The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.03.2014 20:27  Опасная удалённая уязвимость в ядре Linux

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:


    iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK


  1. Главная ссылка к новости (http://marc.info/?l=oss-securi...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: linux, kernel, dccp, conntrack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
 
Часть нити удалена модератором

  • 2.2, Фыр, 21:34, 19/03/2014 [ответить] [смотреть все] [показать ветку]
  • +14 +/
    Ага, 5 лет калитка нараспашку и никто туда не зашёл.
    Я вообще про этот протокол впервые слышу.
    Он хоть где-то используется?
     
     
  • 3.50, Аноним, 22:53, 19/03/2014 [^] [ответить] [смотреть все]
  • +4 +/
    Проверил - фигЪ OpenWRT на роутерах - нету Десктопы с бунту - нету Серваки с... весь текст скрыт [показать]
     
  • 3.85, Аноним, 10:28, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ему ине надо использоваться, чтоб хакнуть твою систему Как я понял, если разреш... весь текст скрыт [показать]
     
     
  • 4.92, Michael Shigorin, 16:23, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Даже если nf_conntrack_proto_dccp не загружен Ну попробуйте ... весь текст скрыт [показать]
     
  • 3.89, azure, 10:59, 20/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Как можно знать что никто не зашел Никто не сказал, что зашел ... весь текст скрыт [показать]
     
  • 2.5, Аноним, 21:41, 19/03/2014 [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    DCCP практически не используется
     
     
  • 3.6, Аноним, 21:42, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А оно выключено по-умолчанию?
     
     
  • 4.11, backbone, 21:50, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Не включено.
     
     
  • 5.13, Аноним, 21:51, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех ди... весь текст скрыт [показать]
     
     
  • 6.16, backbone, 21:53, 19/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Странно, в Debian не загружается В Gentoo вообще DCCP n Какой дистрибутив ... весь текст скрыт [показать]
     
     
  • 7.51, Аноним, 22:54, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    И в buntu тоже И вообще, я ни 1 машины с этим модулем не нашел, даже среди вся... весь текст скрыт [показать]
     
  • 6.17, AlexAT, 21:53, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    В рхеле центосе nf_conntrack_dccp 6 ip_conntrack_dccp 5 загружается только... весь текст скрыт [показать]
     
     
  • 7.38, Аноним, 22:27, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ага, в openwrt по дефолту вражеского модуля тоже нету Так что домашние роутеры ... весь текст скрыт [показать]
     
  • 7.86, Аноним, 10:31, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    В убунте один модуль nf_conntrack, который обрабатывает все соединения Значит в... весь текст скрыт [показать]
     
  • 6.40, ZloySergant, 22:31, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на ... весь текст скрыт [показать]
     
     
  • 7.60, Аноним, 00:14, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опция... весь текст скрыт [показать]
     
     
  • 8.65, Perl_Jam, 03:23, 20/03/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    а вы путаете грешное с праведным или теплое с мягким если конкретно для вас не ... весь текст скрыт [показать]
     
     
  • 9.78, volax, 08:20, 20/03/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    А вы вообще всё путаете Грешное и праведное - антонимы, а теплое и мягкое - нет... весь текст скрыт [показать]
     
  • 9.94, Аноним, 21:30, 20/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, с... весь текст скрыт [показать]
     
  • 8.79, arisu, 08:27, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    нет, это ты отчего-то считаешь эникейщиков админами ... весь текст скрыт [показать]
     
     
  • 9.93, Аноним, 21:27, 20/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен... весь текст скрыт [показать]
     
     
  • 10.100, Led, 08:33, 21/03/2014 [^] [ответить] [смотреть все]  
  • +/
    > Мудрость приходит только с годами.

    Не факт. Обычно не приходит.

     
  • 6.106, Аноним, 19:26, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    даже фтп не загружается, а уж это...
     
  • 5.15, Аноним, 21:52, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    > Не включено.

    как узнать ?

     
     
  • 6.19, backbone, 21:54, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    >> Не включено.
    > как узнать ?

    lsmod | grep -i dccp.

     
     
  • 7.24, Аноним, 21:58, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это выдаст только текущее состояние, которое может измениться в любой момент ... весь текст скрыт [показать]
     
     
  • 8.26, AlexAT, 22:01, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp ... весь текст скрыт [показать]
     
     
  • 9.66, Perl_Jam, 03:30, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Опасная удалённая уязвимость в ядре Linux... весь текст скрыт [показать]
     
  • 9.67, Perl_Jam, 03:32, 20/03/2014 [^] [ответить] [смотреть все]  
  • –5 +/
    единственное, что хотел бы заметить, вы часто используете модули на боевых серве... весь текст скрыт [показать]
     
  • 9.107, Аноним, 19:30, 22/03/2014 [^] [ответить] [смотреть все]  
  • +/
    просто в blacklist его вписать и все.
     
