A szokásos régi harc látszik kiújulni a NetBSD és az OpenBSD fejlsztők között. Köztudott dolog, hogy Theo de Raadt a NetBSD csapatban kezte a munkáját, majd később eltávozott a onnan, és kb. 80 fejlesztővel megalapította az OpenBSD projectet. Köztudott hogy de Raadt és a régi NetBSD fejlesztők között volt némi feszültség.

Az OpenBSD tagok néhány levelet küldtek a tech-security@netbsd.org levelezési listára az "OpenSSH Priv Sep and Remote Exploit?" témában. Theo úgy vette észre, hogy leveleiket filterezik/moderálják a listán, és ezért kicsit mérges lett.

Ezért úgy döntött, hogy megszakítja a NetBSD csapattal a biztonsági hibákra vonatkozó levelezést mindaddig, míg a levelezési lista filterezésének a policy-ját meg nem változtatják.

Theo de Raadt levele:

"Miután 3 levelet is láttam - amely tőlem származik - a tech-security@netbsd.org-on filterezve (ők úgy mondják, hogy moderálva), úgy döntöttem, hogy nem hozom a NetBSD fejlesztők tudtára, ha biztonsági hibát találok.

A legutolsót ma korán találtam, értesítettem itojun-t, és be fog kerülni hamarosan a netbsd ktrace kódba.

[..]

Ez volt az utolsó biztonsági figyelmeztetés mindaddig, amíg a policy nem lesz áttekintve és megváltoztatva."



itojun válasza:"Közreműködök mind a NetBSD mind az OpenBSD fejlesztésében. Szerintem nagyon hasznos, hogy ha találok egy bugot az egyik oldalon, akkor azt fixálom a másikon is. Amíg ezt csinálom, a bugokat megbeszélem Theo-val és másokkal is. Mi értesítjük mindegyiküket. Theo (és mások) küldenek nekem egy feljegyzést, ha biztonsági hibát találnak.

Ha az értesítés megszűnik a moderálás miatt, akkor nagy bajban leszek. Nem tudom a NetBSD kódot fixálni azonnal, amikor az OpenBSD-ben fixálják a hibát. És ezekben a napokban a késlekedés nagy baj lehet a NetBSD-re nézve, mert a script kiddiek figyelik a megjelenő hibákat a különböző OS-ekre, megírják a támadó scripteket, és megpróbálják azokat más OS-eken is. A NetBSD és az OpenBSD egy tőről fakad, számos olyan támadás, amit az OpenBSD-sek jeleznek, az működik a NetBSD-n is.

Én megértem a csatákat, amik a múltban voltak, de hiszek benne, hogy itt az idő túllépni azokon.

itojun"

Ezek után ma egy újabb levelet küldött itojun Theo-nak, amelyben megígéri, hogy nem lesz moderálás a NetBSD oldalról, vagy ha lesz, akkor a moderálás formája publikus lesz. Viszont cserébe Theo-tól azt kérik, hogy ne legyen a részéről több fenyegetés, és jobban válogassa meg a szavait, mert a "régi netbsd-s fiúk" kiabálni fognak rá/okolni fogják.

Itt tart az ügy. Nem lenne jó ha megszűnne a kommunikáció a két BSD fejlesztő gárda között. Nem lenne jó mert ennek lehet, hogy leginkább a felhasználók innák meg a levét. Azért is, mert számos dolgot használunk nap-mint-nap a BSD fejlesztésekből, és ha a két csapat a biztonsági hibákat eltitkolná egymés elől, az a megoldás, a fixek késlekedését is magával hozhatná. Több szem többet lát alapon.

Reméljük a legjobbakat.

Domas Mituzas (az előző cikkben említett programozó) egy levélben részletes leírást adott a féregről. Az általuk felállított csapda-rendszer fogta meg a férget. Egy élesben működő Apache 1.3.24-es szervert használtak a "befogáshoz". A további vizsgálatok céljából közzé tette a .a és .uua binárisokat, és az apache-worm.c forráskódot.

Bővebb információ a folytatásban:From: Domas Mituzas

A ZDNet egyik cikke a "Watch out for new Apache worm" címet kapta.

A féregnek még nincs neve - csak FreeBSD rendszereken él meg - saját flood hálózatot épít - más (nem FreeBSD) rendszereket is DoS-olhat - várható a megjelenése Linux/Solaris/Unix rendszerekre is

A cikk szerint a biztonsági szakértők azon dolgoznak, hogy dekódolják az a férget, amely a kb. 2 hete ismert Apache hibát használja ki. A féreg egyelőre csak a FreeBSD alapon futó, biztonsági patchel nem rendelkező Apache szervereken képes terjedni. Bár voltak emberek akik az jelentették, hogy a féreg képes megfertőzni a más rendszern futó Apache szervereket világszerte.

"Ez terjed" - mondta Domas Mituzas, aki rendszer fejlesztő a Microlink Systems-nél, amely egy balti információ-technológiai cég. "Lengyelországból ért el minket, de a megjegyzések olaszul vannak, tehát jöhetett a világ bármely pontjáról."A féreg előzetes vizsgálata után a 19 éves litván programozó azt állítja, hogy a féreg úgy lett tervezve, hogy képes legyen hálózati floodolásra a kompromittált szerverek között, és felhasználható D0S (Denial of Service) típusú támadásra.

Megjelent az első hivatalosan is stabilnak minősített verziója a régi 'pthread' szálkezelő könyvtár leváltását megcélzó kezdeményezésnek, a következő generációs POSIX szálkezelésnek.Az alapot a GNU Pth nevű thread program jelentette, mely felhasználói szinten futó szálkezelést valósít meg egy processzoron. A fejlesztés célja egy általános, többek között linuxon is futó N:M alapú szálkezelő könyvtár létrehozása volt. Lényege, hogy az adott alkalmazás által igényelt M szálakat nem M külön fizikai szálként kezeli (mint az 1:1 alapú szálkezelésnél), hanem a processzorok számától egyenes arányban függő N számban. Egyik hátránya a szálak közötti átkapcsolás nem teljesen automatikus, így esetenként a programban is támogatni kell. Előnye viszont a sokkal gyorsabb szálkezelés, ami sok processzoros SMP és NUMA rendszereknél elengedhetetlen.

A NetBSD csapat upgrade-li az ftp://ftp.netbsd.org-ot 2002. június. 29-én szombaton, azaz holnap. A leállás ideje reggel 9 óra pacifikus időszámítás szerint. A leállás oka hardver csere és operációs rendszer revízió. A leállás remélhetőleg nem vesz igénybe több időt mint 4 óra, de ez függhet attól, hogy milyen gyorsan tudják az adatokat áttölteni a régi gépről az újra.

Bejelentés:To: netbsd-announce@netbsd.org

Subject: ftp.netbsd.org downtime Sat, June 29, 9am Pacific time

From: Michael Graff

Date: 28 Jun 2002 01:02:14 -0700

Sender: netbsd-announce-owner@netbsd.org



-----BEGIN PGP SIGNED MESSAGE-----



Hash: SHA1

We are upgrading the hardware on ftp.netbsd.org on Saturday, June 29, 9am Pacific (12 noon Eastern) to upgrade hardware and its OS revision.

I hope to keep the downtime to less than 4 hours, but it depends entirely on how fast the data can be copied from the old to the new machine. However, I'm planning for a 8 hour window in case something goes wrong. Mail will be sent when things return to service.

- --Michael

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.0.7 (NetBSD)

Comment: See http://www.flame.org/~explorer/pgp for my keys

iD8DBQE9HBgGl6Nz7kJWYWYRAjXBAJ0Q8X+jxU0jwO5dt7G6Tx

5K61u6KACfWiFI

CXvuNuUMfkqSgoQAGHk4Q1Y=

=RGQz

Nem kimondottan Unix hír, de sokakat érint:

A szaktárca 3 milliárd forinttal támogatja az internetezést

"A Matáv és az Informatikai és Hírközlési Minisztérium között folytatott tárgyalások eredményeként várhatóan augusztus 1-jén új, kedvező árú internet-csomagok jelennek meg a hazai piacon, és bevezetésükig nem szűnik meg a 150 forintos, úgynevezett éjszakai kedvezmény. Az új kedvezményes csomagok ára jóval a jelenlegi piaci árszint alatt lesz.""A közlemény szerint a minisztérium tárgyalást kezdett a távközlési szolgáltatókkal, hogy az ország teljes területén közel azonos feltételek mellett legyen mindenki számára hozzáférhető az internet használat. A szakminisztérium kezdeményezte, hogy a kormány és a szolgáltatók azonos nagyságrendű támogatást adjanak a kedvező internet elérési díjak kialakítása érdekében. A támogatások az előzetes kalkulációk szerint évente 3 milliárd forint költségvetési forrást igényelnek. A felhasználók azonban összesen 6 milliárd forinttal fizetnek kevesebbet az internethozzáférésért, hiszen a szaktárca kezdeményezése alapján a szolgáltatók a kormány támogatásával azonos nagyságrendben csökkentik a világháló elérésének díjait. A körvonalazódó új kedvezményes csomagok havi 15, illetve 40 órás internetezést biztosítanak, ehhez a kormány percenként 0,77 forint percdíj-támogatást garantál a várhatóan egy-két évre megkötött szerződések alapján."

Elkészült a Háztartási gépek vezérlése mini-HOGYAN magyar fordítása.

Unstable-re megjelentek a Gnome 2 csomagjai. További infó itt, és itt.

A szokásos helyről elérhetők a KDE 3.0.2-es teszt jelleggel elkészített Debian csomagjai. A csomagok Debian SID-hez készültek, a csomagoló nem ajánlja már Debian verziókon való telepítését. Ha a rendszereden már telepítve van a 3.0.1-0.1 verzió, akkor előtte el kell követni ezt:

dpkg --purge --force-depends kdelibs4-bin kdelibs4-data

Az apt sorok az i386 platformhoz:

deb http://kde3.geniussystems.net/debian ./

deb http://kde.debian.co.nz/debian ./

deb http://kde.ping.uio.no/i386 ./Ha a csomagok nem mennének fel a rendszerre simán, akkor ne nagyon erőltessük. A dpkg --force-* dolgot NE használjuk, mert egy teljes újratelepítés lehet a jutalmunk.

Nem régen jelent meg a Blizzard nagy sikerű játékának a Warcraftnak, a harmadik része. Én megszállott játékos vagyok, nyomatom is ezerrel. De van egy bánatom:

Csak windows futtató bináris van hozzá (egyelőre). A szerencsétlen megszállott gamereknek ilyenkor elő kell venniük a jól elrejtett Windows rendszerüket, és azon nyomatni a játékot. Sajnos ez így lesz addig, míg a játékokat fejlesztő cégek nem tekintik a Linux felhasználókat fizetőképes embereknek. Néhány komolyabb cég élen jár a Windows játékok Linuxra való portolásában, sőt egyesek kimondottan Linuxon fejlesztenek, majd a kész játékot portolják Windowsra. Szép is lenne ha minden komolyabb játék megjelenne natív Linux támogatással. Amíg ez nem valósul meg, maradnak az emulátorok.

A Warcraft III esetében nincs szükség Windowsra. {ers}thuglife-nak sikerült Winex segítségével életet lehetni a gamesbe. Lássuk, hogyan álljunk neki:CSAK ÍGY MŰKÖDIK!!!

Készítettem debian csomagokat (sid) a 3.4p1 -es openssh-ból. A privsep user a nobody lett, a dummy chroot pedig a /etc/ssh/empty. A linkek pedig:



ssh, ssh-askpass-gnome



FP

Idén Ottawában rendezték a már szokásosnak mondható Linux Kernel Fejlesztők Csúcstalálkozóját. Az idei rendezvényen mintegy 80 fejlesztő vett részt. A találkozó legfontosabb témái a 2.5-ös kernel fejlesztése körül forogtak. Lássuk miről szólt a 2 napos találkozó:

A tegnapi OpenBSD resolver hiba után a FreeBSD team is bejelentette a saját DNS resolveréban levő puffer túlcsorulási hibát.

Bővebb információt a FreeBSD-SA-02:28.resolv Security Advisory-ban találsz.

A GNOME Foundation ma bejelentette a GNOME 2 desktop környezet kiadását. A bejelentést az Ottawa Linux Konferencián tették meg.

Bővebb információért nézd meg a Press Release-t és a Release Notes-t.

Kedvcsinálónak néhány screenshot.

Letölthető forrás, Mandrake, FreeBSD, Ximian, Sun Solaris formában.

Legendák szóltak arról, hogy az OpenBSD mennyire biztonságos operációs rendszer, hogy a készítők legfontosabb szempontja a fejlesztés során a biztonság, és hogy inkább nem adnak ki egy releaset mintsem kockáztassák a rendszer biztonságát.

Hogy ez mennyire igaz, az OpenBSD project ezt a woboldalán éveken keresztül hirdette:

"Távolról kihasználható hiba nélkül x.y éve, default telepítéssel"

Így volt ez eddig....Ahogy az előző cikkben írtam, ez a hét nem az OpenBSD fejlesztők hete volt. Megtört a híres, majdnem 6 évig tartó sikersorozat, és most már nem igaz a legendás mondás.

Ez a hét nem az OpenBSD csapat hete az biztos. Egy potenciális puffer túlcsordulási hibát találtak az OpenBSD DNS (Domain Name Service) resolverében. A hiba az összes architektúrát érinti:

025: SECURITY FIX: June 25, 2002

A potential buffer overflow in the DNS resolver has been found.

A source code patch exists which remedies the problem

Megjelent az OpenSSH 3.4. Az OpenSSH.org nemsokára frissülni fog.

A "hot stuff" addig is letölthető openssh-3.4p1.tar.gz

Azonnali frissítés javasolt!

Amit "vártunk", megérkezett :( Az ISS bejelentette az OpenSSH hibáját.




URL:

bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584Az ISS leírása alapján a hiba a challenge-response authentikációs részben van, egy speciális válasszal buffer túlcsordulás idézhető elő, ami vagy DoS-t eredményezhet, vagy jogosultságszerzést.

Tegnap megjelent a DWN-nek, a Debian közösség szokásos heti hírlevelének az ez évi 24-dik száma. A tartalomból:

A Daemonnews.org bejelentése szerint az új FreeBSD core csapat megválasztódott.

"A FreeBSD core team választás ma lezárult; az eredményeket postáztuk a választási weboldalra. Gratulálunk a visszatérő, és az újonnan megválasztott core tagoknak!"

Újraválasztott tagok: Greg Lehey, Warner Losh, Robert Watson, Peter Wemm

Újonnan választott tagok: John Baldwin, Jun Kuriyama, Mark Murray, Wes Peters, Murray StokelyEmlékszünk még arra, hogy az év folyamán ketten is kiléptek a FreeBSD core csapatból? Április 30-án írtuk, hogy Jordan Hubbard elhagyja a "kemény magot", majd néhány nappal később még egy meghatározó személyiség döntött hasonlóan. Michael Smith is a távozás mellett dömtött.

Ez a hivatalos NetBSD dokumentum leírja, hogy milyen lépések szükségesek ahhoz, hogy egyszerűen be tudjuk állítani a kapcsolatunkat PPPoE protokolon (DSL provideren keresztül) át az Internethez.A NetBSD team azt javasolja, hogy ehhez futtassunk legalább NetBSD-1.5Z kernelt (vagy újabbat). Abban az esetben, ha olyan kernelt használunk, amely nem rendelkezik kernel-beli PPPoE támogatással, akkor telepítsük fel a net/rp-pppoe csomagot a pkgsrc-ből.

A News.com egy érdekes cikket adott közre ma. A Microsof, a zárt kódú fejlesztés eddigi legnagyobb támogatója arra adja a fejét, hogy kiadja az egyik fejlesztés alatt álló projectjének a forráskódját. Az régóta tudott, hogy a Microsoft a következő Windows kiadásokban a biztonságot célozza meg, mint legfőbb fejlesztési szempontot (éppen itt az ideje). Ennek keretében kerül kifejlesztésre, és bemutatásra a Palladium project is.A Microsoft szerint a jövő PC-je egyesíti a hardvert és a szoftvert, amely alkotórészek együtt valósítják meg a biztonságot. A Palladium project lényege jól le van írva itt nekem nem nagyon volt erőm elolvasni =)

A KernelTrap interjút készített Marc-Christian Petersen-el, akit a WOLK projectből ismerhetünk. A WOLK - Working Overloaded Linux Kernels jelentéssel bír. Ez az elnevezés nem jelent mást, mint egy Linux kernelt, nagy számú patchcsel/bugfixszel és egy rakás új funkcióval.

"Néhány hónappal ezelőtt egyik barátom meglátogatott. Beszélgettünk a Linuxról, és megmutattam neki, hogy mit csinálok. Erre azt mondta: "Hé, mi a fenéért nem mutatod meg ezt a világnak?"Marc-Christian Petersen már régebb óta patchel kernelt, főleg saját használatára, és örömére (ipsec, xfs, security related patches stb.) Többnyire azért, mert számos olyan hasznos dolog nincs benne a mainstream kernelben, amely már amúgy évek óta stabilak és számos embernek szüksége lenne rájuk. Petersen az interjúban elmondja, hogy hogyan alakult ki a WOLK project, elmondja, hogy a WOLK project keretében jelenleg mintegy 450 patch kapott helyet a Linux kernelben. A WOLK project kerneleiben számos olyan funkció van, amely nem régen, vagy egyáltalán nem került bele a jelenlegi Linux kernelbe:

Itt az ideje, hogy frissítsük a Woody disztribúciónk forráslistáját. Aki jót akar magának, illessze be az alábbi sort a /etc/apt/sources.list-be:

deb http://security.debian.org woody/updates main contrib non-free

Egy gyenge apt-get update, apt-get upgrade után olyan stuffok kerülhetnek a gépünkre, mint frissített apache, frissített ssh, ami valljuk meg nem rossz az elmúlt napok bugos csomagjai után.

Ja és ne felejtsük el a Mozilla 1.0-át sem =).Megragadom az alkalmat, hogy gratuláljak a Debian security csapatnak, amiért lassan elkészül a Woody security infrastruktúrája. Köszönjük. Lassan, de biztosan közelítünk a Woody release felé, de még mindig azt mondom, hogy kár lenne elkapkodni.

Package : ssh

Problem type : remote exploit

Debian-specific: no

udv

Miki