
WITHOUT_LIB32=true
WITHOUT_LPR=true
WITHOUT_NDIS=true
WITHOUT_NETGRAPH=true
WITHOUT_NETGRAPH_SUPPORT=true
WITHOUT_PROFILE=true
WITHOUT_RCS=true
WITHOUT_SENDMAIL=true
WITHOUT_SYSINSTALL=true
WITHOUT_TELNET=true
WITHOUT_WIRELESS=true
WITHOUT_WIRELESS_SUPPORT=true
WITHOUT_WPA_SUPPLICANT_EAPOL=true
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение manefesto » 2011-12-26 14:24:22

у меня в своё время был больше.
единственное насторожило
WITHOUT_LIB32=true
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Neus
капитан
Сообщения: 1977
Зарегистрирован: 2008-09-08 21:59:56

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение Neus » 2011-12-26 15:23:44

видимо не пользует 32 битный софт..

Аватара пользователя
QweЯty
лейтенант
Сообщения: 796
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение QweЯty » 2012-01-01 20:12:17

iZEN писал(а):Рабочий конфиг без telnet, sendmail и bind, и остального барахла:

Код: Выделить всё

> cat /etc/src.conf
WITHOUT_AMD=true
WITHOUT_ASSERT_DEBUG=true
WITHOUT_ATM=true
WITHOUT_BIND_DNSSEC=true
WITHOUT_BIND_ETC=true
WITHOUT_BIND_LIBS_LWRES=true
WITHOUT_BIND_MTREE=true
WITHOUT_BIND_NAMED=true
WITHOUT_FLOPPY=true
WITHOUT_FREEBSD_UPDATE=true
WITHOUT_GAMES=true
WITHOUT_GDB=true
WITHOUT_HTML=true
WITH_IDEA=true
WITHOUT_IPFILTER=true
WITHOUT_IPFW=true
WITHOUT_IPX=true
WITHOUT_IPX_SUPPORT=true
WITHOUT_LIB32=true
WITHOUT_LPR=true
WITHOUT_NDIS=true
WITHOUT_NETGRAPH=true
WITHOUT_NETGRAPH_SUPPORT=true
WITHOUT_PROFILE=true
WITHOUT_RCS=true
WITHOUT_SENDMAIL=true
WITHOUT_SYSINSTALL=true
WITHOUT_TELNET=true
WITHOUT_WIRELESS=true
WITHOUT_WIRELESS_SUPPORT=true
WITHOUT_WPA_SUPPLICANT_EAPOL=true

это файло в котором список того что не будет компилиться и входить в ядро при ее компиляции, отличной от GENERIC?
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [опасносте!] Поздравление с Рождеством от FreeBSD Securi

Непрочитанное сообщение Alex Keda » 2012-01-01 20:13:43

Убей их всех! Бог потом рассортирует...