The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опасная удалённая уязвимость в ядре Linux

19.03.2014 20:27

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:


    iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK


  1. Главная ссылка к новости (http://marc.info/?l=oss-securi...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: linux, kernel, dccp, conntrack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (92) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
 
  • 2.2, Фыр (?), 21:34, 19/03/2014 [ответить]  
  • +14 +/
    Ага, 5 лет калитка нараспашку и никто туда не зашёл.
    Я вообще про этот протокол впервые слышу.
    Он хоть где-то используется?
     
     
  • 3.50, Аноним (-), 22:53, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Он хоть где-то используется?

    Проверил - фигЪ. OpenWRT на роутерах - нету. Десктопы с *бунту - нету. Серваки с дебианом и ubuntu - нету. Всякая эмбедовка, N900 - аналогично. DCCP - редкий вид. Хватай, а то убежит.

     
  • 3.85, Аноним (-), 10:28, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ему ине надо использоваться, чтоб хакнуть твою систему.
    Как я понял, если разрешать только tcp/udp/icmp и дропать все остальное, то обработка других пакетов в contrack все равно идет?
     
     
  • 4.92, Michael Shigorin (ok), 16:23, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ему ине надо использоваться, чтоб хакнуть твою систему.

    Даже если nf_conntrack_proto_dccp не загружен?  Ну попробуйте.

     
  • 3.89, azure (ok), 10:59, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ага, 5 лет калитка нараспашку и никто туда не зашёл.

    Как можно знать что никто не зашел? Никто не сказал, что зашел.

     
  • 2.5, Аноним (-), 21:41, 19/03/2014 [ответить]  
  • +1 +/
    DCCP практически не используется
     
     
  • 3.6, Аноним (-), 21:42, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А оно выключено по-умолчанию?
     
     
  • 4.11, backbone (ok), 21:50, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не включено.
     
     
  • 5.13, Аноним (-), 21:51, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
    Загружается автоматически.
     
     
  • 6.16, backbone (ok), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
    > Загружается автоматически.

    Странно, в Debian не загружается. В Gentoo вообще *DCCP*=n. Какой дистрибутив?

     
     
  • 7.51, Аноним (-), 22:54, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Странно, в Debian не загружается.

    И в *buntu тоже. И вообще, я ни 1 машины с этим модулем не нашел, даже среди всякой эмбедовочной экзотики.

     
  • 6.17, AlexAT (ok), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
    > Загружается автоматически.

    В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

     
     
  • 7.38, Аноним (-), 22:27, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

    Ага, в openwrt по дефолту вражеского модуля тоже нету. Так что домашние роутеры с openwrt тоже не вы#$%т. Это хорошо.

     
  • 7.86, Аноним (-), 10:31, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
    >> Загружается автоматически.
    > В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.

    В убунте один модуль nf_conntrack, который обрабатывает все соединения. Значит в дебиане тоже.


     
  • 6.40, ZloySergant (ok), 22:31, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.

    Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

    P.S. Я - не про одмина локалхоста.

     
     
  • 7.60, Аноним (-), 00:14, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.

    Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опциями.

    Вы путаете админов с гентушниками.

     
     
  • 8.65, Perl_Jam (?), 03:23, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а вы путаете грешное с праведным или теплое с мягким если конкретно для вас не ... текст свёрнут, показать
     
     
  • 9.78, volax (?), 08:20, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А вы вообще всё путаете Грешное и праведное - антонимы, а теплое и мягкое - нет... текст свёрнут, показать
     
  • 9.94, Аноним (-), 21:30, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, с... текст свёрнут, показать
     
  • 8.79, arisu (ok), 08:27, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    нет, это ты отчего-то считаешь эникейщиков админами ... текст свёрнут, показать
     
     
  • 9.93, Аноним (-), 21:27, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен... текст свёрнут, показать
     
     
  • 10.100, Led (ok), 08:33, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не факт Обычно не приходит ... текст свёрнут, показать
     
  • 6.106, Аноним (-), 19:26, 22/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    даже фтп не загружается, а уж это...
     
  • 5.15, Аноним (-), 21:52, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не включено.

    как узнать ?

     
     
  • 6.19, backbone (ok), 21:54, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не включено.
    > как узнать ?

    lsmod | grep -i dccp.

     
     
  • 7.24, Аноним (-), 21:58, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Не включено.
    >> как узнать ?
    > lsmod | grep -i dccp.

    Это выдаст только текущее состояние, которое может измениться в любой момент.

     
     
  • 8.26, AlexAT (ok), 22:01, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp ... текст свёрнут, показать
     
     
  • 9.66, Perl_Jam (?), 03:30, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Опасная удалённая уязвимость в ядре Linux... текст свёрнут, показать
     
  • 9.67, Perl_Jam (?), 03:32, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    единственное, что хотел бы заметить, вы часто используете модули на боевых серве... текст свёрнут, показать
     
  • 9.107, Аноним (-), 19:30, 22/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    просто в blacklist его вписать и все ... текст свёрнут, показать
     
  • 8.27, PavelR (ok), 22:01, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расскажите пожалуйста, каким образом произойдет изменение состояния Что будет ... текст свёрнут, показать
     
     
  • 9.30, Аноним (-), 22:10, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Какая-нибудь умная морда к iptables при очередной настройке обновлении решит, ... текст свёрнут, показать
     
     
  • 10.52, Аноним (-), 22:56, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лишний повод не использовать такие морды ... текст свёрнут, показать
     
     
  • 11.57, Аноним (-), 23:55, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Золотые слова Жаль, эникеи их не оценят ... текст свёрнут, показать
     
     
  • 12.59, Аноним (-), 00:11, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если кто не хочет платить нормальному админу - он получает то что получает Н... текст свёрнут, показать
     
  • 9.118, XoRe (ok), 15:54, 24/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    iptables -L -t nat ... текст свёрнут, показать
     
  • 8.28, backbone (ok), 22:04, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если сервер работает месяцами и данный модуль не потребовался за это время, вели... текст свёрнут, показать
     
  • 8.41, Аноним (-), 22:33, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    1 В нормальной ситуации такие модули на ходу не загружаются 2 Если у вас нено... текст свёрнут, показать
     
     
  • 9.105, rihad (?), 17:46, 22/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP п... текст свёрнут, показать
     
  • 4.25, Аноним (-), 22:00, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я лично эту минорщину даже не собираю никогда.
     
     
  • 5.42, Аноним (-), 22:34, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я
    > лично эту минорщину даже не собираю никогда.

    В *бунтах и дебиане этот модуль по дефолту тоже не активен. В openwrt - аналогично.

     
     
  • 6.56, Khariton (ok), 23:52, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну сам по себе модуль есть...
    cat /boot/config-3.11.0-18-lowlatency | grep  DCCP
    CONFIG_NF_CT_PROTO_DCCP=m
    CONFIG_NF_NAT_PROTO_DCCP=m
    CONFIG_NETFILTER_XT_MATCH_DCCP=m
    CONFIG_IP_DCCP=m
    CONFIG_INET_DCCP_DIAG=m
    # DCCP CCIDs Configuration
    # CONFIG_IP_DCCP_CCID2_DEBUG is not set
    # CONFIG_IP_DCCP_CCID3 is not set
    # DCCP Kernel Hacking
    # CONFIG_IP_DCCP_DEBUG is not set
    CONFIG_NET_DCCPPROBE=m

    только вот вероятность его запуска какова?
    надо его прописать в блэклист наверно для пущей уверенности...

     
     
  • 7.58, Аноним (-), 23:57, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > только вот вероятность его запуска какова?

    Если у вас нет всяких умных морд к фаерволу - близка к нулю.

    > надо его прописать в блэклист наверно для пущей уверенности...

    Бессмысленно. blacklist используется в основном udevом, а он не занимается сетевыми протоколами.

     
  • 2.9, vlikhachev (ok), 21:49, 19/03/2014 [ответить]  
  • +/
    А что, есть самураи, использующие DCCP через NAT в офисе?
    "Use streaming media, multiplayer online games and Internet telephony"

    Я, например, DCCP не использую на службе. Возможное исключение - SIP, но там внешние соединения ограничены серверами провайдеров (я их клиент, если что).
    Вообще говоря, слушать радио онлайн и играть в инет игры для офиса несколько странно...

     
     
  • 3.81, Аноним (-), 09:07, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > радио онлайн и играть в инет игры для офиса несколько странно...

    Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем. Но и тут сабж не при чем, ибо у всех почти поголовно стоит Windows.

     
     
  • 4.97, Аноним (-), 21:36, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем.

    Нет. Реорганизуют и сокращают как раз тех, кто работает. Бездельников и распильщиков трогать низя, они самые ценные люди.

     
  • 2.63, Аноним (-), 01:56, 20/03/2014 [ответить]  
  • +/
    А представьте что в проприетарном закрытом коде творится! :)
     
  • 2.80, commiethebeastie (ok), 08:58, 20/03/2014 [ответить]  
  • –1 +/
    Локалхостеры-гентушнеки они такие.
     
  • 1.3, nataraj (??), 21:34, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?

    А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?

     
     
  • 2.4, Аноним (-), 21:37, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А NAT на каком ядре работает ?
     
  • 2.22, Аноним (-), 21:56, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22
    > порт, то оно может через него пробраться?

    Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя.

    > А как на счет роутера с линуксом на борту? На нем тоже
    > безобразия будут?

    Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.

     
     
  • 3.44, Аноним (-), 22:37, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m"
    > - значит, подвержено.

    ...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...

     
  • 2.31, Аноним (31), 22:11, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если на 22 порту использовать DCCP то может. Но обычно там используют SSH. Бояться нужно бардака с паролями, и 22 порт пробросить через порты выше 1000.
    Проблемы поддержки dccp в Вашем роутере Вам не грозят, у Вас квалификации не хватит этот протокол там задействовать.
    Позабавили вопросом однако. :)
     
     
  • 3.34, Аноним (-), 22:16, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Если на 22 порту использовать DCCP то может. Но обычно там используют SSH.
    > на 22 порту
    > DCCP
    > у Вас квалификации не хватит этот протокол там задействовать.

    Сказал человек, только что перепутавший транспортный уровень с сетевым.

    > Позабавили вопросом однако. :)

    Да :)

     
     
  • 4.35, Аноним (-), 22:16, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказал человек, только что перепутавший транспортный уровень с сетевым.

    *прикладным

    > Да :)

    Теперь и я тоже :)

     
  • 2.90, Аноним (-), 11:56, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
    Да. Да.
     

  • 1.7, AlexAT (ok), 21:46, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.

    blacklist dccp
    blacklist nf_conntrack_dccp
    blacklist xt_dccp

     
     
  • 2.10, Аноним (-), 21:50, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    тоже подумал что не обязательно делать NOTRACK
     
  • 2.18, Аноним (-), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили
    > каждый месяц.
    > blacklist dccp
    > blacklist nf_conntrack_dccp
    > blacklist xt_dccp

    Отличная шутка.
    blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной, если указан ключ -b).
    На автоподгрузку модулей сетевых протоколов это никак не влияет.

     
     
  • 3.21, AlexAT (ok), 21:56, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Отличная шутка.
    > blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной,
    > если указан ключ -b).
    > На автоподгрузку модулей сетевых протоколов это никак не влияет.

    Согласен, не панацея.

    Поскольку конфиги у меня известные - я точно знаю, что автоподгрузка, к примеру, из iptables - не произойдёт. А вот на этапе начальной загрузки блеклист не мешает. На всякий случай.

    Для полной уверенности, если конечно как модуль собрано:
    find /lib/modules -iname \*dccp\* -delete

     
  • 3.46, Аноним (-), 22:38, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > На автоподгрузку модулей сетевых протоколов это никак не влияет.

    Осталось только найти где она делается и почему.

     
  • 2.102, pavlinux (ok), 16:51, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ты с SCTP перепутал.
     

  • 1.8, Аноним (-), 21:49, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А как насчет роутеров с OpenWRT(да и не только!) на борту?
    Даже если и выйдет патч/заплатка, как её применить без перепрошивки?
     
     
  • 2.29, Sonnix (ok), 22:09, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Проверил на OpenWRT 12.09 и на текущем trunk. Он собран без поддержки dccp так что уязвимости не подвержен.
    Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия dccp iptables выдаст unknown protocol "dccp" specified.
    И в чем собственно великая проблема обновить прошивку?
     
     
  • 3.33, Аноним (-), 22:14, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия
    > dccp iptables выдаст unknown protocol "dccp" specified.

    Это зависит не от наличия модуля, а от наличия протокола в /etc/protocols.
    Внутри netfilter протоколы транспортного уровня идентифицируются по номерам. Даже если есть модуль для протокола 33, при отсутствии нужной записи в protocols, iptables просто не поймет, что такое "-p dccp".

     
     
  • 4.37, Sonnix (ok), 22:25, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Из конфига ядра openwrt:
    # CONFIG_NF_CT_PROTO_DCCP is not set
    # CONFIG_NETFILTER_XT_MATCH_DCCP is not set
    # CONFIG_IP_DCCP is not set

    Так что по умолчанию поддержки быть не должно. Соответствующих модулей в собранной системе нет.

     
     
  • 5.39, Аноним (-), 22:27, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Из конфига ядра openwrt:

    Это уже другой разговор.

     
  • 3.36, Аноним (-), 22:18, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И в чем собственно великая проблема обновить прошивку?

    Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

     
     
  • 4.43, Sonnix (ok), 22:34, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования. Проблем с сохранением и восстановлением настроек после прошивки нет.
    Так же если есть удаленный доступ к маршрутизатору его можно прошить без физического доступа к устройству  например по ssh через sysupgrade. sysupgrade так же умеет сохранять настройки при обновлении прошивки. Единственная проблема если что-то во время прошивки пойдет не так что без физического доступа возможно не получится восстановить маршрутизатор. Но никто не мешает до обновления проверить процесс прошивки на аналогичном устройстве к которому доступ есть.
     
  • 4.47, Аноним (-), 22:43, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Куча настроек на роутере, и сам роутер в удаленном филиале. Например.

    В openwrt есть режим сохранения настроек :-). Ну и если совсем уж прижало - можно образ кастомный собрать. Впрочем, для начала там по дефолту нет проблемного модуля - смысл чинить то что не сломано?

     

  • 1.23, Аноним (-), 21:57, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    ЖУтко опасная. Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

    // b.

     
     
  • 2.32, Аноним (-), 22:11, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.

    Суть новости в том, что так должно оставаться и дальше.

     
     
  • 3.49, Аноним (-), 22:46, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Суть новости в том, что так должно оставаться и дальше.

    А зачем вам сетевые модули трекинга соединений "про запас"? Чтобы увеличить шансы на получение ручкой грабель в лоб?

     

  • 1.54, emg81 (ok), 23:26, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    $ zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set

    раз не нужно - то выключено. и нет проблем.

     
  • 1.73, анон (?), 06:46, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    # zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set
     
  • 1.75, arzeth (ok), 07:08, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m
     
  • 1.77, Адекват (ok), 08:11, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.
     
     
  • 2.82, Аноним (-), 09:16, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну что за уроды ? неужели трудно было в заголовке написать "DCCP
    > ?", я вот подумал что в ядре открыли уязвимость, которая возникает,
    > если ядро получит из инета специально сформированный пакет, не важно на
    > какой порт, и что iptables ему не помеха, и сразу же
    > дает удаленный шелл, который не видится netstat -ntul.

    Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что написали.

     
     
  • 3.83, Аноним (-), 09:46, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Использовать нормальную CMS - это тоже wrong way. True way - это собирать HTML вручную, причем игнорировать достижения WEB дизайна за последние 30 лет.
     
     
  • 4.84, arisu (ok), 09:52, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > причем игнорировать достижения WEB дизайна

    вот это очень правильный способ. чем больше эти «достижения» игнорируются — тем лучше.

     
     
  • 5.95, Аноним (-), 21:32, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > вот это очень правильный способ. чем больше эти «достижения» игнорируются —
    > тем лучше.

    Будь не таким, как все! Борись с системой!

     
     
  • 6.98, arisu (ok), 21:42, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    (пожимает плечами) борись. разрешаю.
     
  • 2.96, Аноним (-), 21:34, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > я вот подумал что в ядре открыли уязвимость, которая возникает,
    > если ядро получит из инета специально сформированный пакет, не важно на
    > какой порт, и что iptables ему не помеха, и сразу же
    > дает удаленный шелл, который не видится netstat -ntul.

    Вообще-то, все так и есть (за исключением iptables) :)

     

  • 1.87, Нанобот (ok), 10:38, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Опасная удалённая уязвимость в ядре Linux

    удалённая - да, опасная - нет

     
     
  • 2.99, Аноним (-), 00:32, 21/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > удалённая - да, опасная - нет

    Кому и кобыла невеста. По линуксовым меркам, даже сабж уже событие. Потому что 99% обнаруживаемых там уязвимостей еще менее опасны на практике.

     

  • 1.88, Аноним (-), 10:46, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);

    :(

     
     
  • 2.91, vi (?), 14:38, 20/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    > + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
    > :(

    Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    Кто прошляпил (может быть)?

     
     
  • 3.115, pavlinux (ok), 02:32, 23/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    >> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
    >> :(
    > Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    > Кто прошляпил (может быть)?

    Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfi

    commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
    Author: Patrick McHardy <kaber@trash.net>
    Date:   Thu Mar 20 15:15:55 2008 +0100

    [NETFILTER]: nf_conntrack: add DCCP protocol support
        
    Add DCCP conntrack helper.
    Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.
        

     
     
  • 4.116, AlexAT (ok), 12:16, 23/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    C 2008 года оно тупо никому не нужно было. LOL'd
     
  • 4.117, vi (?), 16:03, 23/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>> :(
    >> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
    >> Кто прошляпил (может быть)?
    > Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfi
    > commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
    > Author: Patrick McHardy <kaber@trash.net>
    > Date:   Thu Mar 20 15:15:55 2008 +0100
    > [NETFILTER]: nf_conntrack: add DCCP protocol support
    > Add DCCP conntrack helper.
    > Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.

    Видать у парня клавиша минус продавлена, наверное много кодит. Или крошка под клавишу закатилась!
    Вот только один вопрос, как тестируют? Или главное ввязаться, а там само понесет?
    Ведь бывают же случаи, напишет человек программу, а она возьми и с первого раза работает и без ошибок ;)

     

  • 1.103, pavlinux (ok), 16:58, 21/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > iptables -t raw -I OUTPUT -p dccp -j NOTRACK

    Кстате, а чё не POSTROUTING?

    iptables -t raw -I POSTROUTING -p dccp -j NOTRACK

    Выходящие из FORWARD проскакивают OUTPUT мимо.  

     
     
  • 2.108, pavlinux (ok), 02:20, 23/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хе... в raw нету же POSTROUTING

    ... а это идея ]:->

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру