Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities

 ( trey | 2019. június 18., kedd - 8:11 )

A Netflix OSS projektje több, Linux és FreeBSD kerneleket érintő, TCP-alapú távoli szolgáltatásmegtagadásos (Denial of Service - DoS) sebezhetőség részleteit közölte. A figyelmeztető - benne a lehetséges ideiglenes, kerülő megoldásokkal - elolvasható itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem vagyok nagy Netflix-es, de jó látni, hogy vannak olyan cégek, akik rendesen visszaadnak a FOSS közösségnek és nem csak maguknak tartják meg az ilyen felfedezéseket.

---
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Biztos ott is van 1 lelkes maroknyi kis csapat, aki linux/oss-fanok, és jelentik ezeket. Majd kapnak maguk fölé valami fasz managert, és akkor ez a jó gyakorlat is tiltva lesz corporate policy-ből.
--

https://github.com/Netflix

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Azt remélem tudod, hogy a Netflix jelentős OSS committer, csomót adnak a FreeBSD-nek, kód szinten is, meg pénzügyileg is, a FreeBSD Foundation platina szintű támogatói.

Ehhez képest (meg ahhoz, hogy rendszeresen jön, hogy a Netflix-nél a FreeBSD így, a FreeBSD úgy) fájlalom, hogy míg a nagyobb Linux disztrók már reagáltak a hibákra, a FreeBSD-nél nagy csend van:

https://www.freebsd.org/security/advisories.html
https://marc.info/?l=freebsd-security-notifications&m=155796480625903&w=2

--
trey @ gépház

Mivel *gyárilag* nem érintett a hibában, hanem neked kell előidézned hogy érintett legyél, annyira azért nem gond talán.

Lásd:
http://docs.freebsd.org/cgi/mid.cgi?44o92vdk5u.fsf
és
http://docs.freebsd.org/cgi/mid.cgi?20190618145709.GI52008

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Az ugye megvan, hogy a RACK TCP stack-et, ami érintett, a Netflix készítette FreeBSD-hez? A saját kódjukban van a hiba.

https://reviews.freebsd.org/D15525

Mivel ez nem a default, maga a FreeBSD nem érintett.
A Netflix pedig közzétette a patchet, hogy aki érintett, az mit tegyen.

Nem, nem volt meg, mivel ezt az apróságot a bejelentés elfelejtette közölni. Az, hogy Zahy kikukázta mindenféle fórumból, nem nevezhető korrekt tájékoztatásnak.

"Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities"

Helyett akkor valahogy így kellett volna ennek szólnia:

"Linux kernel és a FreeBSD-hez kókányolt kódunk: ....."

--
trey @ gépház

"Biztos ott is van 1 lelkes maroknyi kis csapat, aki linux/oss-fanok, és jelentik ezeket."
Az hagyján, hogy jelentik, maga a hiba is a saját maguk által készített kódban van. Szóval nem csak hibákat jeleznek a megfelelő OSS projektekben, hanem okoznak is. :)

Ujra lehet DoSolni a NetAppokat :D

Megjött a Trey által hiányolt FreeBSD-s biztonsági bejelentés.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Most akartam éppen linkelni. Akkor vissza is térhetünk oda, hogy - sajnos - elég későn. Főleg úgy, hogy a tekintetbe vesszük a FreeBSD és a Netflix közti jó viszonyt és feltételezzük, hogy felelős közlés történt, azaz a Netflix a FreeBSD-t már jó előre értesítette.

--
trey @ gépház

Valóban lassúak voltak, de annyit azért tegyünk hozzá, hogy nem csak hiányzik a RACK az alapértelmezett kernelből, még a kernelmodult sem telepíti egy 12-es FreeBSD, szóval saját kernelt kell fordítani hozzá. Azaz aki bekapcsolta, az valószínűleg magától is tudta a cikk megjelenésének pillanatában, hogy mi módon kell kivédeni.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A megfelelő időben kiadott "minket nem érint" is tájékoztatás, amivel elkerülhető a bizonytalanság:

https://marc.info/?l=freebsd-security&m=156086886918162&w=2

"Are stock kernels/configurations affected? If so, will a fix or workaround be incorporated?"

https://marc.info/?l=freebsd-security&m=156086882518144&w=2

"How does I know if this is enabled in my default kernel on RELENG_12 ?
There is some vague mention in various forums this is not the default on FreeBSD ?
Can anyone shed more light as to how this does/does not impact FreeBSD ?"

https://marc.info/?l=freebsd-questions&m=156089374728079&w=2

"Date Entry Created: 20190107
Preallocated to nothing?
Or witheld under irresponsible disclosure thus keeping
users vulnerable to leaks, parallel discovery, and exploit
for at least five months more than necessary, and
unaware thus unable to consider potential local mitigations?"

https://marc.info/?l=freebsd-questions&m=156090289830727&w=2

"Thank you for your reply, and especially for the respectful tone. I
hope to drive a further positive discussion in the goal of enhanced
transparency.

It appears that Netflix's advisory (as of this writing) does not
include a timeline of events. Would FreeBSD be able to provide its
event timeline with regards to CVE-2019-5599?

Were any FreeBSD derivatives given advanced notice? If so, which ones?

Thanks for your time, resources, and continued correspondence."

https://marc.info/?l=freebsd-security&m=156091595901500&w=2

--
trey @ gépház