OpenForum RSS: Опасная удалённая уязвимость в ядре Linux https://opennet.ru/openforum/vsluhforumID3/94976.html В ядре Linux исправлена (http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b22f5126a24b) опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP (http://ru.wikipedia.org/wiki/DCCP). При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.<br><br><br>Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена (http://marc.info/?l=oss-security&m=139505166223811) как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов Опасная удалённая уязвимость в ядре Linux (XoRe) https://opennet.ru/openforum/vsluhforumID3/94976.html#118 Mon, 24 Mar 2014 11:54:36 GMT &gt; Расскажите пожалуйста, каким образом произойдет изменение состояния? Что будет тому причиной, <br>&gt; какой механизм сработает?<br><br>iptables -L -t nat<br> Опасная удалённая уязвимость в ядре Linux (vi) https://opennet.ru/openforum/vsluhforumID3/94976.html#117 Sun, 23 Mar 2014 12:03:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; :( <br>&gt;&gt; Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh); <br>&gt;&gt; Кто прошляпил (может быть)?<br>&gt; Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfilter/nf_conntrack_proto_dccp.c?id=2bc780499aa33311ec0f3e42624dfaa7be0ade5e <br>&gt; commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e <br>&gt; Author: Patrick McHardy &lt;kaber@trash.net&gt; <br>&gt; Date: Thu Mar 20 15:15:55 2008 +0100 <br>&gt; [NETFILTER]: nf_conntrack: add DCCP protocol support <br>&gt; Add DCCP conntrack helper.<br>&gt; Thanks to Gerrit Renker &lt;gerrit@erg.abdn.ac.uk&gt; for review and testing.<br><br>Видать у парня клавиша минус продавлена, наверное много кодит. Или крошка под клавишу закатилась!<br>Вот только один вопрос, как тестируют? Или главное ввязаться, а там само понесет?<br>Ведь бывают же случаи, напишет человек программу, а она возьми и с первого раза работает и без ошибок ;) <br><br> Опасная удалённая уязвимость в ядре Linux (AlexAT) https://opennet.ru/openforum/vsluhforumID3/94976.html#116 Sun, 23 Mar 2014 08:16:20 GMT C 2008 года оно тупо никому не нужно было. LOL'd<br> Опасная удалённая уязвимость в ядре Linux (pavlinux) https://opennet.ru/openforum/vsluhforumID3/94976.html#115 Sat, 22 Mar 2014 22:32:14 GMT &gt;&gt; - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh); <br>&gt;&gt; + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh); <br>&gt;&gt; :( <br>&gt; Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh); <br>&gt; Кто прошляпил (может быть)?<br><br>Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfilter/nf_conntrack_proto_dccp.c?id=2bc780499aa33311ec0f3e42624dfaa7be0ade5e<br><br>commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e<br>Author: Patrick McHardy &lt;kaber@trash.net&gt;<br>Date: Thu Mar 20 15:15:55 2008 +0100<br><br>[NETFILTER]: nf_conntrack: add DCCP protocol support<br> <br>Add DCCP conntrack helper. <br>Thanks to Gerrit Renker &lt;gerrit@erg.abdn.ac.uk&gt; for review and testing.<br> <br><br><br><br> Опасная удалённая уязвимость в ядре Linux (pavlinux) https://opennet.ru/openforum/vsluhforumID3/94976.html#108 Sat, 22 Mar 2014 22:20:48 GMT Хе... в raw нету же POSTROUTING<br><br>... а это идея ]:-&gt; <br> Опасная удалённая уязвимость в ядре Linux (Аноним) https://opennet.ru/openforum/vsluhforumID3/94976.html#107 Sat, 22 Mar 2014 15:30:29 GMT просто в blacklist его вписать и все.<br> Опасная удалённая уязвимость в ядре Linux (Аноним) https://opennet.ru/openforum/vsluhforumID3/94976.html#106 Sat, 22 Mar 2014 15:26:49 GMT даже фтп не загружается, а уж это...<br> Опасная удалённая уязвимость в ядре Linux (rihad) https://opennet.ru/openforum/vsluhforumID3/94976.html#105 Sat, 22 Mar 2014 13:46:53 GMT Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP пакете.<br> Опасная удалённая уязвимость в ядре Linux (pavlinux) https://opennet.ru/openforum/vsluhforumID3/94976.html#103 Fri, 21 Mar 2014 12:58:10 GMT &gt; iptables -t raw -I OUTPUT -p dccp -j NOTRACK<br><br>Кстате, а чё не POSTROUTING? <br> <br>iptables -t raw -I POSTROUTING -p dccp -j NOTRACK<br><br>Выходящие из FORWARD проскакивают OUTPUT мимо. <br>