``A halál csomagja'' sebezhetőség a 2.6-os Linux kernelben

Kernel

Távolról kihasználható sebezhetőség található az összes 2.6-os Linux kernelben, mert helytelen változó típust tartalmaznak. A ``packet of death'' névre hallgató hiba az iptables-t érinti.A hiba csak akkor használható ki, ha az iptables rules matching TCP opcióinak valamelyikét használjuk (--tcp-option). A sikeres támadás DoS-hoz vezethet. A megfelelően formázott TCP csomagra az áldozat gép végtelen ciklusba esik, és felemészti az összes CPU erőforrását. Ettől a gép olyan állapotba kerül, hogy képtelen lesz válaszadásra. A hiba biztosan érinti az i386-os architektúrát, de valószínűsíthető, hogy a többi architektúra is érintett.

A hibát Adam Osuchowski és Tomasz Dubinski fedezte fel és javította ki. A hiba egyszerűen javítható azzal, hogy a változó típusát lecseréljük a helyes típusra, majd újrafordítjuk a kernelt.

Bővebben itt.

Elég végignézni a 2.6 első stabil kiadása óta megjelent "problémákat"...

Szerintem azért így gáz...Csak annyit kérek, nézd végig a listát! Semmi többet.

Sok ígéretes újdonság van a 2.6-ban, beleraktak i2c-t,sensorst, schedulert.aclt-

cryptot, vagyis ezt nem kell pecselni. Viszont "cserébe" feltúrták, szétverték pl. a szerintem jól működő modul-kezelést és bevezették ezt a module-init-tools megoldást. A cikkből láthatóan a csomagszűrést szintén.

Ha valami működik, ahhoz nem tudom miért kell hozzányúlni.

Egyszerűen nem bírom felfogni.

(~ezt windowsnál sem értem egyébként.

2000-től kezdve az egész rendszert az RPC/DCOM-n verték/verik keresztül, amiről tudjuk hova vezetett.

NT4-ből még simán "ki lehetett dobni", azóta meg minden servicest/szolgáltatást "belevertek" az RPC-be...)

--------

Akkor hup.hu eseményről.:

Hát most lehet szépíteni, hogy azért van, mert BSD van elötte.

Bár mondjuk thuglife-nak meg megy, meg akkor itt a gentoo , sehogy sem illik a képbe BSD-re mutogatni...sz'al...

Ez nekem erőltetett.

Szerintem az nagyjából teljesen körvonalazta a problémát, hogy

A.

Kernel X.Y-al megy.

Kernel 2.6.7-mmX -el meg nem megy.

Ez kernel probléma, na!

De lassan lehet, hogy ráerőszakolok a woodyra egy 2.6.7-mmX-et modultámogatás nélkül, aztán megnézem a HUP-ot, meg a packages.gentoo.org-t.

--------

Mióta a 2.6-ot stabilra kiadták azért "linuxhoz képest" gyakoriak a stabilitási, biztonsági problémák.

Ez persze nagyrészt abból is fakad, hogy sok extrát pakoltak bele, ami azért kezdeti időkben potenciális bugforrás.

Ez megvolt 2.4-es szériában is az elején (kb. -2.4.12), de nem ekkora, és ilyen "látványos" mértékben szerintem. Ha rosszul emléxem, majd kijavítotok...

Általános server célokra én nem merném használni 2.6-ot. még.

--------

Miert hasznalsz egyaltalan linuxot?

Előszőr is, mert BSD-hez hülye vagyok - de ez a forrásból mindent című műsor ez nekem még mindig rémisztő -, másodszor, mert fel lehet pecselni a kernelt, amivel a problémák forrásának jórészét ki lehet iktatni.

Harmadszor mert van választási lehetőség kernelek között is.

Nem csak 2.6-ból áll az "élet".

Az -mm kernel nem stabil kernel, abban kiserleteznek. Majd akkor panaszkodj, ha a 2.6.8-cal nem megy a HUP.

A HUP-pal se az a baj, hogy BSD meg nem is az h OpenBSD van elotte, hanem az, hogy az OpenBSD mar kicsit regi, frissiteni kene. Nincs azzal se baj, csak lehet, hogy nem tudja a tcp window scaling-et rendesen lekezelni.

Ezek a levelek valamiert mar nincsenek benne az archivumban:

--------------------------------------------------------------------------

Feladó: David S. Miller

Címzett: Kurt Lieber

Másolat: shemminger@osdl.org, azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Wed, 30 Jun 2004 15:06:02 -0700

On Wed, 30 Jun 2004 12:39:08 +0000

Kurt Lieber wrote:

> I've created a tarball, available at:

>

> http://packages.gentoo.org/.linux-2.4.20-wolk-4.14.tbz2

Oh man, _2.4.20_??? There are so many TCP bugs fixed since

then, in particular 2.4.21 had a ton of TCP fixes, as did

2.4.23. Nearly all of the 2.4.2X series has had some significant

netfilter fixes in it too.

Is that what gentoo is currently shipping as a stable kernel

or is there a more recent 2.4.2X based variant you can try?

Something 2.4.24 or later would be optimal. I bet if you upgrade

to something 2.4.24 or later the problem will go away.

------------------------------------------------------------------------

Feladó: Kurt Lieber

Címzett: David S. Miller

Másolat: Kurt Lieber , shemminger@osdl.org, azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Thu, 1 Jul 2004 01:15:49 +0000

On Wed, Jun 30, 2004 at 03:06:02PM -0700 or thereabouts, David S. Miller wrote:

> Oh man, _2.4.20_??? There are so many TCP bugs fixed since

> then, in particular 2.4.21 had a ton of TCP fixes, as did

> 2.4.23. Nearly all of the 2.4.2X series has had some significant

> netfilter fixes in it too.

>

> Is that what gentoo is currently shipping as a stable kernel

> or is there a more recent 2.4.2X based variant you can try?

> Something 2.4.24 or later would be optimal. I bet if you upgrade

> to something 2.4.24 or later the problem will go away.

The WOLK kernel series is based on .20, but actually has most of the

changes included in later releases. You can see the changelog here:

http://belnet.dl.sourceforge.net/sourceforge/wolk/2.4-WOLK-CHANGELOG

Also, Gentoo doesn't ship a specific kernel -- we support a number of

different options. That particular server doesn't seem to like kernels

other than WOLK, however.

--kurt

------------------------------------------------------------------------

Feladó: David S. Miller

Címzett: Kurt Lieber

Másolat: klieber@gentoo.org, shemminger@osdl.org, azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Wed, 30 Jun 2004 20:04:02 -0700

On Thu, 1 Jul 2004 01:15:49 +0000

Kurt Lieber wrote:

> The WOLK kernel series is based on .20, but actually has most of the

> changes included in later releases. You can see the changelog here:

Granted. But I did check and all the TCP bug fixes in 2.4.21 are

missing from that kernel tarball you gave to me.

-----------------------------------------------------------------------

Feladó: Stephen Hemminger

Címzett: Kurt Lieber

Másolat: David S. Miller , azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Wed, 30 Jun 2004 15:18:22 -0700

On Wed, 30 Jun 2004 12:39:08 +0000

Kurt Lieber wrote:

> On Tue, Jun 29, 2004 at 07:51:02PM -0700 or thereabouts, shemminger@osdl.org wrote:

> > I would like to set up a clone of the system (same kernel source) and

> > similar config and sysconfig settings. Could you make a tarball someplace?

>

> When I said we were using wolk-4.10_pre7 earlier, I was reading our

> grub.conf file wrong. We're actually using 4.14.

>

> I've created a tarball, available at:

>

> http://packages.gentoo.org/.linux-2.4.20-wolk-4.14.tbz2

>

> It contains the following:

>

> * source code of the kernel in use on the machine

> * bzImage-2.4.20-wolk-4.14#1.config (our kernel .config file)

> * sysctl.conf (our /etc/sysctl.conf file)

>

> Please let me know when you've downloaded the tarball so I can remove it.

Got it, it can go now.

-----------------------------------------------------------------------

Feladó: Stephen Hemminger

Címzett: Kurt Lieber

Másolat: David S. Miller , azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Wed, 30 Jun 2004 16:37:38 -0700

On Wed, 30 Jun 2004 12:39:08 +0000

Kurt Lieber wrote:

> On Tue, Jun 29, 2004 at 07:51:02PM -0700 or thereabouts, shemminger@osdl.org wrote:

> > I would like to set up a clone of the system (same kernel source) and

> > similar config and sysconfig settings. Could you make a tarball someplace?

>

> When I said we were using wolk-4.10_pre7 earlier, I was reading our

> grub.conf file wrong. We're actually using 4.14.

>

> I've created a tarball, available at:

>

> http://packages.gentoo.org/.linux-2.4.20-wolk-4.14.tbz2

>

> It contains the following:

>

> * source code of the kernel in use on the machine

> * bzImage-2.4.20-wolk-4.14#1.config (our kernel .config file)

> * sysctl.conf (our /etc/sysctl.conf file)

>

Okay, I got that kernel running on my test machine. and it isn't a problem in

the basic TCP code. What are your netfilter firewall rules?

-----------------------------------------------------------------------

Feladó: Kurt Lieber

Címzett: Stephen Hemminger

Másolat: Kurt Lieber , David S. Miller , azarah@nosferatu.za.org, jheffner@psc.edu, debi.janos@freemail.hu

Tárgy: Re: 2.6.7-mm1 - 2.6.7-mm4 weird http behavior

Dátum: Wed, 30 Jun 2004 23:56:45 +0000

On Wed, Jun 30, 2004 at 04:37:38PM -0700 or thereabouts, Stephen Hemminger wrote:

> Okay, I got that kernel running on my test machine. and it isn't a problem in

> the basic TCP code. What are your netfilter firewall rules?

Other than standard "open this port, drop that port" rules, the only

relevant rules are:

Chain web_in (1 references)

target prot opt source destination

ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:www limit: avg 10/sec burst 5 state NEW

LIMIT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:www state NEW

ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:https limit: avg 10/sec burst 5 state NEW

LIMIT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:https state NEW

ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:www state NEW

ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:https state NEW

--kurt

( zleho | 2004. 06. 30., sze – 22:48 )

thuglife?? valami hozzafuzni valo??:D

( Oscon | 2004. 07. 01., cs – 00:05 )

Hát nem úgy fest, hogy ez a 2.6 széria 2.6.12-re széles körben is használható lesz.

Remélem a sarge-ra nem tesznek 2.6-ost...

Tegnap volt a hup.hu bug mm1verzióval, ma meg ez...

Ez a 2.6 lassan Windows színvonal...

felemészti az összes CPU erőforrását.

Viszont íme egy remek teszt a grsec

RLIMIT_NPROC / gracl2 tesztelésére...

Én megtenném, csak nálam a 2.6 ismert okokból le sem fordul, és

a module-init gányolást inkább köszönöm nem...

Lehet hogy egyedül leszek a véleményemmel, de utoljára még

a 2.2.-es szériát találták el úgy istenigazából.

A 2.4-es már jóval "gyengébbre" sikeredett, de ez a 2.6-os, ez valami borzalom...

>Tegnap volt a hup.hu bug mm1verzióval, ma meg ez...

Amit persze lehet, hogy egy bugos OpenBSD doboz okoz, ami a HUP elott van..., csak a teljesseg kedveert. Meg nem tudni mi okozza, ki kell vizsgalni a dolgot. Egyelore nyomozzak a hozzaertok, hogy wtf

Hat ezt neveznem a szakertoi hozzaszolasnak.

Hasznalok 2.6-ot produktiv kornyezetben. Gyors es jo.

A bug amit _te_ bugnak hiszel az korantsem biztos hogy kernel bug.

Eleg nagy gaznak erzem h le sem birod forditani es megis velemenyt alkotsz.

Sokmindennel vadolhato a fejlesztes, de azzal h totalis csod kicsit eros.

Miert hasznalsz egyaltalan linuxot?

Mindenféle extra trükközés nélkül lefordult már a 2.6.0 is... Sarge alá raktam be. Nekem összesen egy dologgal van bajom: nem tudom Pentium IV-re fordítani, mert akkor fagy, kizárólag Pentium III-ként megy. :-( Ezt egyelőre kibírom. ;-) Viszont érezhetően gyorsabb lett a gépem. Szóval Windows színvonalhoz hasonlítani eléggé gáz... Főleg, ha ki sem próbáltad....

"Remélem a sarge-ra nem tesznek 2.6-ost..."

A béta telepítő experimental szinten támogatja a 2.6.x-ot.

>Nekem összesen egy dologgal van bajom: nem tudom Pentium IV-re fordítani, mert akkor fagy, kizárólag Pentium III-ként megy.

Akkor valamit nagyon rosszul csinalhatsz/***** a geped, mert nekem legalabb 10 darab 2.6-os boxom van Pentium 4 processzorokkal.

Ezek kozott van desktop processzor, xeon, es mobile sot centrino is. Mindegyik csont nelkul megy a 2.6-tal (2.5.70 ota). Sarge-al termeszetesen.