The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.07.2015 10:52  В TCP-стеке FreeBSD устранена DoS-уязвимость

Во всех поддерживаемых ветках FreeBSD устранена неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.

При редком стечении обстоятельств проблема также может проявляться при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики не принесли успеха, поэтому в то время для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений. Сейчас разработчикам FreeBSD удалось выделить факторы, вызывающие проблему, и разработать устраняющий её патч.

Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:


   netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: freebsd, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, анон, 11:12, 22/07/2015 [ответить] [смотреть все]
  • +/
    win xp, 2000, 2003 тоже подвержены? )))
     
     
  • 2.28, Анонимъ, 14:29, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).
     
     
  • 3.36, Аноним, 14:53, 22/07/2015 [^] [ответить] [смотреть все]
  • +/
    Я не знаю Но исходящие порты у них до сих пор ведут себя так И лечится только ... весь текст скрыт [показать]
     
  • 3.38, Аноним, 15:40, 22/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Восьмерочка доживает последние дни, а вот 2008 фря -- это такой алиас для 7мероч... весь текст скрыт [показать]
     
  • 2.44, Аноним, 18:40, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Пиздеж тупого сапожника В вопросе не разбираемся, но имеет смелость пузыри пус... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 09:52, 23/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят И проваливай... весь текст скрыт [показать]
     
     
  • 4.60, Аноним, 10:34, 23/07/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    написан микросовтом, чучело ... весь текст скрыт [показать]
     
     
  • 5.66, XoRe, 02:42, 26/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Для реализации TCP IP стека и сокетов в windows NT 3 5 и windows 95 был взят код... весь текст скрыт [показать]
     
     
  • 6.68, wulf, 01:55, 27/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Камрад, попробуй сходить по своей ссылке и понять что там написано Поскольку ты... весь текст скрыт [показать]
     
  • 1.2, Аноним, 11:12, 22/07/2015 [ответить] [смотреть все]  
  • +/
    Сервак не выдержал, и сгорел. Говорили же, нефиг с 4-ой версии обновляться.
     
  • 1.3, eRIC, 11:23, 22/07/2015 [ответить] [смотреть все]  
  • +1 +/
    молодцы что нашли и устранили, все пользователи FreeBSD и его производные будут ликовать :)
     
     
  • 2.22, Sluggard, 13:42, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Если на каждую закрытую дырку ликовать 8212 любой пользователь ПК должен нахо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, 10й Брейтовский переулок, 14:02, 22/07/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Не пались, виндофил ))
     
     
  • 4.26, Sluggard, 14:04, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты б хоть на авку мою посмотрел После чего, конечно, сразу на починку детектора... весь текст скрыт [показать]
     
     
  • 5.46, Аноним, 19:12, 22/07/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Поняшкофил Или появился новый секретный форк зузи c шах W хотя не, не потянут ... весь текст скрыт [показать]
     
     
  • 6.47, Sluggard, 19:14, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    На девианарте есть поняшки с символикой практически всех известных дистров. )
     
  • 3.55, анонимус вульгарис, 21:24, 22/07/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Перманентного, что ли Словарь купи ... весь текст скрыт [показать]
     
     
  • 4.56, Sluggard, 21:26, 22/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Да, пардон И спасибо, хоть и запоздало Что-то другое было в голове в этот мо... весь текст скрыт [показать]
     
  • 1.4, A.Stahl, 11:24, 22/07/2015 [ответить] [смотреть все]  
  • –6 +/
    Беда действительно серьёзная, но назвать скрипт для перезагрузки машины устране... весь текст скрыт [показать]
     
     
  • 2.13, YetAnotherOnanym, 12:23, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Вот здесь - https www freebsd org security advisories FreeBSD-SA-15 13 tcp asc... весь текст скрыт [показать] [показать ветку]
     
  • 2.11, eRIC, 12:12, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    пользователи Microsoft платят за поддержку и заплатки со стороны Microsoft, а то... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 13:46, 22/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Ой как я люблю эти истории успеха С этого места пожалуйста поподробней - скол... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 14:16, 22/07/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Я, кстати, обращался к ним в поддержку, когда на терминалке у клиента упорно не ... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 14:50, 22/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Дык проблема и не в тебе, а в тех кто принимает решения и продолжает платить... весь текст скрыт [показать]
     
  • 5.37, iZEN, 15:12, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Во сколько вам обошёлся сервер лицензирования софтовая часть ... весь текст скрыт [показать]
     
     
  • 6.59, Аноним, 09:54, 23/07/2015 [^] [ответить] [смотреть все]  
  • +/
    Кому что, а изе - вантуз.
     
  • 4.51, eRIC, 19:32, 22/07/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    коллега видимо вы вообще не работали с Microsoft на уровне Enterprise, когда у в... весь текст скрыт [показать]
     
     
  • 5.62, фцв, 21:12, 23/07/2015 [^] [ответить] [смотреть все]  
  • +/
    а что ты ссылками тыкаешь, ты условия почитай. правильно человек написал.
     
  • 2.12, eRIC, 12:19, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    вам напомнить все опубликованные уязвимости Windows с времен Windows 98 учитыв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Stax, 15:59, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы не понимаете разницу между давно не поддерживамые и не обновляемые ОС и Во... весь текст скрыт [показать]
     
     
  • 4.48, eRIC, 19:26, 22/07/2015 [^] [ответить] [смотреть все]  
  • +/
    тут упор делала девченка на 7 лет срока давности а не на поддерживаемые и не под... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 19:32, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы не поверите ... весь текст скрыт [показать]
     
     
  • 6.54, eRIC, 20:35, 22/07/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    девченка не выдержала натиска минусов в свой адрес однако и испарилась из комм... весь текст скрыт [показать]
     
  • 5.52, Stax, 19:46, 22/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Это так Но тут уж ничего не поделаешь хотя - можно попробовать на Обероне О... весь текст скрыт [показать]
     
  • 2.15, Ivan_83, 12:28, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    В винде каждый месяц латают огромные дыры, а тут такая фигня что мало у кого слу... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, bagas, 12:33, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ой , даладно, можно подумать мак и микрософт супер системы, говно дырявое ане ма... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, Аноним, 14:02, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ну да, а возможность, в течении 19 лет начиная с 95 форточки с помощью подгото... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, eRIC, 11:53, 22/07/2015 [ответить] [смотреть все]  
  • +3 +/
    >Беда действительно серьёзная, но назвать скрипт для перезагрузки машины >"устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, >то костыль может оказаться весьма долгоиграющим) костыль.

    это OpenNET больше 7 лет назад придумал себе костыль перезагружать сервер чтобы освобождать.

    автор все правильно написал.

    касательно решения от FreeBSD, то да, уязвимость в стеке tcp устранили сейчас. так же был описан метод где можно было решать данную проблему удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно было перезагружать сервер чтобы очистить...

    простыми словами: если есть возможно обновись, если нет или не хочешь юзай костыль c tcpdrop

     
     
  • 2.40, Аноним, 16:12, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Костыль tcpdrop не решает проблему, а лишь даёт возможность отсрочить полный кол... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Аноним, 01:38, 23/07/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А вот и белочки-истерички пожаловали ... весь текст скрыт [показать]
     
  • 1.17, iZEN, 12:39, 22/07/2015 [ответить] [смотреть все]  
  • –1 +/
    Должно быть актуально для торрент-раздач.
     
     
  • 2.32, Nicknnn, 14:43, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Торенты сейчас всё больше по UDP бегают.
     
  • 1.41, Аноним, 16:51, 22/07/2015 [ответить] [смотреть все]  
  • –5 +/
    А что freebsd лучше чем linux? Ведь на ней нет utf-8.
     
     
  • 2.43, Параш, 18:30, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    utf-8 и unicode шрифты на FreeBSD 10 1 нативны и встроены в драйвер терминала vt... весь текст скрыт [показать] [показать ветку]
     
  • 2.49, Аноним, 19:30, 22/07/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Ведь на ней нет utf-8.

    Вы так оригинально неповторимы! :)

     
     
  • 3.53, Херомант, 20:27, 22/07/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    у них пластинку заело. слоупоки
     
  • 1.42, Нанобот, 16:55, 22/07/2015 [ответить] [смотреть все]  
  • +/
    >похожий эффект проявлялся на сервере opennet.ru

    там TIME_WAIT, тут LAST_ACK. может это другой баг?

     
  • 1.61, Аноним, 11:30, 23/07/2015 [ответить] [смотреть все]  
  • +/
    Когда обновление для Apple OS X прилетит? )))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor