В операционной системе Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости (https://kb.juniper.net/InfoCenter/index?page=content&channel...). Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd, L2ALD, dcd, J-Web, telnetd ), так и ядра системы (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...).
Кроме DoS-уязвимостей можно выделить следующие проблемы:
- Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема проявляется только при активном сервисе RSH и при отключенном PAM;- Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах Juniper NFX позволяет (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получить удалённый доступ к системе без аутентификации, в случае если в системе задан хотя бы один пустой пароль (в настройках sshd разрешён вход с пустым паролем "PermitEmptyPasswords = yes");
- Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) запросить по DHCP присвоение клиенту определённого IP, несмотря на действующую привязку к MAC-адресу.
- 6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в Junos Space Network Management Platform, среди которых локальные уязвимости, позволяющие поднять свои привилегии и возможность выполнения произвольных локальных модулей PKCS#11 удалённым атакующим, получившим доступ к перенаправленному сокету ssh-агента;
- 6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в демоне синхронизации точного времени (ntpd), среди которых проблема CVE-2018-7183 (https://security-tracker.debian.org/tracker/CVE-2018-7183), позволяющая удалённо выполнить код в системе через отправку специально оформленного ответа;
- Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получения полного контроля за шлюзами vSRX во время их загрузки.URL: https://kb.juniper.net/InfoCenter/index?page=content&channel...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49426
Правильно я понимаю, что все эти многочисленные DoS-ы свойственны и FreeBSD, но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS и локальных повышений привилегий?
Juniper и FreeBSD это примерно как Рабинович и Beatles.
все правильно, разработчики freebsd считают проблему "permitemptypasswd=yes" (представляете, таки можно при этом зайти с пустым паролем, ну кто бы мог подумать?) находящейся в бестолковой прослойке между клавиатурой и креслом, и не видят смысла ее считать своей.исключение - CVE-2018-7183, но это проблема, держитесь за кресло - ntpq. Каким образом жунипер умудрился сделать ее проблемой своего _сервера_ - загадка природы.
вероятно, какая-нибудь интуитивноприятная хрень внутри системы используется для мониторинга или чего еще, и при этом неразборчиво заглатывает пакеты не только с лупбэка, но и извне.
> Правильно я понимаю, что все эти многочисленные DoS-ы свойственны и FreeBSD, но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS и локальных повышений привилегий?В смысле:
— поставить (депрекейтнутый и настойчиво несоветуемый) remote shell (RSH), отключив PAM
— запустить sshd с "PermitEmptyPasswords = yes",
— проигнонировать выпуск патчей (и адвизоря в придачу) для ntp CVE-2018-7183 https://www.freebsd.org/security/advisories/FreeBSD-SA-18:02...
> Module: ntp
> Announced: 2018-03-07
> V. Solution
> Perform one of the following:
> 1) Upgrade your vulnerable system to a supported FreeBSD stable or release / security branch (releng) dated after the correction date.— запилить свой блекдже^W вебтырьфейс с XSS и прочим радостями
— собственную дырявую НЁХ типа "A vulnerability in the Routing Protocols Daemon (RPD) with Juniper Extension Toolkit (JET)"в пингвине нельзя? Тогда да, правильно.
> в пингвине нельзя?видимо, "получить локальный доступ без аутентификации" при перезагрузке и прямом доступе к консоли в нем тоже нельзя ;-)
Таки можно. Заменив так или иначе sulogin на что попроще (bash например).
> Правильно я понимаю, что все эти многочисленные DoS-ы свойственны и FreeBSD,
> но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS
> и локальных повышений привилегий?НЕТ! эта реализация на стороне Juniper что в итоге дает эти уязвимости в ней.
> PermitEmptyPasswords = yesЭнтерпрайзЪ.
Сказал - как отрезал...
Я вообще удивлён что в sshd такая опция существует!
На фоне проблем Микротика траблы Джуна мелки и никого не волнуют!
> устранено 22 уязвимостиТрадиционный вопрос: в процентах это сколько?
Это поверхностные дыры, просто BSD никому не интересна в отличии от пингвина.
Дыры есть дыры. пролезут в твой "бусинесс нетворк" - о том какие они тебя будет интересовать в последнюю очередь.
Всего-лишь 22 уязвимости, хэх... 8/
> Всего-лишь 22 уязвимости, хэх... 8/Так это только устранённых :D
>> Всего-лишь 22 уязвимости, хэх... 8/
> Так это только устранённых :DПлюсую.
Прочитали похоже они доклад на опеннете, о найденных уявимостях
PermitEmptyPasswords = yesА чё, так можно было?!
Конечно можно - любой каприз за ваши деньги.
и кто-то пользуется этим дер#ьмом ? помнится лет 10 назад его безуспешно пытались двигать в СНГ сетевым маркетингом потные и злые мальчики. Особенно их бесило упоминание OpenWRT и Linux ;)
да, ты пользуешься, например, сейчас.> Особенно их бесило упоминание OpenWRT и Linux
тебе показалось. их бесила твоя некомпетентность и то что твой начальник такого притащил с собой на совещание для взрослых.
иди, расскажи ростелекому или, скажем, пчелайну что их оборудование надо выкинуть и заменить на пластиковые мыльницы с вжoпeнврт.
не, не пользуюсь, в Европе гавно не в почете как у тебя. А бесило их то, что такая же железка за $25 под Linux делала все лучше и быстрее. А главное безопаснее.
Даже не могу представить, о чём идёт речь, что за устройство 25$ за вы противопоставляете всей линейке продуктов Juniper.
разочарую, $25 железо стоило в то время - это был еще MIPS. Сейчас плата на AllWinner стартует с $5 (NanoPI семейство for ex.). А для осуществления функции роутера достаточно всего 2-ух интерфейсов... Продуктом это дерьмо назвать очень сложно, это надо иметь пипец какую фантазию ж)
Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам? Juniper в первую очередь делает продукты для операторов и бизнеса, даже не для SOHO.
> Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам?
> Juniper в первую очередь делает продукты для операторов и бизнеса, даже
> не для SOHO.Прочь полумеры, только Альт -- никаких мыльниц (он не лезет в) !
https://www.opennet.ru/openforum/vsluhforumID3/115492.html#102
> Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам?
> Juniper в первую очередь делает продукты для операторов и бизнеса, даже
> не для SOHO.Суть дела не меняет - используются другие карты и другое железо, но тот же скрепный Linux внутри ;) Все зависит от задач, вот прям сейчас работаю с железякой у которой 8 x 10GbE и 2 x 40GbE. Делать то может они и делают - но кто ж им пользуется в успешном мире ? Как по мне - это кривые поделия для бедных, не более
> прям сейчас работаю с железякой у которой 8 x 10GbE и 2 x 40GbEВон неподалёку шелестит (под альтом, ага) железяка, на которой 32x 100GE, но Вам вообще-то справедливо указали на "где Pi, а где магистральщина"...
так и этим людям справедливо указали на каком дне находятся ISP, использующие этот отстой
> А для осуществления функции роутера достаточно всего 2-ух интерфейсов.Сразу видно админа локалхоста. Нормальному роутеру достаточно 1-го физического сетевого интерфейса.
ну да - lo ;)
> ну да - lo ;)Это ему наверное на vlan так намекнули. И таки это умеет даже половина мыльниц с openwrt нынче. А вот если админ не в курсе что так можно было и что при таком раскладе достаточно 1 интерфейса...
Да ладно, не кормите тролля. Он считает, что мыльница с этим софтом справится на магистралях и всеми теми объёмами. Этожтотжежлинуксж!Вообще конечно интересно, как раньше такое было нормой. Зайти в консоль не значило, что ты что-то можешь :)
> Да ладно, не кормите тролля. Он считает, что мыльница с этим софтом
> справится на магистралях и всеми теми объёмами. Этожтотжежлинуксж!
> Вообще конечно интересно, как раньше такое было нормой. Зайти в консоль не
> значило, что ты что-то можешь :)что ж ты мыльницы на магистрали-то суешь. а... такие у тебя "магистрали"... ну тогда на них можно легко и гавнююпер ставить.
> иди, расскажи ростелекому или, скажем, пчелайну что их оборудование надо выкинуть и
> заменить на пластиковые мыльницы с вжoпeнврт.А два самых кривых и проблемных провайдера - специально выбраны или есть какие-то корреляции с обсудаемым предметом? :)