  • 8.27, PavelR, 22:01, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Расскажите пожалуйста, каким образом произойдет изменение состояния Что будет ... весь текст скрыт [показать]
     
     
  • 9.30, Аноним, 22:10, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Какая-нибудь умная морда к iptables при очередной настройке обновлении решит, ... весь текст скрыт [показать]
     
     
  • 10.52, Аноним, 22:56, 19/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Лишний повод не использовать такие морды ... весь текст скрыт [показать]
     
     
  • 11.57, Аноним, 23:55, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Золотые слова Жаль, эникеи их не оценят ... весь текст скрыт [показать]
     
     
  • 12.59, Аноним, 00:11, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну если кто не хочет платить нормальному админу - он получает то что получает Н... весь текст скрыт [показать]
     
  • 9.118, XoRe, 15:54, 24/03/2014 [^] [ответить] [смотреть все]  
  • +/
    iptables -L -t nat ... весь текст скрыт [показать]
     
  • 8.28, backbone, 22:04, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Если сервер работает месяцами и данный модуль не потребовался за это время, вели... весь текст скрыт [показать]
     
  • 8.41, Аноним, 22:33, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    1 В нормальной ситуации такие модули на ходу не загружаются 2 Если у вас нено... весь текст скрыт [показать]
     
     
  • 9.105, rihad, 17:46, 22/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP п... весь текст скрыт [показать]
     
  • 4.25, Аноним, 22:00, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Что значит по умолчанию Это же linux, тут нет ничего умолчательного Я лично эт... весь текст скрыт [показать]
     
     
  • 5.42, Аноним, 22:34, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    В бунтах и дебиане этот модуль по дефолту тоже не активен В openwrt - аналогич... весь текст скрыт [показать]
     
     
  • 6.56, Khariton, 23:52, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    ну сам по себе модуль есть cat boot config-3 11 0-18-lowlatency 124 grep ... весь текст скрыт [показать]
     
     
  • 7.58, Аноним, 23:57, 19/03/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Если у вас нет всяких умных морд к фаерволу - близка к нулю Бессмысленно black... весь текст скрыт [показать]
     
  • 2.9, vlikhachev, 21:49, 19/03/2014 [ответить] [смотреть все] [показать ветку]  
  • +/
    А что, есть самураи, использующие DCCP через NAT в офисе Use streaming media, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, Аноним, 09:07, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это совершенно не странно в Российских научных организациях Потому и реорганизу... весь текст скрыт [показать]
     
     
  • 4.97, Аноним, 21:36, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Нет Реорганизуют и сокращают как раз тех, кто работает Бездельников и распильщ... весь текст скрыт [показать]
     
  • 2.63, Аноним, 01:56, 20/03/2014 [ответить] [смотреть все] [показать ветку]  
  • +/
    А представьте что в проприетарном закрытом коде творится! :)
     
  • 2.80, commiethebeastie, 08:58, 20/03/2014 [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Локалхостеры-гентушнеки они такие.
     
  • 1.3, nataraj, 21:34, 19/03/2014 [ответить] [смотреть все]  
  • –1 +/
    Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?

    А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?

     
     
  • 2.4, Аноним, 21:37, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А NAT на каком ядре работает ?
     
  • 2.22, Аноним, 21:56, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее всего, у вас натится только TCP 22 А значит, пробраться нельзя Зависит ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Аноним, 22:37, 19/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    если модуль вгружен Несмотря на стремность бага я не смог найти ни 1 системы... весь текст скрыт [показать]
     
  • 2.31, Аноним, 22:11, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Если на 22 порту использовать DCCP то может Но обычно там используют SSH Боять... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 22:16, 19/03/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Сказал человек, только что перепутавший транспортный уровень с сетевым Да ... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 22:16, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    прикладным Теперь и я тоже ... весь текст скрыт [показать]
     
  • 2.90, Аноним, 11:56, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да.
    Да. Да.
     
  • 1.7, AlexAT, 21:46, 19/03/2014 [ответить] [смотреть все]  
  • +/
    Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.

    blacklist dccp
    blacklist nf_conntrack_dccp
    blacklist xt_dccp

     
     
  • 2.10, Аноним, 21:50, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    тоже подумал что не обязательно делать NOTRACK
     
  • 2.18, Аноним, 21:53, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Отличная шутка blacklist влияет только при автоматической подгрузке модулей чер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, AlexAT, 21:56, 19/03/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Согласен, не панацея Поскольку конфиги у меня известные - я точно знаю, что авт... весь текст скрыт [показать]
     
  • 3.46, Аноним, 22:38, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Осталось только найти где она делается и почему ... весь текст скрыт [показать]
     
  • 2.102, pavlinux, 16:51, 21/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты с SCTP перепутал.
     
  • 1.8, Аноним, 21:49, 19/03/2014 [ответить] [смотреть все]  
  • –2 +/
    А как насчет роутеров с OpenWRT да и не только на борту Даже если и выйдет па... весь текст скрыт [показать]
     
     
  • 2.29, Sonnix, 22:09, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Проверил на OpenWRT 12 09 и на текущем trunk Он собран без поддержки dccp так ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 22:14, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Это зависит не от наличия модуля, а от наличия протокола в etc protocols Внутр... весь текст скрыт [показать]
     
     
  • 4.37, Sonnix, 22:25, 19/03/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Из конфига ядра openwrt CONFIG_NF_CT_PROTO_DCCP is not set CONFIG_NETFILTER... весь текст скрыт [показать]
     
     
  • 5.39, Аноним, 22:27, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    > Из конфига ядра openwrt:

    Это уже другой разговор.

     
  • 3.36, Аноним, 22:18, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Куча настроек на роутере, и сам роутер в удаленном филиале Например ... весь текст скрыт [показать]
     
     
  • 4.43, Sonnix, 22:34, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования ... весь текст скрыт [показать]
     
  • 4.47, Аноним, 22:43, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    В openwrt есть режим сохранения настроек - Ну и если совсем уж прижало - можн... весь текст скрыт [показать]
     
  • 1.23, Аноним, 21:57, 19/03/2014 [ответить] [смотреть все]  
  • +5 +/
    ЖУтко опасная Из 50 Линукс серверов на 0 машин стоит dccp connection tracker ... весь текст скрыт [показать]
     
     
  • 2.32, Аноним, 22:11, 19/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Суть новости в том, что так должно оставаться и дальше ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 22:46, 19/03/2014 [^] [ответить] [смотреть все]  
  • +/
    А зачем вам сетевые модули трекинга соединений про запас Чтобы увеличить шанс... весь текст скрыт [показать]
     
  • 1.54, emg81, 23:26, 19/03/2014 [ответить] [смотреть все]  
  • +/
    $ zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set

    раз не нужно - то выключено. и нет проблем.

     
  • 1.73, анон, 06:46, 20/03/2014 [ответить] [смотреть все]  
  • –1 +/
    # zgrep -i dccp /proc/config.gz
    # CONFIG_IP_DCCP is not set
     
  • 1.75, arzeth, 07:08, 20/03/2014 [ответить] [смотреть все]  
  • –2 +/
    у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m
     
  • 1.77, Адекват, 08:11, 20/03/2014 [ответить] [смотреть все]  
  • +3 +/
    Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.
     
     
  • 2.82, Аноним, 09:16, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, Аноним, 09:46, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Использовать нормальную CMS - это тоже wrong way True way - это собирать HTML в... весь текст скрыт [показать]
     
     
  • 4.84, arisu, 09:52, 20/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    вот это очень правильный способ чем больше эти 171 достижения 187 игнорирую... весь текст скрыт [показать]
     
     
  • 5.95, Аноним, 21:32, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    Будь не таким, как все Борись с системой ... весь текст скрыт [показать]
     
     
  • 6.98, arisu, 21:42, 20/03/2014 [^] [ответить] [смотреть все]  
  • +/
    (пожимает плечами) борись. разрешаю.
     
  • 2.96, Аноним, 21:34, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вообще-то, все так и есть за исключением iptables ... весь текст скрыт [показать] [показать ветку]
     
  • 1.87, Нанобот, 10:38, 20/03/2014 [ответить] [смотреть все]  
  • +/
    >Опасная удалённая уязвимость в ядре Linux

    удалённая - да, опасная - нет

     
     
  • 2.99, Аноним, 00:32, 21/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кому и кобыла невеста По линуксовым меркам, даже сабж уже событие Потому что 9... весь текст скрыт [показать] [показать ветку]
     
  • 1.88, Аноним, 10:46, 20/03/2014 [ответить] [смотреть все]  
  • +/
    - dh skb_header_pointer skb, dataoff, sizeof _dh , dh dh skb_header_poi... весь текст скрыт [показать]
     
     
  • 2.91, vi, 14:38, 20/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Кто автор предыдущего вот этого - dh skb_header_pointer skb, dataoff, sizeof _... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.115, pavlinux, 02:32, 23/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Оно так и было, с 2008 года, http git kernel org cgit linux kernel git torvald... весь текст скрыт [показать]
     
     
  • 4.116, AlexAT, 12:16, 23/03/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    C 2008 года оно тупо никому не нужно было. LOL'd
     
  • 4.117, vi, 16:03, 23/03/2014 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Видать у парня клавиша минус продавлена, наверное много ... весь текст скрыт [показать]
     
  • 1.103, pavlinux, 16:58, 21/03/2014 [ответить] [смотреть все]  
  • +2 +/
    > iptables -t raw -I OUTPUT -p dccp -j NOTRACK

    Кстате, а чё не POSTROUTING?

    iptables -t raw -I POSTROUTING -p dccp -j NOTRACK

    Выходящие из FORWARD проскакивают OUTPUT мимо.  

     
     
  • 2.108, pavlinux, 02:20, 23/03/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Хе... в raw нету же POSTROUTING

    ... а это идея ]:->

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor