https://www.opennet.me/openforum/vsluhforumID3/58414.html В пакете Dnsmasq (http://www.thekelleys.org.uk/dnsmasq/), объединяющем в себе кэширующий DNS прокси и DHCP сервер, обнаружено (http://www.coresecurity.com/content/dnsmasq-vulnerabilities) две уязвимости, позволяющие удаленному злоумышленнику добиться выполнения своего кода. Для проявления уязвимости Dnsmasq должен быть запущен с поддержкой TFTP-сервиса, которая по умолчанию не используется в сборке Dnsmasq из состава дистрибутивов OpenWRT и DD-WRT, на которых построено множество различных точек доступа и небольших маршрутизаторов. Уязвимости устранены в версии dnsmasq 2.50 (http://www.thekelleys.org.uk/dnsmasq/).<br><br><br>Компания Nokia объявила (http://qt.nokia.com/about/news/qt-patches-released-addressing-potential-security-flaw) о выпуске набора патчей исправлением проблем безопасности в библиотеке Qt версии 4.3.0 и выше. Проблема связана с ошибкой в реализации класса QSslCertificate и приводит к некорректному парсингу SAN (Subject Alternate Names) полей в сертификатах X.509, когда в эти...<br><br>URL: http://www.cor https://www.opennet.me/openforum/vsluhforumID3/58414.html#18 Thu, 03 Sep 2009 09:56:13 GMT &gt;То-то в прошлом году Fedora и Red Hat ключи меняли :-) Если <br>&gt;утащили SSH-ключ, то и ключ для подписывания пакетов можно утащить. <br><br>Вообще - в теории возможно возможно все. На практике некоторые вещи труднореализуемы а потому редки и\или маловероятны а в случае возникновения быстро устраняются. Выбор то в итоге какой? Если софт не апдейтить - однажды поимеют через найденные в старых версиях софта дыры. А если апдейтить - есть не нулевой риск что в сорцы апстрима, пакеты или там еще чего кто-то нехороший подложит бяку. Выбирая из двух зол - выбираем меньшее. Статистика взломов за столько лет вроде свидетельствует о том что выбор "апдейтить софт" (как минимум при современных реалиях) - в целом правильный. <br><br>А если рассуждать о том что в принципе может быть трындец - да, он может быть. Three Mile Island и Чернобыль тоже вон как оказалось - вполне возможны. Хотя и не должны бы были по идее случаться. Если уж люди могут в таких областях облажаться - то чего уж там про какие-то апдейтеры говорить.<br><br>&gt;Это ско https://www.opennet.me/openforum/vsluhforumID3/58414.html#17 Wed, 02 Sep 2009 20:47:52 GMT &gt;Проще простого, собирают материал про какого-нибудь разработчика бывшего хиппи <br>&gt;балующегося "травкой", <br><br>И чего? Остальные будут на это все смотреть? Да они вой на полинтернета поднимут. Оно кому-то надо?<br><br>&gt;Все, ключ в кармане, если вскроется - гнусные хакеры взломали сервер.<br><br>Попробуйте угадать через сколько это вскроется и какой резонанс вызовет? :).Какой-то почти научно фантастический сценарий. В дебияноподобных к тому же паливный и неудобный, потому что есть сорцы из которых делается пакет и все диффы как на ладони. Втихаря подпихнуть что-то в такой схеме и длительно оставаться незамеченным довольно проблематично. Например кто-то зафетчит сорцы и просечет несоответствие сорца бинарям или же левак в сорце (если там тоже бэкдор есть). И?<br> https://www.opennet.me/openforum/vsluhforumID3/58414.html#16 Wed, 02 Sep 2009 17:31:08 GMT &gt;не полдела. А подписать пакеты правильным ключом? А вот к таковым <br>&gt;ключам обычно относятся довольно щепетильно и прецедентов чтобы кто-то смог раздать <br>&gt;свой правильно подписанный пакет правильным ключом я что-то не припоминаю. <br><br>То-то в прошлом году Fedora и Red Hat ключи меняли :-) Если утащили SSH-ключ, то и ключ для подписывания пакетов можно утащить.<br><br>&gt;Опять же в теории - возможно. На практике - в изменения между <br>&gt;версий смотрят майнтайнеры и просто кучи любопытных. <br><br>Это скорее исключение из правил. Разработчики разные бывают, есть Google с двойным рецензированием кода и Postfix с очень жесткой проверкой патчей, а есть proftpd в который патчи раньше брали лишь бы собиралось. У мантейнеров тоже время не резиновое, оформили новую версию в пакет и за это спасибо, в код смотрят единицы, а тех кто аудитом занимается можно по пальцам пересчитать.<br><br>&gt;По-моему, заранее было понятно что инфраструктуры известных проектов будут ломать - вкусные <br>&gt;мишени. Можно рассматривать это как хороший признак - от https://www.opennet.me/openforum/vsluhforumID3/58414.html#15 Wed, 02 Sep 2009 11:38:41 GMT &gt;&gt;А подписать пакеты правильным ключом? А вот к таковым <br>&gt;<br>&gt;Проще простого, собирают материал про какого-нибудь разработчика бывшего хиппи балующегося "травкой", приезжает <br>&gt;дядька в погонах и говорит "будем заводить дело или как <br>&gt;?" Все, ключ в кармане, если вскроется - гнусные хакеры взломали <br>&gt;сервер. А то и утюг поможет. Зачем взламывать когда есть <br>&gt;человеческий фактор и социальная инженерия ? <br><br>Что б утюг ставить, надо знать с какой целью. <br><br>1. Явная цель - известна жертва, её софт, политика применения этого софта.<br><br> Пример, конкурент, юзающий opensource, RedHat, и постоянные апдейты. <br><br>2. Общая цель - сбор статистики, компромата, ....<br><br>Пример. ЦРУ, собирающая статистику по населению, пристрастия, политику, и т.п.,<br>для дальнейшего регулирования психикой населения, рождаемостью, длительностью жизни, <br>через ГМО продукты от фирм ВиммБильДан, Нестле, Mars LLC, Maggi, втираемые с шампунями,<br>вдуваемое с сигаретами. <br>Зачем устраивать терракты если население само всё это жрет,пьёт, курит. https://www.opennet.me/openforum/vsluhforumID3/58414.html#14 Wed, 02 Sep 2009 10:56:06 GMT &gt;А подписать пакеты правильным ключом? А вот к таковым <br><br>Проще простого, собирают материал про какого-нибудь разработчика бывшего хиппи балующегося "травкой", приезжает дядька в погонах и говорит "будем заводить дело или как ?" Все, ключ в кармане, если вскроется - гнусные хакеры взломали сервер. А то и утюг поможет. Зачем взламывать когда есть человеческий фактор и социальная инженерия ?<br> https://www.opennet.me/openforum/vsluhforumID3/58414.html#13 Wed, 02 Sep 2009 10:17:41 GMT &gt;Этот универсальный эксплоит теперь умеет ломиться не только через пульсаудио, но и через bluetooth инфраструктуру :) Но смысл не в этом, латать багу в ядре будут или нет? <br><br>вот даже и не знаю! :-D<br>у меня сей универсальный продукт выдаёт:<br>mmap: Permission denied<br>ведро от 16 августа. что обсуждаем сейчас, в сентябре - не понятно.<br> https://www.opennet.me/openforum/vsluhforumID3/58414.html#12 Wed, 02 Sep 2009 10:11:28 GMT &gt;В последнее время прослеживаются тенденции в попытке организации распространения <br>&gt;злонамеренного кода именно через обновления пакетов<br><br>В общем то логично, ибо удобный канал для массового заражения. Но дело в том что системы обновления в принципе создавались с учетом таких возможностей и неплохо держатся против таких реалий. Взлом сервера - даже не полдела. А подписать пакеты правильным ключом? А вот к таковым ключам обычно относятся довольно щепетильно и прецедентов чтобы кто-то смог раздать свой правильно подписанный пакет правильным ключом я что-то не припоминаю.<br><br>&gt; или новые версии программ.<br><br>Опять же в теории - возможно. На практике - в изменения между версий смотрят майнтайнеры и просто кучи любопытных. А какие-нибудь дебианщики еще и потормозят пару лет до интеграции новой версии апстрима, спортировав секурити фиксы в древнюю версию программы.В итоге стройной скоординированной атаки скорее всего не выйдет и вообще будет обнаружено быстрее чем хотелось бы хакерам, имхо.<br><br>&gt;Вскрывшиеся попытки взл https://www.opennet.me/openforum/vsluhforumID3/58414.html#11 Wed, 02 Sep 2009 09:04:29 GMT Этот универсальный эксплоит теперь умеет ломиться не только через пульсаудио, но и через bluetooth инфраструктуру :) Но смысл не в этом, латать багу в ядре будут или нет?<br>sudo sysctl vm.mmap_min_addr=65536<br>Это воркэраунд всетаки...<br> https://www.opennet.me/openforum/vsluhforumID3/58414.html#10 Wed, 02 Sep 2009 07:02:54 GMT &gt;А у меня на Debian Stable почему-то работает :( В Debian до сих пор не обновили ядро? <br><br>обсуждали ж уже - http://www.opennet.ru/opennews/art.shtml?num=23014<br>обираешь пульсаудио и sudo sysctl vm.mmap_min_addr=65536 (штоб не 0 было)<br><br>