forum.lissyara.su

Добавлено: **2015-10-08 0:03:40**

Решил я тут после обновления с 10.0 на 10.2 обновить установленный софт, запустил pkg audit -F

# pkg audit -F
pkg: vulnxml file up-to-date
apache24-2.4.10_2 is vulnerable:
apache24 -- several vulnerabilities
CVE: CVE-2013-5704
CVE: CVE-2014-8109
CVE: CVE-2014-3581
CVE: CVE-2014-3583
WWW: http://portaudit.FreeBSD.org/5804b9d4-a959-11e4-9363-20cf30e32f6d.html

apache24-2.4.10_2 is vulnerable:
apache24 -- multiple vulnerabilities
CVE: CVE-2015-0228
CVE: CVE-2015-0253
CVE: CVE-2015-3185
CVE: CVE-2015-3183
WWW: http://portaudit.FreeBSD.org/a12494c1-2af4-11e5-86ff-14dae9d210b8.html

bittorrent-libutp-0.20130514 is vulnerable:
libutp -- remote denial of service or arbitrary code execution
CVE: CVE-2012-6129
WWW: http://portaudit.FreeBSD.org/0523fb7e-8444-4e86-812d-8de05f6f0dce.html

clamav-0.98.4_2 is vulnerable:
clamav -- multiple vulnerabilities
CVE: CVE-2015-2668
CVE: CVE-2015-2305
CVE: CVE-2015-2222
CVE: CVE-2015-2221
CVE: CVE-2015-2170
WWW: http://portaudit.FreeBSD.org/3d0428b2-fdfb-11e4-894f-d050996490d0.html

curl-7.38.0_2 is vulnerable:
cURL -- multiple vulnerabilities
CVE: CVE-2014-3148
CVE: CVE-2014-3145
CVE: CVE-2014-3144
CVE: CVE-2014-3143
WWW: http://portaudit.FreeBSD.org/6294f75f-03f2-11e5-aab1-d050996490d0.html

curl-7.38.0_2 is vulnerable:
cURL -- sensitive HTTP server headers also sent to proxies
CVE: CVE-2015-3153
WWW: http://portaudit.FreeBSD.org/27f742f6-03f4-11e5-aab1-d050996490d0.html

curl-7.38.0_2 is vulnerable:
cURL -- URL request injection vulnerability
CVE: CVE-2014-8150
WWW: http://portaudit.FreeBSD.org/caa98ffd-0a92-40d0-b234-fd79b429157e.html

freetype2-2.5.3_2 is vulnerable:
freetype -- Out of bounds stack-based read/write
CVE: CVE-2014-2240
WWW: http://portaudit.FreeBSD.org/567beb1e-7e0a-11e4-b9cc-bcaec565249c.html

libevent2-2.0.21_3 is vulnerable:
libevent -- integer overflow in evbuffers
CVE: CVE-2014-6272
WWW: http://portaudit.FreeBSD.org/daa8a49b-99b9-11e4-8f66-3085a9a4510d.html

libssh2-1.4.3_4,2 is vulnerable:
libssh2 -- denial of service vulnerability
CVE: CVE-2015-1782
WWW: http://portaudit.FreeBSD.org/9770d6ac-614d-11e5-b379-14dae9d210b8.html

libxml2-2.9.2_1 is vulnerable:
libxml2 -- Enforce the reader to run in constant memory
CVE: CVE-2015-1819
WWW: http://portaudit.FreeBSD.org/9c7177ff-1fe1-11e5-9a01-bcaec565249c.html

libzip-0.11.2_1 is vulnerable:
libzip -- integer overflow
CVE: CVE-2015-2331
WWW: http://portaudit.FreeBSD.org/264749ae-d565-11e4-b545-00269ee29e57.html

net-snmp-5.7.2_16 is vulnerable:
net-snmp -- snmptrapd crash
CVE: CVE-2014-3565
WWW: http://portaudit.FreeBSD.org/4622635f-37a1-11e5-9970-14dae9d210b8.html

net-snmp-5.7.2_16 is vulnerable:
net-snmp -- snmp_pdu_parse() function incomplete initialization
CVE: CVE-2015-5621
WWW: http://portaudit.FreeBSD.org/381183e8-3798-11e5-9970-14dae9d210b8.html

openssl-1.0.1_16 is vulnerable:
openssl -- multiple vulnerabilities
CVE: CVE-2015-1792
CVE: CVE-2015-1791
CVE: CVE-2015-1790
CVE: CVE-2015-1789
CVE: CVE-2015-1788
CVE: CVE-2014-8176
WWW: http://portaudit.FreeBSD.org/8305e215-1080-11e5-8ba2-000c2980a9f3.html

openssl-1.0.1_16 is vulnerable:
OpenSSL -- multiple vulnerabilities
CVE: CVE-2015-0288
CVE: CVE-2015-0209
CVE: CVE-2015-0293
CVE: CVE-2015-0292
CVE: CVE-2015-0289
CVE: CVE-2015-0287
CVE: CVE-2015-0286
CVE: CVE-2015-0204
WWW: http://portaudit.FreeBSD.org/9d15355b-ce7c-11e4-9db0-d050992ecde8.html

openssl-1.0.1_16 is vulnerable:
OpenSSL -- multiple vulnerabilities
CVE: CVE-2015-0206
CVE: CVE-2015-0205
CVE: CVE-2015-0204
CVE: CVE-2014-8275
CVE: CVE-2014-3572
CVE: CVE-2014-3571
CVE: CVE-2014-3570
CVE: CVE-2014-3569
WWW: http://portaudit.FreeBSD.org/4e536c14-9791-11e4-977d-d050992ecde8.html

pcre-8.35_1 is vulnerable:
pcre -- Heap Overflow Vulnerability in find_fixedlength()
CVE: CVE-2015-5073
WWW: http://portaudit.FreeBSD.org/8a1d0e63-1e07-11e5-b43d-002590263bf5.html

pcre-8.35_1 is vulnerable:
pcre -- multiple vulnerabilities
CVE: CVE-2015-3217
CVE: CVE-2015-3210
WWW: http://portaudit.FreeBSD.org/e69af246-0ae2-11e5-90e4-d050996490d0.html

pcre-8.35_1 is vulnerable:
pcre -- multiple vulnerabilities
CVE: CVE-2015-2326
CVE: CVE-2015-2325
WWW: http://portaudit.FreeBSD.org/4a88e3ed-00d3-11e5-a072-d050996490d0.html

pcre-8.35_1 is vulnerable:
pcre -- heap overflow vulnerability in '(?|' situations
WWW: http://portaudit.FreeBSD.org/ff0acfb4-3efa-11e5-93ad-002590263bf5.html

pcre-8.35_1 is vulnerable:
pcre -- heap overflow vulnerability
WWW: http://portaudit.FreeBSD.org/6900e6f1-4a79-11e5-9ad8-14dae9d210b8.html

php56-5.6.2 is vulnerable:
php -- multiple vulnerabilities
CVE: CVE-2015-6838
CVE: CVE-2015-6837
CVE: CVE-2015-6836
CVE: CVE-2015-6835
CVE: CVE-2015-6834
WWW: http://portaudit.FreeBSD.org/3d675519-5654-11e5-9ad8-14dae9d210b8.html

php56-5.6.2 is vulnerable:
php -- arbitrary code execution
WWW: http://portaudit.FreeBSD.org/5a1d5d74-29a0-11e5-86ff-14dae9d210b8.html

php56-5.6.2 is vulnerable:
Several vulnerabilities found in PHP
CVE: CVE-2015-2311
CVE: CVE-2015-2305
CVE: CVE-2015-0231
WWW: http://portaudit.FreeBSD.org/742563d4-d776-11e4-b595-4061861086c1.html

php56-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-6833
CVE: CVE-2015-6832
CVE: CVE-2015-6831
WWW: http://portaudit.FreeBSD.org/787ef75e-44da-11e5-93ad-002590263bf5.html

php56-5.6.2 is vulnerable:
php -- multiple vulnerabilities
CVE: CVE-2015-4026
CVE: CVE-2015-4025
CVE: CVE-2015-4024
CVE: CVE-2015-4022
CVE: CVE-2015-4021
WWW: http://portaudit.FreeBSD.org/31de2e13-00d2-11e5-a072-d050996490d0.html

php56-5.6.2 is vulnerable:
php -- use-after-free vulnerability
WWW: http://portaudit.FreeBSD.org/af7fbd91-29a1-11e5-86ff-14dae9d210b8.html

php56-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-0273
CVE: CVE-2015-0235
WWW: http://portaudit.FreeBSD.org/f7a9e415-bdca-11e4-970c-000c292ee6b8.html

php56-5.6.2 is vulnerable:
Several vulnerabilities found in PHP
CVE: CVE-2015-1352
CVE: CVE-2015-1351
CVE: CVE-2015-2783
CVE: CVE-2015-2301
CVE: CVE-2014-9709
WWW: http://portaudit.FreeBSD.org/1e232a0c-eb57-11e4-b595-4061861086c1.html

php56-dom-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-4644
CVE: CVE-2015-4643
WWW: http://portaudit.FreeBSD.org/cdff0af2-1492-11e5-a1cf-002590263bf5.html

php56-ftp-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-4644
CVE: CVE-2015-4643
WWW: http://portaudit.FreeBSD.org/cdff0af2-1492-11e5-a1cf-002590263bf5.html

php56-gd-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-4644
CVE: CVE-2015-4643
WWW: http://portaudit.FreeBSD.org/cdff0af2-1492-11e5-a1cf-002590263bf5.html

php56-mysql-5.6.2 is vulnerable:
mysql -- SSL Downgrade
CVE: CVE-2015-3152
WWW: http://portaudit.FreeBSD.org/36bd352d-299b-11e5-86ff-14dae9d210b8.html

php56-mysqli-5.6.2 is vulnerable:
mysql -- SSL Downgrade
CVE: CVE-2015-3152
WWW: http://portaudit.FreeBSD.org/36bd352d-299b-11e5-86ff-14dae9d210b8.html

php56-openssl-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-6833
CVE: CVE-2015-6832
CVE: CVE-2015-6831
WWW: http://portaudit.FreeBSD.org/787ef75e-44da-11e5-93ad-002590263bf5.html

php56-phar-5.6.2 is vulnerable:
php -- multiple vulnerabilities
WWW: http://portaudit.FreeBSD.org/c1da8b75-6aef-11e5-9909-002590263bf5.html

php56-phar-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-6833
CVE: CVE-2015-6832
CVE: CVE-2015-6831
WWW: http://portaudit.FreeBSD.org/787ef75e-44da-11e5-93ad-002590263bf5.html

php56-soap-5.6.2 is vulnerable:
php -- multiple vulnerabilities
CVE: CVE-2015-6838
CVE: CVE-2015-6837
CVE: CVE-2015-6836
CVE: CVE-2015-6835
CVE: CVE-2015-6834
WWW: http://portaudit.FreeBSD.org/3d675519-5654-11e5-9ad8-14dae9d210b8.html

php56-soap-5.6.2 is vulnerable:
php5 -- multiple vulnerabilities
CVE: CVE-2015-6833
CVE: CVE-2015-6832
CVE: CVE-2015-6831
WWW: http://portaudit.FreeBSD.org/787ef75e-44da-11e5-93ad-002590263bf5.html

php56-sqlite3-5.6.2_1 is vulnerable:
php -- use-after-free vulnerability
WWW: http://portaudit.FreeBSD.org/3d39e927-29a2-11e5-86ff-14dae9d210b8.html

php56-xsl-5.6.2 is vulnerable:
php -- multiple vulnerabilities
CVE: CVE-2015-6838
CVE: CVE-2015-6837
CVE: CVE-2015-6836
CVE: CVE-2015-6835
CVE: CVE-2015-6834
WWW: http://portaudit.FreeBSD.org/3d675519-5654-11e5-9ad8-14dae9d210b8.html

png-1.5.19 is vulnerable:
png -- heap overflow for 32-bit builds
WWW: http://portaudit.FreeBSD.org/c564f9bd-8ba7-11e4-801f-0022156e8794.html

proftpd-1.3.5_3 is vulnerable:
proftpd -- arbitrary code execution vulnerability with chroot
CVE: CVE-2015-3306
WWW: http://portaudit.FreeBSD.org/d0034536-ff24-11e4-a072-d050996490d0.html

samba36-3.6.24_2 is vulnerable:
samba -- Unexpected code execution in smbd
CVE: CVE-2015-0240
WWW: http://portaudit.FreeBSD.org/996c219c-bbb1-11e4-88ae-d050992ecde8.html

sqlite3-3.8.6 is vulnerable:
sqlite -- multiple vulnerabilities
CVE: CVE-2015-3416
CVE: CVE-2015-3415
CVE: CVE-2015-3414
WWW: http://portaudit.FreeBSD.org/dec3164f-3121-45ef-af18-bb113ac5082f.html

tidy-lib-090315.c_2 is vulnerable:
tidy -- heap-buffer-overflow
CVE: CVE-2015-5523
CVE: CVE-2015-5522
WWW: http://portaudit.FreeBSD.org/bd1ab7a5-0e01-11e5-9976-a0f3c100ae18.html

unzip-6.0_2 is vulnerable:
unzip -- heap based buffer overflow in iconv patch
CVE: CVE-2015-1315
WWW: http://portaudit.FreeBSD.org/3680b234-b6f0-11e4-b7cc-d050992ecde8.html

unzip-6.0_2 is vulnerable:
unzip -- input sanitization errors
CVE: CVE-2014-8141
CVE: CVE-2014-8140
CVE: CVE-2014-8139
WWW: http://portaudit.FreeBSD.org/d9360908-9d52-11e4-87fd-10bf48e1088e.html

unzip-6.0_2 is vulnerable:
unzip -- out of boundary access issues in test_compr_eb
CVE: CVE-2014-9636
WWW: http://portaudit.FreeBSD.org/e543c6f8-abf2-11e4-8ac7-d050992ecde8.html

29 problem(s) in the installed packages found.

И что с этим делать? Обновляться пока не стал...

Добавлено: **2015-10-08 1:54:08**

Обновляться?

Код: Выделить всё

xm@beta:/home/xm # pkg audit -F
Fetching vuln.xml.bz2: 100%  536 KiB 549.0kB/s    00:01
0 problem(s) in the installed packages found.

Добавлено: **2015-10-08 7:31:34**

Что удивляет?

Добавлено: **2015-10-08 13:16:28**

gyurza2000 писал(а):Что удивляет?

удивляет Ваш вопрос.

Грубо говоря, есть два вида уязвимости:

- локальная
- внешняя

Если сервер не имеет интерактивных пользователей, локальные взломы не страшны.
Соответственно, самый опасный взлом - внешний/удаленный/remote.

В этом плане, у Вас опасность с:

apache + ssl, php56 и возможно curl.

security для SSL в apache можно подкрутить в конфиге SSL и прогнать тесты на https://www.ssllabs.com/ssltest/,
security для php56 - чтение уязвимостей и соответствующие меры.

А вот если Вы задумаете проапгрейдить (дело очень хорошее), то должны понимать, что
на несколько часов получите нерабочие сервисы, особенно, учитывая что openssl из портов.
Пересобрать потребуется ВСЕ что зависит от openssl - это во всех Unix'ах так.

Надеюсь, теперь, есть полное понимание.

Добавлено: **2015-10-08 15:43:43**

gyurza2000 писал(а):Что удивляет?

Удивляет, что у вас не закрыты многолетние дырки.

Добавлено: **2015-10-08 19:02:42**

undefined писал(а): прогнать тесты на https://www.ssllabs.com/ssltest/

Спасибо, отличный тест. Подкрутил себе согласно рекомендациям всё, кроме Exim - тут не разобрался как задать список поддерживаемого шифрования.

Отправлено спустя 11 минут 41 секунду:
C Exim разобрался

Код: Выделить всё

...
tls_require_ciphers = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
...
tls_dhparam = /etc/ssl/dhparams.pem
...

Ну и сам Diffie-Hellman сертификат генерируется примерно так

Код: Выделить всё

xm@beta:/etc/ssl # openssl dhparam -out dhparams.pem 2048

Добавлено: **2015-10-12 23:16:31**

xM писал(а): Удивляет, что у вас не закрыты многолетние дырки

Не удивляйтесь

, я не профи, это мой сервак, хобби, денег этим не зарабатываю, но дырки прикрыл

Добавлено: **2015-10-13 9:20:03**

gyurza2000 писал(а):
xM писал(а): Удивляет, что у вас не закрыты многолетние дырки
Не удивляйтесь , я не профи, это мой сервак, хобби, денег этим не зарабатываю, но дырки прикрыл

Респект.

Добавлено: **2015-10-17 23:35:19**

gyurza2000 писал(а): я не профи, это мой сервак, хобби, денег этим не зарабатываю

Так мы коллеги. По хобби :-)

Добавлено: **2015-10-17 23:47:11**

Я агрохимик

Добавлено: **2015-12-29 8:26:36**

Все мы тут химики... Кто агро- а кто технолог.....

forum.lissyara.su

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade

portupgrade