The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от opennews on 13-Янв-06, 12:45 
В пакетном фильтре ipfw, входящем в состав FreeBSD 6.0, обнаружена неприятная уязвимость (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A04.ipfw.asc). Удаленный злоумышленник может вызвать отказ в обслуживании отправив специально сформированный пакет, подпадающий под "reset", "reject" или "unreach" правило фаервола.


Проблем можно избежать заменив все "reset", "reject" и "unreach"  действия на "deny".


Также опубликованы еще три сообщения о незначительных проблемах безопасности во входящих в базовую поставку FreeBSD 6.0 приложений:

-  Multiple vulnerabilities cpio (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A03.cpio.asc);
-  ee temporary file privilege escalation (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A02.ee.asc);

-  Texindex temporary file privilege escalation (ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A01.texindex.asc).

URL: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A04.ipfw.asc
Новость: http://www.opennet.dev/opennews/art.shtml?num=6785

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от Аноним on 13-Янв-06, 12:45 
В чем выражается отказ в обслуживании ? kernel panic ?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от ws email(ok) on 13-Янв-06, 13:54 
нормальные allow пакеты перестают проходить...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от cp dev on 13-Янв-06, 13:38 
thanx for founded bug + respect
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от Аноним on 13-Янв-06, 13:53 
а я по жизни только deny и прописывал :-(
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от link email(??) on 14-Янв-06, 19:46 
весёлый был тред, я хохотал до упаду. Особенно первый: "ну вот, началось!" :-))
Что можно сказать то здесь не в оффтопик?!
Ну нашли уязвимость, исправят теперь. Молодцы! Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать.
Надо вообще делать поменьше всяких прибамбахов. Нафиг они нужны, если никто не юзАет? KISS!
И pf я тоже юзаю. удобно пользовать pf для NAT и для логгинга, а ipfw для фильтрации. Незнаю, правда, эффективно ли это? в ядре сразу два фильтра наверное медленнее работает, чем один.

Спасибо разработчикам!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

20. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от Wulf on 15-Янв-06, 01:36 
> Я тоже, кстати, кроме deny ничем не пользовался раньше. Даже и не знал о таких возможностях, надо почитать.
Зря так. На компах через которые проходит веб-трафик, пакеты на как минимум один порт (113) надо не дропать, а режектить(т.е. ICMP посылать в ответ). Иначе часть сайтов (в основном - форумов) тормозить будет. Причем сильно.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

22. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от link email(??) on 15-Янв-06, 14:14 
Да, хотелось юы поподробнее узнать, в чем разница?
Нет ссылочки под рукой на разжёванное?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

23. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от Wulf on 15-Янв-06, 17:00 
>Да, хотелось юы поподробнее узнать, в чем разница?
>Нет ссылочки под рукой на разжёванное?

Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому порту. Если оно отбивается с port unreachable - то отдача страницы продолжается дальше сразу. Если в правилах стоит deny и в ответ ничего не приходит, то отдача страницы продолжается только по истечении таймаута на SYN+ACK ответ.
Для чего они так делают я точно не знаю, ответ можно поискать в RFC на auth сервис которому выделен этот порт.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

24. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от chip email(ok) on 15-Янв-06, 17:02 
>>Да, хотелось юы поподробнее узнать, в чем разница?
>>Нет ссылочки под рукой на разжёванное?
>
>Некотарая часть сайтов при запросе страниц пытаются установить встречное соединение по этому
>порту. Если оно отбивается с port unreachable - то отдача страницы
>продолжается дальше сразу. Если в правилах стоит deny и в ответ
>ничего не приходит, то отдача страницы продолжается только по истечении таймаута
>на SYN+ACK ответ.
>Для чего они так делают я точно не знаю, ответ можно поискать
>в RFC на auth сервис которому выделен этот порт.

Чего-то я первый раз об этом слышу. Но, ИМХО, какая-то наркотическая практика, напоминающая active ftp transfer.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

25. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от chip email(ok) on 15-Янв-06, 17:02 
>Для чего они так делают я точно не знаю, ответ можно поискать
>в RFC на auth сервис которому выделен этот порт.

Кстати, а можно URL'ы подобных ресурсов?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

28. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от Wulf on 16-Янв-06, 14:51 
> Кстати, а можно URL'ы подобных ресурсов?

Поскольку с этими граблями лет 5 назад разбирался, сейчас не вспомню. Тогда таких сайтов было немало.
Из того, что сейчас есть, можно глянуть, например, http://www.math.uwaterloo.ca/mfcf/faq/www_browse.html#www/ident_timeout.faq - описание решения этой проблемы для http://www.math.uwaterloo.ca/mfcf/, но где там такие страницы расположены - не знаю, не искал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

21. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от airo on 15-Янв-06, 12:09 
поподробнее, почему так происходит? режектить надо на шлюзах?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

26. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от impatt (??) on 16-Янв-06, 08:05 
>поподробнее, почему так происходит? режектить надо на шлюзах?

Боюсь оскорбить BSD-шников (судя по долгим наблюдениям за форумом на opennet, многие из высказывающихся - воинствующие снобы), но моё мнение такое: режектить надо всё, что не нужно пропускать, за исключением случаев явных атак, ибо ICMP сообщение о недостижимости сервиса убыстряет, облегчает (и всё такое) отладку сети другими жителями интернета.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

29. "ipfw из комплекта FreeBSD 6.0 подвержен DoS атаке"  
Сообщение от scum email(??) on 17-Янв-06, 18:05 
>судя по долгим наблюдениям за форумом на opennet, многие
>из высказывающихся - воинствующие снобы
согласен на 100%, но все таки лучше воинствующие снобы, чем воинствующие пустозвоны (это я про нехилую армия линуксоидов), правда?
А вот с мнением про тотальный reject я бы не согласился. Не надо забывать, что помимо админов есть еще и люди, занимающиеся безопасностью. Зачастую такие товарищи просто вынуждены в своей работе пользоваться разными там инструкциями и циркулярами, которые в основном требуют режектить траффик на локальных интерфейсах и тихо сбрасывать на внешних. Такие правила существуют не для красного словца, а почему так - это тема для нехилой статьи.
Могу посоветовать простой тест - сперва посканировать с помощью nmap firewall с правилами сброса типа deny, а потом заменить deny на reject и сравнить время, которое ушло на первый и второй скан. Для взломщика может такая разница и не важна, а вот безопаснику лишние несколько минут форы никогда не помешают. Опять же, больше режектов, более точный результат сканирования хоста на предмет определения действующих правил фильтрации. И т.д и т.п.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру