The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.07.2009 12:12  Критическая уязвимость в коде эталонного DHCP-клиента ISC

В стандартном DHCP-клиенте (dhclient) обнаружена критическая уязвимость, позволяющая выполнить на машине клиента злонамеренный код с правами суперпользователя при обращении к размещенному в локальной сети DHCP серверу злоумышленника. Вероятность успешного внедрения такого сервера велика не только в публичных беспроводных сетях, в обычных локальных сетях факт присутствия дополнительного фиктивного DHCP сервера может долго оставаться не обнаруженным.

Проблеме подвержены все ветки пакета ISC DHCP 4.1.x, 4.0.x , 3.1.x, 3.0.x и 2.0.x. Ошибка устранена в версиях 4.1.0p1, 4.0.1p1 и 3.1.2p1, ветки 3.0.x и 2.0.x официально уже не поддерживаются, для них необходимо вручную применить специальный патч. В настоящий момент исправления официально выпущены проектами NetBSD, Slackware Linux, Gentoo, Mandriva, OpenSUSE, Ubuntu, Debian GNU/Linux.

DHCP клиент консорциума ISC является эталонной реализацией и применяется во многих сторонних продуктах, наличие данной уязвимости в которых можно отследить через данную страницу. По словам одного из разработчиков SUSE Linux, данный дистрибутив, а также дистрибутивы основанные на коде Fedora и Red Hat Enterprise Linux, не подвержены данной уязвимости, так как код DHCP клиента собран с использованием опции FORTIFY_SOURCE, мешающей успешному проведению атаки через переполнение буфера (проверка размера буфера в strcpy). OpenBSD и FreeBSD не подвержены проблеме, так как в них используется собственная модифицированная реализация DHCP клиента.

  1. Главная ссылка к новости (https://www.isc.org/node/468...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dhcp, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:22, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Это вообще ахтунг! Пользуйтесь OpenBSD, программисты уже давно переписали эти поделки ISC
     
     
  • 2.3, Vitaly_loki (ok), 12:33, 16/07/2009 [^] [ответить]    [к модератору]
  • +/
    Ну во FreeBSD, к примеру, начиная с 5.4 OpenBSDшный клиент
     
  • 2.28, User294 (ok), 21:27, 16/07/2009 [^] [ответить]    [к модератору]
  • +/
    > Пользуйтесь OpenBSD,

    Летайте самолетами Аэрофлота :)

     
     
  • 3.44, klalafuda (?), 00:32, 17/07/2009 [^] [ответить]     [к модератору]
  • +/
    некорректное, кстати, сравнение AFAIU сегодня Аэрофлот эксплуатирует точно таки... весь текст скрыт [показать]
     
  • 2.46, szh (ok), 00:39, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    читать учись анонимус По словам одного из разработчиков SUSE Linux, данный дис... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 12:28, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вот так сюрприз.
     
     
  • 2.58, поцанчик (ok), 03:09, 18/07/2009 [^] [ответить]    [к модератору]  
  • +/
    не ссы, в нормальных сетях, если будешь флудить по дхцп, то тебя просто заблокируют на роутере
     
  • 1.4, Уноним (?), 12:56, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ндя, в опенсусе меня эту уязвимость закрыли вчера (т.е. в течении часа с открытия)
     
  • 1.5, mike lee (?), 12:57, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    интересно dhcpcd тоже подвержен?
     
     
  • 2.22, 1 (??), 18:58, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Чему подвержен? Вы сами поняли что спросили?
     
  • 1.6, zhus (ok), 13:40, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, а почему ВСЕ не используют опцию FORTIFY_SOURCE в критичных приложениях?
     
     
  • 2.8, Aleksey (??), 14:14, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Наверное чтобы transaction per seconds было максимальным
     
     
  • 3.10, zhus (ok), 14:45, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Помнится, много-много лет назад, когда у соседей стало нехватать tps, они не ста... весь текст скрыт [показать]
     
     
  • 4.13, Warhead Wardick (?), 17:53, 16/07/2009 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну ты сравнил! Тогда всем управляли люди с головой, а сейчас "[д]эффективные манагеры" ...
     
  • 4.29, User294 (ok), 21:38, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Ключевой момент Много-много лет назад софт писали мозговитые програмеры, которые... весь текст скрыт [показать]
     
     
  • 5.35, XoRe (ok), 23:34, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Потому что тогда на этом _ещё_ не делали деньги, как сейчас А одноразовые прода... весь текст скрыт [показать]
     
     
  • 6.57, PhoeniX (??), 19:05, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Есть такое понятие, как избыточное качество. Ну переплати вдвое за домашний десктоп, и пусть железо у тебя прослужит десять лет.
    Малоактуальным оно правда станет уже года через три.
     
  • 5.60, IGX (?), 13:21, 19/07/2009 [^] [ответить]    [к модератору]  
  • +/
    > Вот скажите, почему в блоке питания от 286 обычный 80мм кулер не сдох за добрый десяток лет работы?А современные аналоги - мрут как мухи за пару лет.

    А ты не ставь noname за 5 копеек.

     
  • 3.25, GateKeeper (??), 20:51, 16/07/2009 [^] [ответить]     [к модератору]  
  • –1 +/
    Ага, это ж только представить За 1 секунду надо успеть опросить десятки тысяч D... весь текст скрыт [показать]
     
  • 1.11, pahan (??), 15:28, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри корпоративной сети.
     
     
  • 2.14, Антон (??), 17:57, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    А как біть с городскими локальніми сетями?
     
  • 2.15, Warhead Wardick (?), 17:58, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Моск не жмет Найдётся и в твоей сети пионер с загрузочной флэшкой и постави... весь текст скрыт [показать]
     
     
  • 3.21, _umka_ (??), 18:37, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Боюсь это уже существует. Не так давно в сети завелось 2 виндовых машинки которые пытались прикидываться dhcp сервером. причем не одной штатной службы которая бы вела себя так - не было.
     
     
  • 4.49, deepwalker (??), 05:51, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Используйте коммутаторы с защитой dhcp, те же кошки к примеру. И плевать будет на подставные dhcp сервера в сети.
     
     
  • 5.55, Michael Shigorin (ok), 17:56, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >Используйте коммутаторы с защитой dhcp, те же кошки к примеру.
    >И плевать будет на подставные dhcp сервера в сети.

    Или же хотя бы https://roguedetect.bountysource.com.

     
  • 2.16, klalafuda (?), 17:58, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    --- cut --- While generating a subnet number from the server-supplied leased add... весь текст скрыт [показать]
     
     
  • 3.17, klalafuda (?), 18:01, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален ps ну и поскольку в каждой сети нет нет да дайдётся одн... весь текст скрыт [показать]
     
  • 3.31, User294 (ok), 21:47, 16/07/2009 [^] [ответить]     [к модератору]  
  • –1 +/
    Если посмотреть на список дистров которые уже обновились - если такое и будет то... весь текст скрыт [показать]
     
  • 3.38, XoRe (ok), 23:48, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Ну для этого нужно представить, что никто не обновляе... весь текст скрыт [показать]
     
     
  • 4.40, klalafuda (?), 00:19, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    а мне почему то кажется, что с вероятностью 50 независимо от дистрибутива с... весь текст скрыт [показать]
     
     
  • 5.50, XoRe (ok), 10:02, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Сразу предупреждаю, что мы говорим про домашний комп с линуксом, не серверный Н... весь текст скрыт [показать]
     
  • 5.53, Kaiser (ok), 14:40, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Потому что есть репозитарии с обновлениями, где публикуют патчи Можно ставить т... весь текст скрыт [показать]
     
  • 5.54, Kaiser (ok), 14:43, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Если вдруг непонятно высказался по поводу репозитария с патчами в предыдущем пос... весь текст скрыт [показать]
     
  • 2.34, User294 (ok), 21:55, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    И что Воткнет кто-то из сотрудников хакерский DHCP и порутает окружающие его м... весь текст скрыт [показать]
     
  • 2.59, поцанчик (ok), 03:14, 18/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >А на кой выставлять DHCP на всенародное обозрение? Это должно быть внутри
    >корпоративной сети.

    Понимаешь товарищ, в наши нелёгкие времена, опасность может подстерегать с обеих сторон.

     
  • 1.12, Vcoder (?), 15:47, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, а всякие железки типа wi-fi роутеров тоже подвержены этой уязвимости?
     
     
  • 2.18, klalafuda (?), 18:04, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    ну если они выступают в роли DHCP клиента и крутят линуксу то с бОльшей вероятно... весь текст скрыт [показать]
     
     
  • 3.37, XoRe (ok), 23:44, 16/07/2009 [^] [ответить]     [к модератору]  
  • +/
    Нафига роутеру быть dhcp клиентом на wan интерфейсе Потому что много кто раздае... весь текст скрыт [показать]
     
     
  • 4.41, klalafuda (?), 00:23, 17/07/2009 [^] [ответить]     [к модератору]  
  • +/
    да, с этим соглашусь мой DI-804 действительно умеет строить себя в WAN по DHCP ... весь текст скрыт [показать]
     
     
  • 5.51, XoRe (ok), 10:05, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    >>Кстати dhcp клиентом выступают не только роутеры, но и всякие voip приблуды
    >>(sip клиенты), всякие сетевые факсы/принтеры/сканеры/телефоны/wifi точки и т.д.
    >>Так что это очень неприятная уязвимость - список оборудования получается большой.
    >
    >хорошее, кстати, замечание. линукса - это не только SOHO маршрутизаторы. это ещё
    >и целый зоопарк прочих полезных девайсов, которые как раз с бОльшей
    >вероятностью строятся через DHCP. корпоративный сетевой принтер как точка раздачи всякого
    >Г по интранету - чем не вариант? :)
    >
    >// wbr

    Если "Г" - это вирусня, то да, соглашусь.
    Поэтому новость очень неприятная.
    Всяким "хакерам" за такое очень хорошо руки отрубать по самую шею.

    Если "Г" - это полезные ресурсы, то это не так удивительно.
    Тут на опеннете у одного умельца контроллер домена был на смартфоне)
    А фигли там, самбу поднять и доменную авторизацию прикрутить.

     
  • 2.19, ddd (?), 18:06, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Да, конечно!
    И даже вирусы специально под вашу модель роутера уже написаны. Список команд процессора, который установлен в вашем роутере и версия firmware определяется по ping-у. Бойтесь!!!
     
     
  • 3.32, User294 (ok), 21:53, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >Да, конечно!
    >И даже вирусы специально под вашу модель роутера уже написаны. Список команд
    >процессора, который установлен в вашем роутере и версия firmware определяется по
    >ping-у. Бойтесь!!!

    Ну вообще был ботнетец на soho-роутерах.Проц там у почти всех - MIPS :).А версия фирмвари не очень требовалась.Правда вот проникала троянщина крайне незачетно и беспонтово - не за счет красивого хака или там хитрого фокуса.А за счет административного долбо%^ства производителей роутеров зачем-то вывешивающих интерфейсы управления не только в LAN но и WAN, не требующих сменить пароль, ну и юзеров, не меняющих пароль.Штука лезла на роутер по дефолтному паролю и закачивала себя в ram-диск wget'ом.Уныло как-то, даже не хак а использование того что одни тупицы делают железки для других тупиц.

     
  • 3.36, XoRe (ok), 23:42, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >Да, конечно!
    >И даже вирусы специально под вашу модель роутера уже написаны. Список команд
    >процессора, который установлен в вашем роутере и версия firmware определяется по
    >ping-у. Бойтесь!!!

    Если вы возьмете firmware к вашему роутеру и умудритесь его открыть, как архив или образ, то найдете там /usr, /etc /var и т.д. )

    P.S.
    Делать производителям нечего, кроме как тратить ресурсы на создание чего-то нового.
    Взяли линукс, запихнули pptp/dhcp, настроили и вперед
    Причем очень часто настраивают абы как.
    И рутовый пароль оставляют что-нибудь типа root123.

     
  • 3.43, klalafuda (?), 00:27, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >Да, конечно!
    >И даже вирусы специально под вашу модель роутера уже написаны. Список команд
    >процессора, который установлен в вашем роутере и версия firmware определяется по
    >ping-у. Бойтесь!!!

    кажется след. новость именно для вас :)

    https://www.opennet.ru/opennews/art.shtml?num=22629

    // wbr

     
  • 1.24, anonimous (?), 20:06, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    зачем постить новости с опозданием после обновления? oO
     
     
  • 2.26, GateKeeper (??), 20:56, 16/07/2009 [^] [ответить]    [к модератору]  
  • +/
    Тем более, если новость без ссылки на свежий одей, правда?
     
  • 1.27, i (??), 21:04, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    надо grsec & PAX в массы
     
  • 1.30, bircoph (?), 21:46, 16/07/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в gentoo:

    NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when -O is set to 2 or higher.

     
     
  • 2.42, klalafuda (?), 00:25, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
    >gentoo:
    >
    >NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
    >-O is set to 2 or higher.

    а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть даже по пальцам двух рук.

    // wbr

     
     
  • 3.48, F.Y. (?), 04:33, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту.
    >// wbr

    Я узнал что что то не так с Dhcp-client по тому что в RH и Debian Lenny приползли апдейты. А на форумах началось только на следующий день :)

    Кстати wbr - ты уже узнал твой виндовс тоже подвержен или нет?

     
  • 3.52, XoRe (ok), 10:07, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >>В gentoo тоже по умолчанию используется FORTIFY_SOURCE, выдержка из man gcc в
    >>gentoo:
    >>
    >>NOTE: In Gentoo, -D_FORTIFY_SOURCE=2 is set by default, and is activated when
    >>-O is set to 2 or higher.
    >
    >а теперь давайте по пальцам посчитаем счастливчиков, которые используют генту. хорошо, пусть
    >даже по пальцам двух рук.
    >
    >// wbr

    Если смотреть на домашнее использование, то рук вам понадобится в сто раз больше.
    Если про серверный сегмент, то в десятки тысяч.
    Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины все, на что она способна.

     
     
  • 4.56, Michael Shigorin (ok), 18:01, 17/07/2009 [^] [ответить]    [к модератору]  
  • +/
    >Имхо, Gentoo - оптимальный вариант, если нужно выжать из машины

    ...и хозяина...

    >все, на что она способна.

    ...причём опять-таки "она", а не "хозяин".

    PS: easy :)
    PPS: а где FORTIFY_SOURCE ещё не пользуются-то?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor