Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities

A Netflix OSS projektje több, Linux és FreeBSD kerneleket érintő, TCP-alapú távoli szolgáltatásmegtagadásos (Denial of Service - DoS) sebezhetőség részleteit közölte. A figyelmeztető - benne a lehetséges ideiglenes, kerülő megoldásokkal - elolvasható itt.

Hozzászólások

Nem vagyok nagy Netflix-es, de jó látni, hogy vannak olyan cégek, akik rendesen visszaadnak a FOSS közösségnek és nem csak maguknak tartják meg az ilyen felfedezéseket.

---
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Ehhez képest (meg ahhoz, hogy rendszeresen jön, hogy a Netflix-nél a FreeBSD így, a FreeBSD úgy) fájlalom, hogy míg a nagyobb Linux disztrók már reagáltak a hibákra, a FreeBSD-nél nagy csend van:

https://www.freebsd.org/security/advisories.html
https://marc.info/?l=freebsd-security-notifications&m=155796480625903&w…

--
trey @ gépház

Mivel *gyárilag* nem érintett a hibában, hanem neked kell előidézned hogy érintett legyél, annyira azért nem gond talán.

Lásd:
http://docs.freebsd.org/cgi/mid.cgi?44o92vdk5u.fsf
és
http://docs.freebsd.org/cgi/mid.cgi?20190618145709.GI52008

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nem, nem volt meg, mivel ezt az apróságot a bejelentés elfelejtette közölni. Az, hogy Zahy kikukázta mindenféle fórumból, nem nevezhető korrekt tájékoztatásnak.

"Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities"

Helyett akkor valahogy így kellett volna ennek szólnia:

"Linux kernel és a FreeBSD-hez kókányolt kódunk: ....."

--
trey @ gépház

Most akartam éppen linkelni. Akkor vissza is térhetünk oda, hogy - sajnos - elég későn. Főleg úgy, hogy a tekintetbe vesszük a FreeBSD és a Netflix közti jó viszonyt és feltételezzük, hogy felelős közlés történt, azaz a Netflix a FreeBSD-t már jó előre értesítette.

--
trey @ gépház

Valóban lassúak voltak, de annyit azért tegyünk hozzá, hogy nem csak hiányzik a RACK az alapértelmezett kernelből, még a kernelmodult sem telepíti egy 12-es FreeBSD, szóval saját kernelt kell fordítani hozzá. Azaz aki bekapcsolta, az valószínűleg magától is tudta a cikk megjelenésének pillanatában, hogy mi módon kell kivédeni.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A megfelelő időben kiadott "minket nem érint" is tájékoztatás, amivel elkerülhető a bizonytalanság:

https://marc.info/?l=freebsd-security&m=156086886918162&w=2

"Are stock kernels/configurations affected? If so, will a fix or workaround be incorporated?"

https://marc.info/?l=freebsd-security&m=156086882518144&w=2

"How does I know if this is enabled in my default kernel on RELENG_12 ?
There is some vague mention in various forums this is not the default on FreeBSD ?
Can anyone shed more light as to how this does/does not impact FreeBSD ?"

https://marc.info/?l=freebsd-questions&m=156089374728079&w=2

"Date Entry Created: 20190107
Preallocated to nothing?
Or witheld under irresponsible disclosure thus keeping
users vulnerable to leaks, parallel discovery, and exploit
for at least five months more than necessary, and
unaware thus unable to consider potential local mitigations?"

https://marc.info/?l=freebsd-questions&m=156090289830727&w=2

"Thank you for your reply, and especially for the respectful tone. I
hope to drive a further positive discussion in the goal of enhanced
transparency.

It appears that Netflix's advisory (as of this writing) does not
include a timeline of events. Would FreeBSD be able to provide its
event timeline with regards to CVE-2019-5599?

Were any FreeBSD derivatives given advanced notice? If so, which ones?

Thanks for your time, resources, and continued correspondence."

https://marc.info/?l=freebsd-security&m=156091595901500&w=2

--
trey @ gépház