OpenBSD

Daniel Hartmeier bejelentése szerint megszületett a patch az IPv6 -os gépek hibás MTU kezelésére.

A hibát még a hét közepén jelentette be Georgi Guninski. A hibát kihasználva a rosszindulatú támadó DoS támadást indíthat az OpenBSD gépek ellen. Az OpenBSD-n az IPv6 alapértelmezetten engedélyezve van, de a hiba csak akkor használható ki, ha a hostot IPv6-on el lehet érni.

A bejelentés:Date: Sun, 8 Feb 2004 00:54:54 +0100

From: Daniel Hartmeier

To: security-announce@openbsd.org

Subject: IPv6 MTU handling problem

An IPv6 MTU handling problem has been reported by Georgi Guninski[1],

which could be used by an attacker to cause a denial of service attack

against hosts reachable through IPv6.

When the MTU (maximum transfer unit) for an IPv6 route is set very low,

the TCP stack will enter an endless recursion when the next TCP packet

is sent. This can be exploited remotely by sending ICMP6 'packet too

big' messages containing such low MTU values. The kernel will

effectively lock up, causing denial of service. It is not believed that

this problem can be used to execute arbitrary code.

IPv6 is enabled by default, but the problem can only be exploited

remotely against hosts which are reachable through IPv6. Hosts with

IPv4 connectivity only are not affected.

The problem is fixed in -current, patches for 3.4-stable and 3.3-stable

are available at

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/011_ip6.patch

ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/016_ip6.patch

[1] http://www.guninski.com/obsdmtu.html

Georgi Guninski (ismert a Windows sebezhetőségek felfedezéseiről) egy hibát talált az OpenBSD IPv6 stack-jében. Nem tiszta egyelőre, hogy a NetBSD sebezhető-e, viszont a FreeBSD nem sebezhető.

Guninski oldalán ez olvasható:'Lehetséges az OpenBSD 3.4-es rendszert összeomlasztani, ha a host icmpv6 csomagokat fogad, és ha van figyelő TCP portja"

Idézet de Raadt-tól: "ez csak egy összeomlás."

A távolról kihasználható hiba megzavarja a kernel működését, de egyelőre nem tudni, hogy a hiba kihasználható-e kód futtatásra.

Bővebb információ:

www.guninski.com/obsdmtu.html

Úgy tűnik, hogy az OpenBSD -CURRENT már immunis a hibával szemben.

Theo de Raadt néhány érdekes teljesítményteszt-eredményt postázott a minap az openbsd-misc@ listára.

A tesztben 3 processzoron mért AES titkosítási teljesítményt. Egy 1.6GHz-es amd64 processzor (32bit-es módban), egy 1Ghz-es Intel Pentium 3, és egy VIA C3 processzor versenyzett egymással.

Az új VIA C3 az új Nehemiah magra épül. A processzor tartalmaz egy on-die PadLock Advanced Cryptography Engine-t és két hardveres RNG-t (random number generator). A PadLock Advanced Cryptography Engine az amerikai kormány is által elfogadott Advanced Encryption Standard (AES) szerinti teljesítményre képes. Kriptografikus támogatást nyújt az e-mail-ek, személyes file-ok, online tranzakciók és a hálózatkezeléshez (pl. a 802.11g vezetéknélküli hálózatokhoz). Legnagyobb előnye az ára mellett (VIA C3 1GHz 133/100 ~8000Ft/db) az alacsony energia felhasználása.A 3 processzor közül a VIA processzoron be volt kapcsolva az xcrypt-* utasításkészlet (hardveres titkosítás) nyújtotta támogatás. Az eredmények magukért beszélnek:

type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes

aes-128-cbc 15985.10k 16924.93k 17238.12k 17319.74k 17339.74k

1.6GHz amd64 in 32bit mode

aes-128-cbc 13323.36k 14403.55k 13225.65k 14529.80k 14654.16k

P3/1GHz

aes-128-cbc 13090.59k 51065.12k 174593.45k 426600.92k 735548.02k

VIA C3 with the xcrypt-* instructions. This is using a new diff

I have written which makes OpenSSL directly use the cpu instructions

if they are available, right in userland, without having to call to

/dev/crypto

Theo levele itt.

Amint azt Peter Valchev levelében olvashatjuk, megjelent az OpenBSD-ben a natív jdk-1.3.1.

Peter levele itt.

A Deadly.org szerint megkezdődött az AMD64 processzorhoz szükséges támogatás beemelése (és átírása) az OpenBSD-be. A forrás a NetBSD forrásfájából kerül felhasználásra.

Üdvözölendő lépés, de azt hiszem, hogy emelett nekiállhatnának az SMP támogatás elkészítésének is, mert lassan sikerrel pályázhatnak az év vaporware-e kategóriában (jól emlékszem, hogy de Raadt a 3.0-ra ígérte az SMP támogatást?).

A Deadly.org cikke híre itt.

A Hewlett Packard (HP) az OpenSSH-t használja az Insight Manager névre hallgató központosított hardver és szoftver menedzsment programjában.

Az Insight Manager a HP (korábban Compaq) szerverek elengedhetetlen tartozéka, amely a szerver állapotáról fontos információkat szolgáltat a szerver üzemeltetőjének.A HP által gyártott eszközökben és a hozzájuk írt eszközmeghajtó-programokban (driver) implementált funkciók lehetővé teszik a pontos és részletes hardver monitorozást. Az Insight Manager a megfelelő agent-eken keresztül gyűjti a hardver állapot értékeket, és azt egy SQL szerverbe logolja. Ha valamely hardver komponens állapota eltér a normálistól, akkor az Insight Manager értesítést küld(het) az adminisztrátornak (email, pager, stb.).

A HP az OpenSSH-t, mint agent-et használja fel arra, hogy távolról szkripteket lehessen futtatni az Insight Managerből Windows alatt.

Bővebben:

http://h18023.www1.hp.com/support/files/server/us/download/20041.html

Theo de Raadt két új, ügyes funkciót jelentett be a openbsd-misc@ levlistán. Az új dolgoknak a laptop felhasználók fognak örülni. Az egyik újdonság, hogy a laptop processzor sebesség szabályozás már működik bizonyos gépeken. Mostantól lehetőség van állítani a CPU sebességét, így ha a laptop akkuról üzemel, jelentős üzemidő növekedést lehet elérni.A másik változás a dhclient(1)-et érinti. Korábban ha valaki saját hálózatáról egy másikra vándorolt, akkor le kellett lőnie a dhclient(1)-et, és egy újat kellett indítania. Mostantól erre, nincs szükség. A dhclient értesít minket a változásokról, és nincs más dolgunk, mint kiadni a

$dhclient wi0

parancsot. A dhclient szépen befejezi futását, majd az új konfigurálja az új hálózati beállításokat.

Bővebben Theo levelében itt.

Az OpenBSD projekt kiadta a Patch 009-es számú javítást az OpenBSD 3.4-hez. A patch szerepe az, hogy javítsa az isakmpd azon hibáját, amelyet a rosszindulatú támadó kihasználva megakadályozhatja a normális IPsec setup-ot. A hiba egy ideje már javítva van a -current-ben.

A BSDVault interjút készített Rick Collette-tel, az ekkoBSD projekt vezetőjével.Az ekkoBSD nem más, mint egy OpenBSD 3.0 fork. A fejlesztői core csapat 6 tagból áll. Az ekkoBSD projekt célja, hogy egy biztonságos, egyszerűen kezelhető, hálózati operációs rendszert adjon a felhasználói kezébe.

A Rick Collette-tel készült interjút elolvashatod itt.

Mint az a hivatalos OpenBSD FAQ-ban olvasható, az OpenBSD jelenleg nem tud bootolni 8GB-nál nagyobb partícióról. Ennek az az oka, hogy az OpenBSD boot folyamat néhány helyen a régebbi CHS (cylinder-head-sector) olvasási metódust alkalmazza.

Ahhoz, hogy az OpenBSD-ben megszűnjön ez a korlátozás, az kell, hogy a boot folyamat alkalmazza az LBA (logical block addressing) lemez-szektor olvasási sémát. Ehhez azokat a BIOS hívásokat kell alkalmazni, amelyek a Phoenix Enhanced Disk Drive Specification (EDD) névre hallgató dokumentumban van lefektetve.

Ahhoz, hogy az OpenBSD tudjon 8GB-nál nagyobb partícióról bootolni, az alábbi alrendszereket úgy kell módosítani, hogy azok LBA-képesek legyenek: