The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в OpenBSD PF, Oracle, PHP, ntpq, mod_perl, pptpsetup и f-prot

16.04.2009 13:43

Несколько новых уязвимостей:

  • В пакетном фильтре OpenBSD PF найдена уязвимость, приводящая к краху ядра системы при обработке специально оформленного IP пакета (к краху приводит сканирование через "nmap -sO"). Патч можно загрузить здесь.
  • В широком спектре продуктов Oracle (СУБД 9i, 10g и 11g, Application Server, E-Business Suite и т.п.) исправлено три опасные уязвимости, которые могут привести к выполнению кода через специальный POST запрос к opmn процессу через 6000 порт, выполнению подставных SQL запросов через манипуляции с пакетом DBMS_AQIN или получению доступа непривилегированного пользователя к APEX паролям.
  • В JSON парсере PHP до версии 5.2.9 обнаружена уязвимость, позволяющая злоумышленнику вызвать отказ в обслуживании (segmentation fault) при обработке в json_decode специально оформленного злоумышленником блока данных. Кроме того, несколько уязвимостей найдено в сборке PHP 5.2.9 для Windows.
  • В ntpq найдено переполнение буфера, которое может привести к выполнению кода при попытке синхронизации времени с NTP сервером злоумышленника. Проблема исправлена в NTP 4.2.4p7-RC2.
  • В Status.pm (Apache::Status и Apache2::Status) из Apache модуля mod_perl1 и mod_perl2 зафиксирована возможность совершения XSS-атак (Cross-site Scripting) через обработчик вывода статистики "/perl-status".
  • В утилите pptpsetup из Linux пакета PPTP Client найдена ошибка, связанная с некорректной установкой прав доступа на файл "/etc/ppp/chap-secrets" при использовании опции "--delete". После выполнения "--delete" администратором, локальный пользователь может подсмотреть пароли для оставшихся в конфигурационном файле pptp аккаунтов.
  • В антивирусе f-prot для Linux найдена уязвимость, связанная с возможностью вызова краха при запуске специально оформленного ELF файла.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21289-security
Ключевые слова: security, oracle, php, pf, openbsd, udev, mod_perl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, netc (ok), 16:52, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а как же любимая фраза опенбсд-ов
    что мол за восемь лет не было найдено не одной уязвимости ;(

    ну ни кто не ангел конечно

     
     
  • 2.2, Аноним (-), 16:55, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > мол за восемь лет не было найдено не одной уязвимости ;(

    Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и неуловим.А юзали б это на 50% серверов - вы бы узнали о ней много нового, не с лучшей стороны.А редкая экзотичная система хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще в лотерею миллион выиграть наверное.

     
     
  • 3.7, PereresusNeVlezaetBuggy (ok), 17:47, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> мол за восемь лет не было найдено не одной уязвимости ;(
    >
    >Опенбсд - это такой неуловимый Джо.Никому нахрен не нужен - потому и
    >неуловим.А юзали б это на 50% серверов - вы бы узнали
    >о ней много нового, не с лучшей стороны.А редкая экзотичная система
    >хакерам малоинтересна - траха много а ради чего?Сервер с этим найти?!Проще
    >в лотерею миллион выиграть наверное.

    Я пишу эти строки из-под OpenBSD. У меня на работе используется OpenBSD. На прошлой работе тоже используется OpenBSD. Некоторые мои друзья-коллеги в России, я бы даже сказал в Москве, тоже юзают OpenBSD. И если вы не в курсе, среди BSD-систем OpenBSD занимает второе место после FreeBSD: http://en.wikipedia.org/wiki/File:Bsd_distributions_usage.svg . Вы когда-нибудь использовали OpenSSH? Ведь использовали наверняка. А он тоже разрабатывается в рамках OpenBSD. sudo тоже сейчас курируется одним из разработчиков OpenBSD (Todd Miller). Ну а собственно PF был портирован даже на Windows. Да-да.

     
     
  • 4.23, cvsup (ok), 08:19, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ты им все равно ничего не докажешь. Они же чуваки (см. соседнюю ветку) и фанатично влюблены в свою промывающую мозг священную корову.
     
  • 4.31, Аноним (-), 20:35, 20/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >я бы даже сказал в Москве, тоже юзают OpenBSD.

    Вспомнился анекдот про войну чукч и китайцев, там где одних сто а других миллиард.

    P.S. кстати если следить за дырами то можно заметить что и в sudo и в openssh дыры находили, при том последние - не так уж и давно.С чего вы взяли что дыр нет в менее популярных а потому менее изученных кусках кода - вам виднее, а со стороны выглядит необоснованно и неубедительно.

    P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php

     
     
  • 5.32, PereresusNeVlezaetBuggy (ok), 01:03, 21/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>я бы даже сказал в Москве, тоже юзают OpenBSD.
    >
    >Вспомнился анекдот про войну чукч и китайцев, там где одних сто а
    >других миллиард.

    … Миллионы мух не могут ошибаться…

    >P.S. кстати если следить за дырами то можно заметить что и в
    >sudo и в openssh дыры находили, при том последние - не
    >так уж и давно.С чего вы взяли что дыр нет в
    >менее популярных а потому менее изученных кусках кода - вам виднее,
    >а со стороны выглядит необоснованно и неубедительно.
    >
    >P.P.S. А как ищут баги опенбсдшники - известно. Вот так: http://www.securitylab.ru/news/352795.php

    Именно. Только эта бага существовала задолго до появления на свет OpenBSD (а также Linux), и относилась практически ко всем BSD-системам. Так что факт находки и исправления данной проблемы как раз OpenBSD'шниками, ИМХО, им в плюс. Не они авторы этого кода (автор кода сейчас трудится в первую очередь на благо FreeBSD и вообще стоял у её истоков).

     
  • 5.33, PereresusNeVlezaetBuggy (ok), 01:11, 21/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >P.S. кстати если следить за дырами то можно заметить что и в
    >sudo и в openssh дыры находили, при том последние - не
    >так уж и давно.С чего вы взяли что дыр нет в
    >менее популярных а потому менее изученных кусках кода - вам виднее,
    >а со стороны выглядит необоснованно и неубедительно.

    Находили, и что? Вы хотите кому-то открыть глаза, что нет совершенных программ? Открою вам великую тайну: открывать глаза здесь особо некому. Мы живём в мире несовершенных программ. Доверять нельзя никому.

    И покажите мне, пожалуйста, с чего вы взяли, что я утверждаю, что в OpenBSD, OpenSSH, sudo и т.д. нет дыр. Ткните меня пальцем и я стыдливо умолкну.

     
  • 2.10, PereresusNeVlezaetBuggy (ok), 18:00, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а как же любимая фраза опенбсд-ов
    >что мол за восемь лет не было найдено не одной уязвимости ;(
    >
    >
    >ну ни кто не ангел конечно

    Читайте внимательно: "Only two remote holes in the default install, in more than 10 years!"

    Во-первых, "в установке по умолчанию". PF в установке по умолчанию не включён. Хотя бы потому, что прикрывать им нечего, по дефолту (идея которого хоть и не была придумана опёнковцами, но явно с их примера пошла в жизнь) в OpenBSD включён только sshd, да и то не обязательно. :)

    Во-вторых, к сожалению, две уязвимости таки найдено. :( И вторая была тоже связана с IPv6 и ICMP…

    В-третьих, уже в течение десяти лет. ;)

     

  • 1.3, xxx (??), 16:59, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сейчас у них на сайте: "Only two remote holes in the default install, in more than 10 years!".
    Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу дырок.
     
     
  • 2.6, Аноним (-), 17:09, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Сейчас у них на сайте: "Only two remote holes in the default
    >install, in more than 10 years!".

    "Нет безбажных программ.Есть недообследованные." (c) мне неизвестен.

     
  • 2.8, PereresusNeVlezaetBuggy (ok), 17:48, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Сейчас у них на сайте: "Only two remote holes in the default
    >install, in more than 10 years!".
    >Поэтому ничего страшного, они либо просто отмажутся, либо добавят +1 к числу
    >дырок.

    Не путайте DoS с Remote code execution.

     

  • 1.4, netc (ok), 17:05, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не ну вообще поражает как так простым сканированием выбить фаер


    а вообще у кого какое мнение по поводу pf

    често скажу прешел на него с iptables, синтаксис - крут ни чего не скажешь

    Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються

    ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от pf
    мне так показалось

     
     
  • 2.9, PereresusNeVlezaetBuggy (ok), 17:53, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >често скажу прешел на него с iptables, синтаксис - крут ни чего
    >не скажешь
    >
    >Но как то не так все понятно как с iptables - там
    >ты царь, а тут даже схемы нет как пакеты обрабатываються
    >
    >ИМХО Ну вообщем iptables очень наворочен, и очень гидок в отличии от
    >pf
    >мне так показалось

    Посмотрите внимательно diff, трабла (в очередной раз) связана с обработкой IPv6. Может, это смерть одного из KAME'овцев так влияет до сих пор, может, ещё что.

    Схема обработки пакетов детально разжёвана в man'e, равно как и в доступной в Сети книге "Building Firewalls with OpenBSD and PF". Кстати, в CURRENT произошли заметные изменения, о которых я, кажется, так и забыл новость сюда накатать, сейчас исправлюсь.

     
  • 2.12, Аноним (-), 18:51, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >не ну вообще поражает как так простым сканированием выбить фаер
    >

    Что тебя поражает то? А если б изощренный способ был, тебя это не поразило? Все равно нихера не понимаешь смысла этой атаки и ее механизма (природы ее, так сказать). Будто ты бы такой баги не допустил, можно подумать

    Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от гипер-мега-крутого программера

     
     
  • 3.14, netc (??), 19:32, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>не ну вообще поражает как так простым сканированием выбить фаер
    >>
    >
    >Что тебя поражает то? А если б изощренный способ был, тебя это
    >не поразило? Все равно нихера не понимаешь смысла этой атаки и
    >ее механизма (природы ее, так сказать). Будто ты бы такой баги
    >не допустил, можно подумать
    >
    >Такие умные все, блин, пошли... Что не коммент, то обязательно мнение от
    >гипер-мега-крутого программера

    если честно, то я себя мега программером не считаю
    я вообще начинающий сис. админ

    я просто удивлен, тому, что с каждым днем мне хоть и сложнее работать, но в то же время и интересней работая, каждый день заходить на любимый опеннет и следить за тем, что происходит в мире опенсорс;)

    а вот по теме того, что меня поражает как раз таки что ни кому верить нельзя. полагаться можно только на себя ;) - просто факт.

    вообщем то о опенбсд я узнал пытавшись устроиться на работу в одну контору сисадмином

    причем там много спрашивали а знаете ли вы о таких аттаках, а о таких знаете

    и вот настал тот час, когда я смело и абсолютно без зазрения совести могу послать ссылку на эту дыру, тому кто со мной вел собеседование и рассказывал мне, что у нас все под контролем

    ;)


    да хочу сказать, что сейчас у меня два сервака именно с pf.

    и замечу, что установив pf я понял очень много вещей, о которых раньше мог только догадываться

    во всем есть свои плючы и минусы

     
     
  • 4.28, Faceconrol (?), 19:55, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >если честно, то я себя мега программером не считаю
    >я вообще начинающий сис. админ

    Народная мудрость гласит что иногда тебе надо МНОГО читать, слушать и спрашивать и МАЛО выражать своё мнение. И тогда со временем начнут спрашивать у тебя :)

    По делу - ошибка в IPv6. Оно ещё принесет не одну и не две проблемы ... но двигаться все же нада :(

     
  • 2.13, iZEN (ok), 18:55, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Но как то не так все понятно как с iptables - там ты царь, а тут даже схемы нет как пакеты обрабатываються

    Правила PF имеют структуру описания из 7 разделов. В IPTABLES пишешь — как бог на душу положит.
    Почти как отличия C от Asm.

     
  • 2.22, linked (ok), 23:27, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Но как то не так все понятно как с iptables - там ты царь,
    > а тут даже схемы нет как пакеты обрабатываються

    Порядок прохождения пакетов в PF
    http://img210.imageshack.us/img210/3568/flow.png

     
     
  • 3.24, netc (ok), 09:32, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо огромное ;)
     

  • 1.5, netc (ok), 17:07, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    много раз пытался переписать правила которые у меня работали в iptables на pf

    ни фига - тут блин философия другая совершенно

    причем дай бог чтобы философия не мешала реальным нуждам ;)

     
     
  • 2.11, PereresusNeVlezaetBuggy (ok), 18:06, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables denial of service":
    http://lists.netfilter.org/pipermail/netfilter-devel/2004-April/015000.html

    Вторая ссылка гугла:
    http://secunia.com/advisories/9429/

    И т.д.

     
     
  • 3.15, netc (??), 19:52, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Первая ссылка гугла (отмотано чуть назад по истории сообщений) по запросу "iptables
    >denial of service":
    >http://lists.netfilter.org/pipermail/netfilter-devel/2004-April/015000.html
    >
    >Вторая ссылка гугла:
    >http://secunia.com/advisories/9429/
    >
    >И т.д.

    т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а

    ну в принципе как ниже заметили c и asm, соглашусь, на asm легче допустить ошибку ;)

     
     
  • 4.16, PereresusNeVlezaetBuggy (ok), 20:26, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>
    >>Вторая ссылка гугла:
    >>http://secunia.com/advisories/9429/
    >>
    >>И т.д.
    >
    >т.е. ты хочешь сказать, что у iptables все запущено пуще pf-а
    >
    >ну в принципе как ниже заметили c и asm, соглашусь, на asm
    >легче допустить ошибку ;)

    Насчёт того, запущеннее или нет — не возьмусь быть беспристрастным судьёй, а сравнение C и Asm, ИМХО, действительно довольно удачное, именно с такими выводами. :)

     
     
  • 5.17, netc (??), 20:36, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вообщем то единственное, что меня не устраивает в подходе к изучению pf так это то, что перевыв уже кучу мануалов и статей я ни где не нащел схемы как обрабатываються пакеты

    т.е. как в iptables

    я конечно понимаю, что она будет принципиальна иная

    я имею в виду что то типа схемы а третей главе вот этого мануала
    http://www.opennet.dev/docs/RUS/iptables/

    или вот позамороченней
    http://jengelh.medozas.de/images/nf-packet-flow.svg

    ну вообще у меня раньше была средняя схемка, ну там было все понятно
    что касаеться openBSD то ни в man pf, ни в faq на сайте, ни в man pf.conf ни чего такого я не нашел

    хоть бы главу что ли посвятили схеме, - ни фига только словестно, я конечно все понимаю, но блин собрать словестные вещи воедино ИМХО - это сложно.

    причем до сих пор из за этого страдаю

    т.е. как то все по отдельности описано, ну не нашел я еще полного мана, видимо прийдеться искать ту книжку про PF типа Understanding PF помоему. может там что то подобное будет

     
     
  • 6.18, iZEN (ok), 21:07, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >вообщем то единственное, что меня не устраивает в подходе к изучению pf
    >так это то, что перевыв уже кучу мануалов и статей я
    >ни где не нащел схемы как обрабатываються пакеты
    >
    >ну не нашел я еще
    >полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
    >PF помоему. может там что то подобное будет

    man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
    faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
    пример: http://www.lissyara.su/?id=1833


     
     
  • 7.19, netc (??), 21:49, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>так это то, что перевыв уже кучу мануалов и статей я
    >>ни где не нащел схемы как обрабатываються пакеты
    >>
    >>ну не нашел я еще
    >>полного мана, видимо прийдеться искать ту книжку про PF типа Understanding
    >>PF помоему. может там что то подобное будет
    >
    >man: http://www.freebsd.org/cgi/man.cgi?query=pf.conf
    >faq: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf
    >пример: http://www.lissyara.su/?id=1833

    сто раз читал ;)

     
     
  • 8.20, PereresusNeVlezaetBuggy (ok), 22:08, 16/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ну вот кортинго тогда Откуда выдрал - не помню, кажется... текст свёрнут, показать
     

  • 1.21, Dorlas (??), 22:28, 16/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Схема прохождения пакета...Ну тут вошел, оттуда вышел :)

    Принципы простые:

    1) Список правил проверяется и применяется на пакет на каждой сетевой, через которую он пройдет
    2) NAT на сетевой применяется первый (т.е. меняются заголовки) - и после список правил проверяется уже на пакет с измененным адресом/портом.

    Вот и вся схема.

    PS: Недавно мигрировал сервер с iptables/shorewall - около 600 правил на PF - получилось: 7 таблиц + 10 макросов + 40 правил.

     
     
  • 2.25, netc (ok), 09:35, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а че вполне реальная статистика

    у меня на iptables было куча непонятного бреда

    причем когда настраивал уже тогда понял

    что пройдет время и как все буду вспоминать и камменты не помогут

    так и есть почти ;)

    хотя конечно с iptables больше провозился, с pf пока сложно

    но ни чего тяжело в учении , легко в бою

     

  • 1.26, rm (??), 09:48, 17/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Dorlas
    даже добавлю что, если ты не верно написал порядок правил в pf,то pf просто не загрузит правила:))
    наверное поэтому у народа не часто возникают вопросы "как проходит пакет" :)
     
  • 1.27, Dorlas (??), 16:55, 17/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если внимательно прочитать документацию на PF хотя бы один раз - то сразу будет ... большой текст свёрнут, показать
     
     
  • 2.29, xeonvs (ok), 20:23, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Если внимательно прочитать документацию на PF хотя бы один раз - то
    >сразу будет формироваться правильный список правил и их порядок.
    >
    >Пример:
    >
    >
    >  ### Разрешить любые пакеты по loopback-интерфейсу ###
    >pass quick on lo0 all
    >

    зачем нагружать PF фильтрацией заведомо разрешенного траффика?
    правельнее это правило переписать так: set skip on { lo0 }
    т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе, то его надо добавить в skip

     
     
  • 3.30, PereresusNeVlezaetBuggy (ok), 20:28, 17/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>
    >>
    >>  ### Разрешить любые пакеты по loopback-интерфейсу ###
    >>pass quick on lo0 all
    >>
    >
    >зачем нагружать PF фильтрацией заведомо разрешенного траффика?
    >правельнее это правило переписать так: set skip on { lo0 }
    >т.е если условия задачи  позволяют не фильтровать трафик на определенном интерфейсе,
    >то его надо добавить в skip

    Строго говоря, опция skip появилась в PF не сразу. У меня до сих пор на работе стоят две машины с фряхой (в свете определённых событий обновлять их нет смысла), которые эту опцию не поддерживают. Хотя вообще трудно приветствовать такую геронтофилию. :) Кстати, лучше писать обычно "set skip on { lo }", т.к. иногда удобно создавать дополнительные loopback-интерфейсы.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру