The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.07.2015 10:52  В TCP-стеке FreeBSD устранена DoS-уязвимость

Во всех поддерживаемых ветках FreeBSD устранена неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.

При редком стечении обстоятельств проблема также может проявляться при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики не принесли успеха, поэтому в то время для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений. Сейчас разработчикам FreeBSD удалось выделить факторы, вызывающие проблему, и разработать устраняющий её патч.

Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:


   netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: freebsd, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, анон, 11:12, 22/07/2015 [ответить] [смотреть все]    [к модератору]
  • +/
    win xp, 2000, 2003 тоже подвержены? )))
     
     
  • 2.28, Анонимъ, 14:29, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +2 +/
    Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).
     
     
  • 3.36, Аноним, 14:53, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    Я не знаю Но исходящие порты у них до сих пор ведут себя так И лечится только ... весь текст скрыт [показать]
     
  • 3.38, Аноним, 15:40, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Восьмерочка доживает последние дни, а вот 2008 фря -- это такой алиас для 7мероч... весь текст скрыт [показать]
     
  • 2.44, Аноним, 18:40, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Пиздеж тупого сапожника В вопросе не разбираемся, но имеет смелость пузыри пус... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 09:52, 23/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят И проваливай... весь текст скрыт [показать]
     
     
  • 4.60, Аноним, 10:34, 23/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    написан микросовтом, чучело ... весь текст скрыт [показать]
     
     
  • 5.66, XoRe, 02:42, 26/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для реализации TCP IP стека и сокетов в windows NT 3 5 и windows 95 был взят код... весь текст скрыт [показать]
     
     
  • 6.68, wulf, 01:55, 27/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Камрад, попробуй сходить по своей ссылке и понять что там написано Поскольку ты... весь текст скрыт [показать]
     
  • 1.2, Аноним, 11:12, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Сервак не выдержал, и сгорел. Говорили же, нефиг с 4-ой версии обновляться.
     
  • 1.3, eRIC, 11:23, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    молодцы что нашли и устранили, все пользователи FreeBSD и его производные будут ликовать :)
     
     
  • 2.22, Sluggard, 13:42, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Если на каждую закрытую дырку ликовать 8212 любой пользователь ПК должен нахо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, 10й Брейтовский переулок, 14:02, 22/07/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Не пались, виндофил ))
     
     
  • 4.26, Sluggard, 14:04, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ты б хоть на авку мою посмотрел После чего, конечно, сразу на починку детектора... весь текст скрыт [показать]
     
     
  • 5.46, Аноним, 19:12, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Поняшкофил Или появился новый секретный форк зузи c шах W хотя не, не потянут ... весь текст скрыт [показать]
     
     
  • 6.47, Sluggard, 19:14, 22/07/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    На девианарте есть поняшки с символикой практически всех известных дистров. )
     
  • 3.55, анонимус вульгарис, 21:24, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Перманентного, что ли Словарь купи ... весь текст скрыт [показать]
     
     
  • 4.56, Sluggard, 21:26, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, пардон И спасибо, хоть и запоздало Что-то другое было в голове в этот мо... весь текст скрыт [показать]
     
  • 1.4, A.Stahl, 11:24, 22/07/2015 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Беда действительно серьёзная, но назвать скрипт для перезагрузки машины устране... весь текст скрыт [показать]
     
     
  • 2.13, YetAnotherOnanym, 12:23, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Вот здесь - https www freebsd org security advisories FreeBSD-SA-15 13 tcp asc... весь текст скрыт [показать] [показать ветку]
     
  • 2.11, eRIC, 12:12, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    пользователи Microsoft платят за поддержку и заплатки со стороны Microsoft, а то... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 13:46, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ой как я люблю эти истории успеха С этого места пожалуйста поподробней - скол... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 14:16, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Я, кстати, обращался к ним в поддержку, когда на терминалке у клиента упорно не ... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 14:50, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Дык проблема и не в тебе, а в тех кто принимает решения и продолжает платить... весь текст скрыт [показать]
     
  • 5.37, iZEN, 15:12, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Во сколько вам обошёлся сервер лицензирования софтовая часть ... весь текст скрыт [показать]
     
     
  • 6.59, Аноним, 09:54, 23/07/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Кому что, а изе - вантуз.
     
  • 4.51, eRIC, 19:32, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    коллега видимо вы вообще не работали с Microsoft на уровне Enterprise, когда у в... весь текст скрыт [показать]
     
     
  • 5.62, фцв, 21:12, 23/07/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а что ты ссылками тыкаешь, ты условия почитай. правильно человек написал.
     
  • 2.12, eRIC, 12:19, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    вам напомнить все опубликованные уязвимости Windows с времен Windows 98 учитыв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Stax, 15:59, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вы не понимаете разницу между давно не поддерживамые и не обновляемые ОС и Во... весь текст скрыт [показать]
     
     
  • 4.48, eRIC, 19:26, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    тут упор делала девченка на 7 лет срока давности а не на поддерживаемые и не под... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 19:32, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вы не поверите ... весь текст скрыт [показать]
     
     
  • 6.54, eRIC, 20:35, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    девченка не выдержала натиска минусов в свой адрес однако и испарилась из комм... весь текст скрыт [показать]
     
  • 5.52, Stax, 19:46, 22/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это так Но тут уж ничего не поделаешь хотя - можно попробовать на Обероне О... весь текст скрыт [показать]
     
  • 2.15, Ivan_83, 12:28, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    В винде каждый месяц латают огромные дыры, а тут такая фигня что мало у кого слу... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, bagas, 12:33, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ой , даладно, можно подумать мак и микрософт супер системы, говно дырявое ане ма... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, Аноним, 14:02, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ну да, а возможность, в течении 19 лет начиная с 95 форточки с помощью подгото... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, eRIC, 11:53, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    >Беда действительно серьёзная, но назвать скрипт для перезагрузки машины >"устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, >то костыль может оказаться весьма долгоиграющим) костыль.

    это OpenNET больше 7 лет назад придумал себе костыль перезагружать сервер чтобы освобождать.

    автор все правильно написал.

    касательно решения от FreeBSD, то да, уязвимость в стеке tcp устранили сейчас. так же был описан метод где можно было решать данную проблему удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно было перезагружать сервер чтобы очистить...

    простыми словами: если есть возможно обновись, если нет или не хочешь юзай костыль c tcpdrop

     
     
  • 2.40, Аноним, 16:12, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Костыль tcpdrop не решает проблему, а лишь даёт возможность отсрочить полный кол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Аноним, 01:38, 23/07/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А вот и белочки-истерички пожаловали ... весь текст скрыт [показать]
     
  • 1.17, iZEN, 12:39, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Должно быть актуально для торрент-раздач.
     
     
  • 2.32, Nicknnn, 14:43, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Торенты сейчас всё больше по UDP бегают.
     
  • 1.41, Аноним, 16:51, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    А что freebsd лучше чем linux? Ведь на ней нет utf-8.
     
     
  • 2.43, Параш, 18:30, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    utf-8 и unicode шрифты на FreeBSD 10 1 нативны и встроены в драйвер терминала vt... весь текст скрыт [показать] [показать ветку]
     
  • 2.49, Аноним, 19:30, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Ведь на ней нет utf-8.

    Вы так оригинально неповторимы! :)

     
     
  • 3.53, Херомант, 20:27, 22/07/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    у них пластинку заело. слоупоки
     
  • 1.42, Нанобот, 16:55, 22/07/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    >похожий эффект проявлялся на сервере opennet.ru

    там TIME_WAIT, тут LAST_ACK. может это другой баг?

     
  • 1.61, Аноним, 11:30, 23/07/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Когда обновление для Apple OS X прилетит? )))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor