В стандартном DHCP-клиенте (dhclient) обнаружена (https://www.isc.org/node/468) критическая уязвимость, позволяющая выполнить на машине клиента злонамеренный код с правами суперпользователя при обращении к размещенному в локальной сети DHCP серверу злоумышленника. Проблеме подвержены все ветки пакета ISC DHCP 4.1.x, 4.0.x , 3.1.x, 3.0.x и 2.0.x. Ошибка устранена в версиях 4.1.0p1, 4.0.1p1 и 3.1.2p1, ветки 3.0.x и 2.0.x официально уже не поддерживаются, для них необходимо вручную применить специальный патч.DHCP клиент консорциума ISC является эталонной реализацией и применяется во многих сторонних продуктах, наличие данной уязвимости в который можно отследить через данную страницу (http://www.kb.cert.org/vuls/id/410676).
URL: https://www.isc.org/node/468
Новость: https://www.opennet.ru/opennews/art.shtml?num=22622
Это вообще ахтунг! Пользуйтесь OpenBSD, программисты уже давно переписали эти поделки ISC
Ну во FreeBSD, к примеру, начиная с 5.4 OpenBSDшный клиент
> Пользуйтесь OpenBSD,Летайте самолетами Аэрофлота :)
>> Пользуйтесь OpenBSD,
> Летайте самолетами Аэрофлота :)некорректное, кстати, сравнение. AFAIU сегодня Аэрофлот эксплуатирует точно такие же самолёты, что и остальные топ-конторы РФ. по крайней мере летая в т.ч. на нём я не нашел каких-то существенных различий в их аэробусах.
ps: дада, я помню рекламку 'надёжно и быстро без лишних хлопот вас похоронит аэрофлот!'. но IMHO сегодня он ни чем не хуже [и не лучше] остальных контор.
// wbr
читать учись анонимус:
По словам одного из разработчиков SUSE Linux, данный дистрибутив, а также дистрибутивы основанные на коде Fedora и Red Hat Enterprise Linux, не подвержены данной уязвимости, так как код DHCP клиента собран с использованием опции FORTIFY_SOURCE,
вот так сюрприз.
не ссы, в нормальных сетях, если будешь флудить по дхцп, то тебя просто заблокируют на роутере
ндя, в опенсусе меня эту уязвимость закрыли вчера (т.е. в течении часа с открытия)
интересно dhcpcd тоже подвержен?
Чему подвержен? Вы сами поняли что спросили?
Интересно, а почему ВСЕ не используют опцию FORTIFY_SOURCE в критичных приложениях?
Наверное чтобы transaction per seconds было максимальным
Помнится, много-много лет назад, когда у соседей стало нехватать tps, они не стали снижать уровень контроля входных параметров, а поставили второй минивакс, хотя критичность их программы была пониже DHCP-сервера.
Ну ты сравнил! Тогда всем управляли люди с головой, а сейчас "[д]эффективные манагеры" ...
>Помнится, много-много лет назад,Ключевой момент.Много-много лет назад софт писали мозговитые програмеры, которые старались отвечать за свой труд и его качество так же как архитектор отвечает за построенное по его проекту здание.А потому старались делать на совесть.А потом кто попало уже понабежал на это поприще почуяв что там можно подзаработать.Правда вот в те времена не было толп хакеров и потому переполнениям буфферов уделяли меньше внимания.
И кстати так не только в софтостроении.Вот скажите, почему в блоке питания от 286 обычный 80мм кулер не сдох за добрый десяток лет работы?А современные аналоги - мрут как мухи за пару лет.
>И кстати так не только в софтостроении.Вот скажите, почему в блоке питания
>от 286 обычный 80мм кулер не сдох за добрый десяток лет
>работы?А современные аналоги - мрут как мухи за пару лет.Потому что тогда на этом _ещё_ не делали деньги, как сейчас.
А одноразовые продажи дешевых товаров никому не интересны.Кстати, насколько я знаю, есть хороший пример - гибкие (5,25) и твердые (3,5) дискеты.
Все накупили гибких дискет и довольны.
А они не ломаются (ну хотя бы не так, как 3,5 дискеты).
Что делать?
Надо изобрести, что будет "меньше по размеру, но больше по вместительности!" (а ещё чаще ломаться).
Вот и изобрели.
Вот и внедрили.
И целое поколение еб*лось с косяками дискет.
Есть такое понятие, как избыточное качество. Ну переплати вдвое за домашний десктоп, и пусть железо у тебя прослужит десять лет.
Малоактуальным оно правда станет уже года через три.
> Вот скажите, почему в блоке питания от 286 обычный 80мм кулер не сдох за добрый десяток лет работы?А современные аналоги - мрут как мухи за пару лет.А ты не ставь noname за 5 копеек.
Ага, это ж только представить! За 1 секунду надо успеть опросить десятки тысяч DHCP-серверов, выбрать самый качественный LEASE, перезапросить его, осведомиться, не появилось ли у кого чего посвежее, а потом окончательно применить его на сетевой стек. И так каждую секунду.
А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри корпоративной сети.
А как біть с городскими локальніми сетями?
Моск не жмет? Найдётся и в твоей сети пионер с загрузочной флэшкой ... и поставит "[д]эффективного админа" раком :) Воевать на подлодке с дырами - удовольствие еще то! Так что обновляйся - латай дыры.
Боюсь это уже существует. Не так давно в сети завелось 2 виндовых машинки которые пытались прикидываться dhcp сервером. причем не одной штатной службы которая бы вела себя так - не было.
Используйте коммутаторы с защитой dhcp, те же кошки к примеру. И плевать будет на подставные dhcp сервера в сети.
>Используйте коммутаторы с защитой dhcp, те же кошки к примеру.
>И плевать будет на подставные dhcp сервера в сети.Или же хотя бы https://roguedetect.bountysource.com.
--- cut ---
While generating a subnet number from the server-supplied leased address and subnet-mask 'dhclient' copies the information into a field without verifying if the length of the information exceeds the length of the field.Theoretically this allows a rogue DHCP server to execute arbitrary commands as root on the affected system through stack return subversion.
--- cut ---т.е., как уже было указано выше, проблема не в сервере, проблема в клиенте. дальше уже дело техники - встроить в виря простейший эмулятор DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный ботнет.
// wbr
>[оверквотинг удален]
>root on the affected system through stack return subversion.
>--- cut ---
>
>т.е., как уже было указано выше, проблема не в сервере, проблема в
>клиенте. дальше уже дело техники - встроить в виря простейший эмулятор
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.
>
>// wbrps: ну и поскольку в каждой сети нет нет да дайдётся одна машинка под виндой атаку можно начинать с неё[их]. дальше уже подминая под себя всё стадо. это к ответу на возможный вопрос 'а откуда в сети возьмётся вирь?'.
// wbr
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.Если посмотреть на список дистров которые уже обновились - если такое и будет то только у долбо... которые на обновления забили.А т.к. линух не страдает проблемами с пираси и в апдейтах не приезжает всякая шваль начинающая рассказывать что вы пират - там апдейты обычно ставят все-таки.А у некоторых других сорцы с fortify_source собраны, опять же - небольшой сюрприз хацкерам.
>[оверквотинг удален]
>root on the affected system through stack return subversion.
>--- cut ---
>
>т.е., как уже было указано выше, проблема не в сервере, проблема в
>клиенте. дальше уже дело техники - встроить в виря простейший эмулятор
>DHCP сервера ровно до стадии раздачи эксплойта. и в скором времени
>вся локалка, работающая под бесконечно защищённым линуксом, будет являть собою обычный
>ботнет.
>
>// wbrНу... для этого нужно представить, что никто не обновляет свой домашний линукс)
А это мало вероятно.
Ну а даже если кто-то не обновляет, петух в лоб ткнет (похакают) - включит обновление.
> Ну... для этого нужно представить, что никто не обновляет свой домашний линукс) А это мало вероятно.а мне почему то кажется, что с вероятностью >>50%. независимо от дистрибутива. стоит у меня, допустим, средней старости cent, debian или кто-то ещё. работает себе и кушать не хочет. нафига в нём что-то обновлять? 'солнце всходит? и заходит? вот и не трогай!' (с) анекдот. внезапная поломка системы после стотыщьного обновления может стоить конкретному пользователю существенно больше. тем более, что на раз плюнуть всё сломать под корень :-/
> Ну а даже если кто-то не обновляет, петух в лоб ткнет (похакают) - включит обновление.
поздно будет уже пить боржом. тем более, что, собственно, нужно ещё обнаружить, что на машину проставили руткит.
// wbr
Сразу предупреждаю, что мы говорим про домашний комп с линуксом, не серверный.> нафига в нём что-то обновлять? 'солнце всходит? и заходит? вот и не трогай!' (с)
Нафига?
Ну вот _хотя бы_ потому что (см. текст новости).
Теперь вы знаете, к чему может привести отсутствие обновлений.
Поэтому аргумент "а нафига" уже не работает.
> а мне почему то кажется, что с вероятностью >>50%. независимо от дистрибутива. стоит у меня, допустим, средней старости cent, debian или кто-то ещё. работает себе и кушать не хочет. нафига в нём что-то обновлять?Потому что есть репозитарии с обновлениями, где публикуют патчи. Можно ставить только security fix, если так боишься обновлений. Я уже несколько лет ставлю и патчи с пометкой recomended - не ломается.
Для средней старости Debian, Cent OS и т.п. так же исправно выходят патчи как и для свежих.
Если вдруг непонятно высказался по поводу репозитария с патчами в предыдущем посте. Security fix не обновляет пакет новыми функциональными возможностями, а только исправляет уязвимость. Так что при их установки ничего не ломается.
>А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри
>корпоративной сети.И что?Воткнет кто-то из сотрудников "хакерский" DHCP и порутает окружающие его машины... не больно то приятно.Если кто на ручнике, дыра - в *клиенте*.А не в сервере.
>А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри
>корпоративной сети.Понимаешь товарищ, в наши нелёгкие времена, опасность может подстерегать с обеих сторон.
Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?
>Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?ну если они выступают в роли DHCP клиента и крутят линуксу то с бОльшей вероятностью - да. впрочем, если во второе я охотно могу поверить, то первое же вызывает некоторые сомнения. бо нафига :-?
// wbr
>>Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?
>
>ну если они выступают в роли DHCP клиента и крутят линуксу то
>с бОльшей вероятностью - да. впрочем, если во второе я охотно
>могу поверить, то первое же вызывает некоторые сомнения. бо нафига :-?
>
>
>// wbrНафига роутеру быть dhcp клиентом на wan интерфейсе?
Потому что много кто раздает сетевые настройки по dhcp.
Купил роутер, подключил к провайдеру - сразу подцепились настройки.
А роутер раздает свой dhcp внутрь квартирной сети.
В идеале в настройки вообще не надо лезть.Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды (sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
Так что это очень неприятная уязвимость - список оборудования получается большой.
>Нафига роутеру быть dhcp клиентом на wan интерфейсе?
>Потому что много кто раздает сетевые настройки по dhcp.
>Купил роутер, подключил к провайдеру - сразу подцепились настройки.
>А роутер раздает свой dhcp внутрь квартирной сети.
>В идеале в настройки вообще не надо лезть.да, с этим соглашусь. мой DI-804 действительно умеет строить себя в WAN по DHCP и, охотно верю, этот путь может быть весьма востребован в определённых окружениях.
>Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды
>(sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
>Так что это очень неприятная уязвимость - список оборудования получается большой.хорошее, кстати, замечание. линукса - это не только SOHO маршрутизаторы. это ещё и целый зоопарк прочих полезных девайсов, которые как раз с бОльшей вероятностью строятся через DHCP. корпоративный сетевой принтер как точка раздачи всякого Г по интранету - чем не вариант? :)
// wbr
>[оверквотинг удален]
>>Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды
>>(sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
>>Так что это очень неприятная уязвимость - список оборудования получается большой.
>
>хорошее, кстати, замечание. линукса - это не только SOHO маршрутизаторы. это ещё
>и целый зоопарк прочих полезных девайсов, которые как раз с бОльшей
>вероятностью строятся через DHCP. корпоративный сетевой принтер как точка раздачи всякого
>Г по интранету - чем не вариант? :)
>
>// wbrЕсли "Г" - это вирусня, то да, соглашусь.
Поэтому новость очень неприятная.
Всяким "хакерам" за такое очень хорошо руки отрубать по самую шею.Если "Г" - это полезные ресурсы, то это не так удивительно.
Тут на опеннете у одного умельца контроллер домена был на смартфоне)
А фигли там, самбу поднять и доменную авторизацию прикрутить.
Да, конечно!
И даже вирусы специально под вашу модель роутера уже написаны. Список команд процессора, который установлен в вашем роутере и версия firmware определяется по ping-у. Бойтесь!!!
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!Ну вообще был ботнетец на soho-роутерах.Проц там у почти всех - MIPS :).А версия фирмвари не очень требовалась.Правда вот проникала троянщина крайне незачетно и беспонтово - не за счет красивого хака или там хитрого фокуса.А за счет административного долбо%^ства производителей роутеров зачем-то вывешивающих интерфейсы управления не только в LAN но и WAN, не требующих сменить пароль, ну и юзеров, не меняющих пароль.Штука лезла на роутер по дефолтному паролю и закачивала себя в ram-диск wget'ом.Уныло как-то, даже не хак а использование того что одни тупицы делают железки для других тупиц.
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!Если вы возьмете firmware к вашему роутеру и умудритесь его открыть, как архив или образ, то найдете там /usr, /etc /var и т.д. )
P.S.
Делать производителям нечего, кроме как тратить ресурсы на создание чего-то нового.
Взяли линукс, запихнули pptp/dhcp, настроили и вперед
Причем очень часто настраивают абы как.
И рутовый пароль оставляют что-нибудь типа root123.
>Да, конечно!
>И даже вирусы специально под вашу модель роутера уже написаны. Список команд
>процессора, который установлен в вашем роутере и версия firmware определяется по
>ping-у. Бойтесь!!!кажется след. новость именно для вас :)
https://www.opennet.ru/opennews/art.shtml?num=22629
// wbr
зачем постить новости с опозданием после обновления? oO
Тем более, если новость без ссылки на свежий одей, правда?
надо grsec & PAX в массы
В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в gentoo:NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when -O is set to 2 or higher.
>В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
>gentoo:
>
>NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
>-O is set to 2 or higher.а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть даже по пальцам двух рук.
// wbr
>а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту.
>// wbrЯ узнал что что то не так с Dhcp-client по тому что в RH и Debian Lenny приползли апдейты. А на форумах началось только на следующий день :)
Кстати wbr - ты уже узнал твой виндовс тоже подвержен или нет?
>>В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
>>gentoo:
>>
>>NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
>>-O is set to 2 or higher.
>
>а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть
>даже по пальцам двух рук.
>
>// wbrЕсли смотреть на домашнее использование, то рук вам понадобится в сто раз больше.
Если про серверный сегмент, то в десятки тысяч.
Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины все, на что она способна.
>Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины...и хозяина...
>все, на что она способна.
...причём опять-таки "она", а не "хозяин".
PS: easy :)
PPS: а где FORTIFY_SOURCE ещё не пользуются-то?