OpenBSD 3.5 (távoli) kernel pánik

Címkék

Bizonyos körülmények között egy egyszerű ICMP echo request-tel (ping) távolról összeomlasztható az OpenBSD 3.5 kernele.

Hozzászólások

Szerintem felreertetted.

Tudod senki nem allitotta hogy szinte mindenki default installal hasznalna az OpenBSD-t. Es hogy ez mire jo? Hat arra, hogy amikor egy szerverre openbsd-t rax, akkor biztos lehetsz abban, hogy a default install felrakasa utan nincs semmi olyan security bug, amit kihasznalva fel lehetne nyomni a szervert (persze nincs itt sem 100% biztonsag). Szoval ez a jelmondta nem arra van hogy "erre verik, ahogy megfogalmaztak", hanem ez egy _alap_, amivel nagyon valoszinu, hogy egy tamado igy "am blokk:)" nem tud mit kezdeni.

Azert ez szerintem csoppet sem elhanyagolhato, sot joleso erzes. Hogy ezek utan te mit telepitesz, webszervert, adatbaziszervert, az mindekinek a maga dolga. Ezeknek pedig nyomon kell folyamatosan kovetni a security bugfixeit...


OpenBSDben aaa elirtak :)

Remote? Kizart. Ez csak win32 lehet. A ***** linuxban se volt 6 eve ilyen :)


/bocsi nem tudtam kihagyni/

hibajavítás 12 órán belül várható

Egy hete ott van a CVS faban. Pont ez a fura nekem, lehet, hogy megsem nem komoly a hiba, mint ahogy a felfedezoje allitja?

netchan

Na latjatok mondtam en, hogy semmi sem tokeletes. :) De szokas szerint ez sem eritnti a default installt. Szal marad a 8+ ev.

lehet, hogy valamit félreolvastam, de nem arról ír a fickó, hogy a patchet az obsd 12 órán belül elkészítette és a patch amit mellékel pedig az obsd féle patch?

szintén hozzáteszi, hogy ha DDB_PANIC opció be van kapcsolva a gép rebootol, egyébként coredump nélkül összeesik.

LOL, ez mar majdnem olyan, mint az emlekezetes windows 139-es portos kekhalal. ;-)

ja elnezest, a magassagos OpenBSD-re lehetetlen ezexerint tavolrol betorni?

Azt magyarazom, hogy ez a "Only one remote hole in the default install, in more than 8 years!" 1 nagy okorseg, mert kb semmi sem fut alapbol. Ha meg mar bekapcsolsz vmit, akkor mar torheto lesz, viszont a fenti csodamondat nem vonatkozik ra. Olcso jatek ...

(esetleges felreertesek miatt: nem a bsd-t fikazom, hanem csak ezt a mondatot)

Ha jol sejtem, akkor a daytime/time valamilyen szabvany miatt fut alapbol (ha jol emlexem egy default installos debian linux alatt is futnak ezek). Az, hogy keves dolog fut alapbol, az nyilvan a biztonsag egyik alappillerje. A szlogent nyilvan en is nevetsegesnek tartom, de szerintem nem ettol jo vagy rossz egy adott rendszer. ;)

MSDOS: 20+ years without remote hole in the default install.

Hmm... végig kellene már fésülnie az OpenBSD csapatnak a forrást, mert noir (immunitysec) is azt hozta fel egy régi levelében amikor nyilvánosságra került az egyik ring0 vuln., hogy ha rákeres az ember az XXX és FIXME stringekre, akkor egy rakat hibát talál és köztük ring0 problémákat is...

Ennél a patchnél is látszik, hogy valami nincs rendben:

/* XXX do an input policy lookup */

ja elnezest, a magassagos OpenBSD-re lehetetlen ezexerint tavolrol betorni?

Nem, de nem is egyszeru. Mutass egyetlen bugot az alaprendszerben (ebben benne van a sendmail, apache, bind, stb) a 3.4 ota, ami OpenBSD-n remote root-ot ad.

Ha meg mar bekapcsolsz vmit, akkor mar torheto lesz, viszont a fenti csodamondat nem vonatkozik ra. Olcso jatek ...

Bocs, de megis mi a f*sz bajod van? Szerinted az "atlagos patcheletlen windows 16 (valojaban kb 3) percig birja a neten" megkozelites a jobb? Szerinted az OpenBSD-t hasznalok az altalad fikazott mondat miatt hasznaljak a rendszeruket? Hat kurvara nem.

Herotom van az ilyen "nem hasznalom de fikazom merhat mi az, hogy 8 eve nem volt root hatpersze a def installban semmi nincs" szoveggel rinyalo idiotaktol.

netchan

"Ha meg mar bekapcsolsz vmit, akkor mar torheto lesz, viszont a fenti csodamondat nem vonatkozik ra. Olcso jatek ..."

Azon kivul hogy a fenti megallapitas ugy hulyeseg ahogy van, sztem ez a hozza-

szolas is csak egy tipikus BykeSheed ;)

Szoval ne huzd fel magadat rajta, konnyebb

semmitmondo kijelenteseket tenni a BSD-re, annak ismerete nelkul mint erdemben szolni a temahoz...

> Mutass egyetlen bugot az alaprendszerben (ebben benne van a sendmail, apache, bind, stb) a 3.4 ota, ami OpenBSD-n remote root-ot ad.

1 rendszerbe nem csak akkor lehet betorni, ha rogton remote hole-os hibad van. vagy te csak idaig jutottal?:)

> Szerinted az OpenBSD-t hasznalok az altalad fikazott mondat miatt hasznaljak a rendszeruket?

gondolom nem, legtobbje fel is fogja, hogy nem sokat jelent, nem ebbol adodik az OpenBSD ereje. ellentetben thuglife-al, aki erre verte.

Gondolom azert amit par nappal ezelott nehany troll rendezett abban az esetben, mikor egy typo miatt nem lehetett Linuxon mountolni egy NFS exportot. Akkor azon lovagoltak, hogy miert nem lehet elismerni, hogy elb*sztak valamit?

Most visszakerdezek. Miert nem lehet elismerni, hogy az OpenBSD-sek elb*sztak valamit?

(szerintem egyebkent senki nem b*szott el semmit, a szoftverfejlesztes velejaroja a hiba is. csak ezt nehany ember nem kepes felfogni)

valami nem root prg-t megzuznak + van mellette vmi local root?

ne gyere azzal, hogy ez nem bsd specifikus, mert default install resze frankon sok olyasmi is, amire azert volt remote hole.

a 8 ev a default installra vonatkozik. magat ezt a jelmondatot fikazom, nem az OpenBSD-t. ha kiteszek 1 kalapacsot a parkanyba es rairom, hogy a budos eletben nem rootoltak meg, attol nem / nem attol lesz secure.

masik dolog, hogy szvsz az OpenBSD-sek nagy pofaja szepen passzol a jelmondathoz, vagy forditva.

Asszem ennel a pontnal latszik, hogy ertelmetlen tovabb vinni a thread-et, mert semmilyen konkretummal nem tudod alatamasztani a mondandodat. A 3.4 nem veletlen, ha erdekel, utananezel, hogy miert.

szvsz az OpenBSD-sek nagy pofaja szepen passzol a jelmondathoz

Mondja valaki, aki abszolut feluletes ismeretekkel idejon osztani az eszt. Ehh.

netchan

amugy tom miert nem veletlen a 3.4, viszont meg mindig nem tudsz arra mit mondani, hogy elotte volt azert OpenBSD es akkor is fenhanngon hirdette a honlapja, hogy x eve nincs stbstb

> Mondja valaki, aki abszolut feluletes ismeretekkel idejon osztani az eszt.

Mondja 1 nagypofaju OpenBSD-s:)

nem sokat tudtal erdemben hozzaszolni, hogy miert is fontos es mit erunk azzal, hogy 1 kb levelelolvasasra, karaktergeneralasra es ssh-ra jo default installban 8 ev alatt csak 1 remote root legyen. minden bizonnyal a BSD-k 90%-a _csak_ default service-kkel fut.

nem szeretnem, koszonom. en csak erdeklodessel hallom azt, hogy 2004-ben nincs benne SMP, nincs hasznalhato fs (igaz az FFS-t csak 2.9/3.1-ben hasznaltam, de ott katasztrofa volt a teljesitmenye).

nem azt mondom, hogy van helyette hipermegaszuper gentoo/debian/longhorn/stb, hanem hogy nemtom, mire ez a _nagy_ melldongetes.