OpenBSD

Egy héttel a FreeBSD-s javítás után megérkezett az OpenBSD-hez a TCP/IP stack-et érintő hiba javítása.

A patch letölthető az OpenBSD 3.3-hoz: Patch 018,

és az OpenBSD 3.4-hez: Patch 013

Bővebb információ az errata oldalon itt.

Tavaly október közepén jelent meg az OpenBSD-ben a CARP. A CARP (Common Address Redundancy Protocol) egy olyan protokoll, amelynek a célja, hogy egy LAN-on lévő közös IP címen több számítógép is osztozhasson, miközben biztosítja bármelyik számítógép kiesése esetén is ennek elérését.

Az UCARP projekt sikeresen portolta az OpenBSD-s CARP-ot más operációs rendszerekre is, például Linuxra.Az UCARP egy portolható userland (felhasználótér-beli) implementációja az OpenBSD-CURRENT carp(4) high-availability (magas rendelkezésre-állású) protokollnak.

A portolási munkák még ugyan folyamatban vannak, de az interoperábilitás már működik a Linux és az OpenBSD között.

Az UCARP-ot sikeresen tesztelték az alábbi OS-ek alatt:

- Linux 2.4

- Linux 2.6

- OpenBSD

- EkkoBSD

- NetBSD

Az UCARP honlapja itt.

Bár az OpenBSD többprocesszoros támogatása simán beférne minden idők 10 legnagyobb vaporware-je közé, most úgy tűnik mégis haladnak a dolgok.Niklas Hallqvist levele szerint néhány i386 alapú rendszer már pár óráig eldöcög a többprocesszoros kernellel, ez komoly előrelépés az eddigiekhez képest. Persze a stabil SMP még messze van, jelenleg sok hardware specifikus probémával küzdenek, hátra van még a userland programok SMP támogatása, és legalább egy, adatvesztéssel járó hiba kijavítása. Niklas munkáját külső szponzor (genua.de) támogatja, és a dolgok jelenlegi állása szerint ez elég lesz valami használható eredmény eléréséhez.

A tcpdump(1) programnak rossz híre van, számos sebezhetőséget találtak benne az elmúlt időkben. A tcpdump-ot többnyire root jogokkal futtatjuk, hogy a hálózati csatolón keresztülhaladó csomagokat el tudjuk kapni. Ebből kifolyólag a benne levő hibák kihasználása súlyos sebezhetőségnek számít. Az OpenBSD csapat, hogy csökkentse a root-ként futtatott tcpdump(1) rizikóját, módosította a programot úgy, hogy mostantól a csomagok értelmezését mint privilégüm nélküli, chroot-olt folyamat végzi.

A priv sep tcpdump Can Erkin Acar és Otto Moerbeek munkája.

CVS log itt.

de Raadt: "...úgy látszik, hogy a httpd az OpenBSD-ben egy forkká válik."

Nem csak az XFree86 szerver licence körül vannak gondok mostanában. Pár nappal ezelőtt szárnyrakapott az a hír, miszerint az FSF szabad szoftveres linceceket felsoroló listáján nem szerepel az Apache Licence, Version 2.0. Ez azt jelenti, hogy az Apache nem GPL kompatibilis. Az ok: a benne található szoftver szabadalmakkal kapcsolatos kikötés.

Megjelent az ekkoBSD második beta kiadása. Az új teszt verzió néhány javítást, új binárisokat a /bin-ben /sbin-ben, új telepítési dokumentációt, stb. tartalmaz. Ebben a kiadásban a grafikus telepítő nem működik.

Bővebben a projekt honlapján itt.

Az OpenBSD projekt folytatja korábban megkezdett harcát a setuid-es binárisok ellen. Most ismét eredményt értek el ebben az ügyben. Hozzáadtak egy ptm eszközt a pty(4)-hez. Ennek eredményeképpen privilégiummal nem rendelkező program megnyitva a /dev/ptm-et és használva a PTMGET ioctl(2)-t, képes megfelelő módon lefoglalni a pty-t, így az olyan programok futtatásához, mint az xterm vagy a screen nem szükséges a továbbiakban a setuid bitet beállítani.

Azokon a programokon, amelyek az openpty() függvényt használják, semmilyen változtatást nem kell eszközölni ehhez.

Todd C. Miller CVS commit-jéből:Add the ptm device to pty(4). By opening /dev/ptm and using the PTMGET

ioctl(2), an unprivileged process may allocate a pty and have its owner

and mode set appropriately. This means that programs such as xterm and

screen no longer need to be setuid. Programs using the openpty()

function require zero changes and will "just work".

Designed by beck@ and deraadt@; changes by beck@ with cleanup (and

a rewrite of the vnode bits) by art@ and tweaks/bugfixes by me.

Tested by many.

Nemrégiben került sor a Solutions Linux 2004 (ismert még Linux Ecpo Paris néven is) rendezvényre, amelyen jelentősnek mondható BSD jelenlét volt. Képviseltette magát a OpenBSD és az OpenSSH projekt is.Az ismertebb fejlesztők közül jelen volt Wim Vandeputte, Miod Vallat, Matthieu Herrb, Marc Espie, Bruno Rohee...

A rendezvényről készült fotókat megtalálod itt. A fotókból kiderül, hogy nem csak kockák járnak ilyen rendezvényekre, hanem csinos lányok is :-)

Ebből a képsorból pedig ízelítőt kaphatunk abból (igaz vicces formában), hogy mennyire szeretik a BSD-sek a Pingvint.

Kris Vangeneugden írt tavaly novemberben egy dokumentumot ``OpenBSD Privilege Escalation'' címmel az OpenBSD gépek elleni támadásokról, azok elleni védekezések lehetőségeiről.

A dokumentum a tavaly Georgi Guninski által bejelentett exploitot elemzi. Az exploit (msuxobsd2.c) az OpenBSD kernelben okoz túlcsordulást. A kód használata egy ún. stack alapú kernel túlcsorduláshoz vezet. Érdekesség, hogy a dokumentum szerint a kód egy változata, a ``noir'' (openbsd_exp.c) névre hallgató exploit már 2003. februárjában elkészülhetett. Az OpenBSD csapatot csak novemberben értesítették a hibáról, így elképzelhető, hogy az OpenBSD boxok nagy részén 9 hónapig lehetősége lehetett a helyi felhasználóknak a hiba kiaknázására.

A 70 oldalas dokumentum pontos leírja a programok működését, az exploitok helyét, használatát, stb. Gyűjtőknek igazi csemege, másoknak hasznos és érdekes olvasmány lehet.

A dokumentumot megtalálod itt.

Daniel Hartmeier bejelentése szerint megszületett a patch az IPv6 -os gépek hibás MTU kezelésére.

A hibát még a hét közepén jelentette be Georgi Guninski. A hibát kihasználva a rosszindulatú támadó DoS támadást indíthat az OpenBSD gépek ellen. Az OpenBSD-n az IPv6 alapértelmezetten engedélyezve van, de a hiba csak akkor használható ki, ha a hostot IPv6-on el lehet érni.

A bejelentés:Date: Sun, 8 Feb 2004 00:54:54 +0100

From: Daniel Hartmeier

To: security-announce@openbsd.org

Subject: IPv6 MTU handling problem

An IPv6 MTU handling problem has been reported by Georgi Guninski[1],

which could be used by an attacker to cause a denial of service attack

against hosts reachable through IPv6.

When the MTU (maximum transfer unit) for an IPv6 route is set very low,

the TCP stack will enter an endless recursion when the next TCP packet

is sent. This can be exploited remotely by sending ICMP6 'packet too

big' messages containing such low MTU values. The kernel will

effectively lock up, causing denial of service. It is not believed that

this problem can be used to execute arbitrary code.

IPv6 is enabled by default, but the problem can only be exploited

remotely against hosts which are reachable through IPv6. Hosts with

IPv4 connectivity only are not affected.

The problem is fixed in -current, patches for 3.4-stable and 3.3-stable

are available at

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/011_ip6.patch

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/016_ip6.patch

[1] http://www.guninski.com/obsdmtu.html