https://opennet.ru/openforum/vsluhforumID3/52608.html Несколько новых уязвимостей:<br><br><br><br><br>- В пакетном фильтре OpenBSD PF найдена (http://helith.net/txt/openbsd_4.3-current_pf_null_pointer_dereference_kernel_panic.txt) уязвимость, приводящая к краху ядра системы при обработке специально оформленного IP пакета (к краху приводит сканирование через "nmap -sO"). Патч можно загрузить здесь (ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.4/common/013_pf.patch).<br><br>- В широком спектре продуктов Oracle (СУБД 9i, 10g и 11g, Application Server, E-Business Suite и т.п.) исправлено (http://secunia.com/advisories/34693/) три опасные уязвимости, которые могут привести к выполнению кода через специальный POST запрос к opmn процессу через 6000 порт, выполнению подставных SQL запросов через манипуляции с пакетом DBMS_AQIN или получению доступа непривилегированного пользователя к APEX паролям.<br><br>- В JSON парсере PHP до версии 5.2.9 обнаружена (http://www.mandriva.com/en/security/advisories?name=MDVSA-2009:090) уязвимость, позволяющая злоумышленнику вызва...<br><br>URL: <br>Новость: http https://opennet.ru/openforum/vsluhforumID3/52608.html#33 Mon, 20 Apr 2009 21:11:52 GMT &gt;P.S. кстати если следить за дырами то можно заметить что и в <br>&gt;sudo и в openssh дыры находили, при том последние - не <br>&gt;так уж и давно.С чего вы взяли что дыр нет в <br>&gt;менее популярных а потому менее изученных кусках кода - вам виднее, <br>&gt;а со стороны выглядит необоснованно и неубедительно. <br><br>Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому.<br><br>И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#32 Mon, 20 Apr 2009 21:03:09 GMT &gt;&gt;я бы даже сказал в Москве, тоже юзают OpenBSD. <br>&gt;<br>&gt;Вспомнился анекдот про войну чукч и китайцев, там где одних сто а <br>&gt;других миллиард. <br><br>&#8230; Миллионы мух не могут ошибаться&#8230;<br><br>&gt;P.S. кстати если следить за дырами то можно заметить что и в <br>&gt;sudo и в openssh дыры находили, при том последние - не <br>&gt;так уж и давно.С чего вы взяли что дыр нет в <br>&gt;менее популярных а потому менее изученных кусках кода - вам виднее, <br>&gt;а со стороны выглядит необоснованно и неубедительно. <br>&gt;<br>&gt;P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php <br><br>Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#31 Mon, 20 Apr 2009 16:35:19 GMT &gt;я бы даже сказал в Москве, тоже юзают OpenBSD. <br><br>Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард.<br><br>P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно.<br><br>P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#30 Fri, 17 Apr 2009 16:28:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; ### Разрешить любые пакеты по loopback-интерфейсу ### <br>&gt;&gt;pass quick on lo0 all <br>&gt;&gt;<br>&gt;<br>&gt;зачем нагружать PF фильтрацией заведомо разрешенного траффика? <br>&gt;правельнее это правило переписать так: set skip on { lo0 } <br>&gt;т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе, <br>&gt;то его надо добавить в skip <br><br>Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#29 Fri, 17 Apr 2009 16:23:00 GMT &gt;Если внимательно прочитать документацию на PF хотя бы один раз - то <br>&gt;сразу будет формироваться правильный список правил и их порядок. <br>&gt;<br>&gt;Пример: <br>&gt;<br>&gt;<br>&gt; ### Разрешить любые пакеты по loopback-интерфейсу ### <br>&gt;pass quick on lo0 all <br>&gt;<br><br>зачем нагружать PF фильтрацией заведомо разрешенного траффика?<br>правельнее это правило переписать так: set skip on { lo0 }<br>т.е если условия задачи позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#28 Fri, 17 Apr 2009 15:55:20 GMT &gt;если честно, то я себя мега программером не считаю <br>&gt;я вообще начинающий сис. админ <br><br>Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :)<br><br>По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :( <br> https://opennet.ru/openforum/vsluhforumID3/52608.html#27 Fri, 17 Apr 2009 12:55:06 GMT Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет формироваться правильный список правил и их порядок.<br><br>Пример:<br><br> ############# 1) Макросы и списки ##############<br>if_ext_local="ng0"<br>if_ext_unlim="ng1"<br>if_inet="xl1"<br>if_lan="xl0"<br><br> ############# 2) Таблицы (tables) #######################<br><br> ############# 3) Опции PF (pf options) ##################<br><br> ############# 4) Scrub (нормализация) ###################<br><br>scrub in all fragment reassemble min-ttl 15 max-mss 1400<br>scrub in all no-df<br>scrub all reassemble tcp<br><br> ############# 5) Очереди (queries) ######################<br><br> ############# 6) Трансляция адресов (NAT) ###############<br><br>nat on $if_ext_local inet from 192.168.0.0/24 -&gt; ($if_ext_local)<br>nat on $if_ext_unlim inet from 192.168.0.0/24 -&gt; ($if_ext_unlim)<br><br> ############# 7) Правила фильтрации (filtering rules) ###<br><br> #######Блокирующие правила#######<br><br> ### Блокировать любые пакеты (правило по умолчанию) ###<br>block drop log al https://opennet.ru/openforum/vsluhforumID3/52608.html#26 Fri, 17 Apr 2009 05:48:17 GMT Dorlas<br>даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:))<br>наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)<br> https://opennet.ru/openforum/vsluhforumID3/52608.html#25 Fri, 17 Apr 2009 05:35:06 GMT а че вполне реальная статистика<br><br>у меня на iptables было куча непонятного бреда<br><br>причем когда настраивал уже тогда понял <br><br>что пройдет время и как все буду вспоминать и камменты не помогут<br><br>так и есть почти ;)<br><br>хотя конечно с iptables больше провозился, с pf пока сложно <br><br>но ни чего тяжело в учении , легко в бою<br>