The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в TCP-стеках Linux и FreeBSD, приводящие к удалённому отказу в обслуживании

17.06.2019 23:30

Компания Netflix выявила несколько критических уязвимостей в TCP-стеках Linux и FreeBSD, которые позволяют удалённо инициировать крах ядра или вызвать чрезмерное потребление ресурсов при обработке специально оформленных TCP-пакетов (packet-of-death). Проблемы вызваны ошибками в обработчиках максимального размера блока данных в TCP-пакете (MSS, Maximum segment size) и механизма выборочного подтверждения соединений (SACK, TCP Selective Acknowledgement).

  • CVE-2019-11477 (SACK Panic) - проблема проявляется в ядрах Linux начиная с 2.6.29 и позволяет вызвать крах (panic) ядра через отправку серии SACK-пакетов из-за возникновения целочисленного переполнения в обработчике. Для атаки достаточно выставить для TCP-соединения значение MSS в 48 байт и отправить последовательность определённым образом скомпонованных SACK-пакетов.

    Суть проблемы в том, что структура tcp_skb_cb (Socket Buffer) рассчитана на хранение 17 фрагментов ("define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1) => 17"). В процессе отправки пакета он размещается в очереди на отправку, а в tcp_skb_cb сохраняются детали о пакете, такие как номер последовательности, флаги, а также поля "tcp_gso_segs" и "tcp_gso_size", которые применяются для передачи драйверу информации о сегментировании (TSO, TCP Segmentation Offload) для обработки сегментов на стороне сетевой карты.

    Фрагменты сохраняются при возникновении потери пакета или необходимости выборочной повторной передачи пакетов, в случае если включен механизм SACK и драйвером поддерживается TSO. При минимальном MSS выделяется всего 8 байт на один сегмент данных, соответственно, возрастает число сегментов, необходимых для отправки всех данных, и структура может достичь лимита в 17 фрагментов. Для защиты от переполнения в коде имеется проверка, которая приводит к вызову функции BUG_ON() и переводу ядра в состояние panic.

    В качестве обходных путей защиты можно отключить обработку SACK (записать 0 в /proc/sys/net/ipv4/tcp_sack) или заблокировать соединения с небольшим MSS (работает только при выставлении sysctl net.ipv4.tcp_mtu_probing в 0 и может нарушить работу некоторых нормальных соединений с низким MSS).

  • CVE-2019-11478 (SACK Slowness) - приводит к нарушению работы механизма SACK (при использовании ядра Linux младше 4.15) или избыточному потреблению ресурсов. Проблема проявляется при обработке специально оформленных SACK-пакетов, которые можно использовать для фрагментирования очереди повторной передачи (TCP retransmission). Обходные пути защиты аналогичны предыдущей уязвимости;
  • CVE-2019-5599 (SACK Slowness) - позволяет вызвать фрагментацию карты отправленных пакетов при обработке специальной последовательности SACK в рамках одного TCP-соединения и вызвать выполнение ресурсоёмкой операции перебора списка. Проблема проявляется во FreeBSD 12 с механизмом определения потери пакетов RACK. В качестве обходной меры можно отключить модуль RACK (по умолчанию не загружается, отключается через указание sysctl net.inet.tcp.functions_default=freebsd);
  • CVE-2019-11479 - атакующий может вызвать в ядре Linux разделение ответов на несколько TCP-сегментов, каждый из которых включает только 8 байт данных, что может привести к существенному повышению трафика, увеличению нагрузки на CPU и забиванию канала связи. В качестве обходного метода защиты рекомендовано заблокировать соединения с низким MSS.

    В ядре Linux проблемы устранены в выпусках 4.4.182, 4.9.182, 4.14.127, 4.19.52 и 5.1.11. Исправление для FreeBSD доступно в виде патча. В дистрибутивах обновления пакетов с ядром выпущено для Debian, RHEL, SUSE/openSUSE, ALT, Ubuntu, Fedora и Arch Linux.

    1. Главная ссылка к новости (https://www.openwall.com/lists...)
    2. OpenNews: Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета
    3. OpenNews: Уязвимости в драйвере ozwpan, позволяющие удалённо вызвать крах ядра Linux
    4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
    5. OpenNews: Локальная root-уязвимость в реализации SCTP в ядре Linux
    6. OpenNews: Уязвимость в сетевом стеке ядра Linux
    Лицензия: CC-BY
    Тип: Интересно / Проблемы безопасности
    Ключевые слова: dos, freebsd, linux
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение (77) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:22, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это тестами выявили или при эксплуатации , от пользователей пакеты завешивали их сервера и они это смогли выявить?
     
     
  • 2.27, Andrey Mitrofanov_N0 (??), 08:29, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это тестами выявили или при эксплуатации , от пользователей пакеты завешивали их
    > сервера и они это смогли выявить?

    Написано же, им сообщили:

      | Acknowledgments:
      | Originally reported by Jonathan Looney.

     

  • 1.2, Аноним (2), 00:25, 18/06/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –11 +/
     
     
  • 2.3, medlingmag (?), 00:32, 18/06/2019 Скрыто модератором
  • +3 +/
     
  • 2.4, Аноним (4), 00:34, 18/06/2019 Скрыто модератором
  • +2 +/
     
  • 2.5, Аноним (5), 00:37, 18/06/2019 Скрыто модератором
  • +/
     
     
  • 3.25, пох. (?), 07:51, 18/06/2019 Скрыто модератором
  • +/
     
     
  • 4.55, имя (?), 13:18, 18/06/2019 Скрыто модератором
  • +/
     
     
  • 5.57, пох. (?), 13:41, 18/06/2019 Скрыто модератором
  • –1 +/
     
     
  • 6.64, имя (?), 15:08, 18/06/2019 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (7)

  • 1.6, Anonimus (??), 01:18, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > FreeBSD:  В качестве обходной меры можно отключить модуль RACK;

    Вобщето для начала его неплохо бы включить, чтобы было что выключать. Оно само не вклюбчается.

    $ sysctl net.inet.tcp.functions_available
    net.inet.tcp.functions_available:
    Stack                           D Alias                            PCB count
    freebsd                         * freebsd                          131

    тут будет еще rack, если сначала ядро пересобрать с нужными опциями, а потом загрузить полученный модуль имени Нетфликса...

     
     
  • 2.7, Your Mama (?), 01:23, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё нормальный Unix. Пойду задоначу им ещё.
     
     
  • 3.40, xm (ok), 11:49, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тем более что завтра
    https://nationaldaycalendar.com/national-freebsd-day-june-19/
     
  • 3.69, Ключевский (?), 16:42, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    FreeBSD не Unix Вот https www opengroup org openbrand register список того ч... текст свёрнут, показать
     
     
  • 4.80, DeadLoco (ok), 00:25, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все вышеперечисленное сертифицировано на соответствие юних-совместимости.

    Реально же юнихами могут называться только два последних бедолаги, происходящие от AT&T UNIX, выкупленных в конце концов SCO Inc. Это - труЪ юнихи, все остальное - юних-лайки.

    Но, конечно же, макось в списке тру-юнихов - это прекрасно, просто прекрасно!

     
     
  • 5.82, Ключевский (?), 01:58, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все перечисленное и есть Unix, так как получило сертификат. А остальное не Unix.
    macOS — Unix, какие могут быть сомнения? Все тесты пройдены и сертификат получен. Именно так это и определяется. Если что-то соответствует стандарту, проходит положенные тесты и получило сертификат, это что-то Unix. А все остальное это твои фантазии про «происходящее» и так далее. Твои фантазии никому не интересны.
     
     
  • 6.84, нах_ (?), 12:19, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Все перечисленное и есть Unix, так как получило сертификат. А остальное не
    > Unix.

    потому что братве не занесли?

    > macOS — Unix, какие могут быть сомнения?

    действительно - мафии уплачено, сертификат выписан.

    А все остальное - не юниксы, так, фигня какая-то.

    > получен. Именно так это и определяется. Если что-то соответствует стандарту, проходит
    > положенные тесты и получило сертификат, это что-то Unix. А все остальное
    > это твои фантазии про «происходящее» и так далее. Твои фантазии никому
    > не интересны.

    наоборот - никому неинтересна филькина грамота про какие-то тесты непойми чего непойми кем.

    ну, конечно же, кроме парней в доле.


     
  • 6.88, Аноним (88), 11:22, 21/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С какой целью ты врешь? Мне интересны его фантазии. И даже твои. Иначе я бы не читал опеннет. Или хочешь заявить, что ты весь такой нефантазийный в белом жабо?
     
  • 4.89, Othername (?), 22:07, 24/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Huawei Technology Co., Ltd: Huawei EulerOS 2.0 on Huawei KunLun Mission Critical Server

    What is the Euler OS?
    Euler OS is a Linux Distribution, based on CentOS, released by Huawei.

     
  • 2.11, Аноним84701 (ok), 01:46, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > тут будет еще rack, если сначала ядро пересобрать с нужными опциями, а
    > потом загрузить полученный модуль имени Нетфликса...

    Хех.
    Для начала придеться еще найти, как и где включить -- я ради любопытства полез в доки и сходу ничего не нашел.
    Только после гуглежа:
    https://reviews.freebsd.org/rS334804
    >  To build this into your kernel you will need to enable in your kernel:
    > makeoptions WITH_EXTRA_TCP_STACKS=1
    > options TCPHPTS

    т.к.
    kern.opts.mk
    [code]
    __DEFAULT_NO_OPTIONS = \
        EXTRA_TCP_STACKS \
        KERNEL_RETPOLINE \
        NAND \
        OFED \
        RATELIMIT
    [/code]
    т.е. требуется пересобрать ядро и прописать в /etc/sysctl.conf
    net.inet.tcp.functions_default=rack

     

  • 1.9, Anonimus (??), 01:44, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И как с этим в миллионах необновляемых андроидов и миллионах (обычно тоже не обновляемых) домашних рутеров ? (понятно, что далеко не каждого из рутеров можно заставить установить ТСП соединение с кем надо, но много таких, в которых чтото попосыллать можно.) Судя про номерам версий ядер в ЦВЕ, тут все тоже "хорошо", а обновления не будет.
     
     
  • 2.14, arisu (ok), 04:12, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > И как с этим в миллионах необновляемых андроидов и миллионах (обычно тоже
    > не обновляемых) домашних рутеров ?

    отлично всё с этим, должно работать как написано.

     

  • 1.10, dlinker (?), 01:45, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ушёл расчехлять dsl-300t, там 2.4.17 стоял
     
     
  • 2.65, Ivan_83 (ok), 15:09, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    1. Там пищят дроссели
    2. Это не имеет смысла, ибо он либо бриджём умеет и тогда твой TCP стёк доступен или ZIPB - прозрачный нат с ограничением в 100 соединений, и опять же твой TCP доступен.
     

  • 1.13, хотел спросить (?), 02:51, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А в CentOS когда?
     
     
  • 2.23, Нанобот (ok), 07:30, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    пятый центос (2.6.18) неуязвим!
    ...хотя эти могли и бекпортировать
     
  • 2.83, anonimous (?), 11:39, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    для центос 7 родили...
     

  • 1.15, Аноним (15), 05:51, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ветка 3.16 и не думала обновляться. Maintainer Ben Hutchings на неё забил, хотя поддерживать обещал до апреля 2020 года.
     
     
  • 2.20, Аноним (20), 06:48, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот теперь, по традиции опеннета: "Это опенсорс! Вам никто ничего не обязан! Надо - поддерживайте сами!" И все такое.
     
     
  • 3.56, Ванёк (?), 13:34, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вендeкапец
     
     
  • 4.78, Водитель маршрутки (?), 00:17, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Миллионы красных глаз не спят - ревьюют код в режыме 24/7, и святой Ричард с апостолом Линусом их благословляют.
     
  • 3.71, FSA (??), 19:45, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "Это опенсорс! Вам никто ничего не обязан! Надо - поддерживайте сами!"

    Вообще-то разработчики ядра берут на себя обязанность закрывать баги в своём ядре. Вот только ресурсы у них не резиновые, чтобы поддерживать абсолютно все версии ядра, что они выпустили. Тем более разработкой новых возможностей тоже надо заниматься. Хотите поддержки - используйте актуальные версии ПО.
    Кстати, ещё бы на Microsoft наехали, что она в Windows XP и Vista дыры в безопасности не фиксит.

     
     
  • 4.79, Водитель маршрутки (?), 00:21, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сравнил официально мертвую хрюшечку с официально живым ведром. Ты прямо Цицерон Платонович Пифагоров.
     
  • 2.26, анан (?), 08:21, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это опенсорс! Вам никто ничего не обязан! Надо - поддерживайте сами!
     
     
  • 3.28, Xasd5 (?), 09:34, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не обязан, но баги исправляются..

    (и зачем вообще тогда говорить про обязанности)

     
  • 3.68, Вася (??), 16:28, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно, так и быть. Можете не сами. Можете за это платить мантейнеру. В остальном всё правда. Надоело человеку и перестал. Он действительно ничего вам не должен.
     
     
  • 4.74, Аноним (74), 22:12, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сначала дал надежду в него поверить, а потом бросил на середине пути и даже об этом не сказал. В этом весь опенсорс.
     
  • 2.29, Andrey Mitrofanov_N0 (??), 09:50, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скачал и почитал https mirror yandex ru debian-security pool updates main l li... текст свёрнут, показать
     
  • 2.30, Аноним (30), 10:05, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Где же забил, если 3 недели назад выходило обновление? Думаешь, легко моментально бекпортировать патчи? Потерпи денёк-другой.
     
     
  • 3.51, Michael Shigorin (ok), 13:00, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если кому понадобится для 4.4 -- брать здесь:

    http://git.altlinux.org/people/kernelbot/packages/kernel-image.git?p=kernel-i
    https://packages.altlinux.org/ru/c8/srpms/kernel-image-std-def/changelogs

    (и да, мы знали заранее)

     
     
  • 4.58, Andrey Mitrofanov_N0 (??), 13:46, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если кому понадобится для 4.4 -- брать здесь:

    Бену https://www.decadent.org.uk/ben/blog/2019/06/02/debian-lts-work-may-2019
    надо.  Но это вам раньше надо было.  Сейчас-то он, поди, уже....

    Впрочем, у них там торговая война с китаем, но от Русских Хакеров по-прежнему могут постесняться принять патчей.

    > (и да, мы знали заранее)

     
     
  • 5.59, Andrey Mitrofanov_N0 (??), 13:48, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Бену www.decadent.org.uk/ben/blog/2019/06/02/debian-lts-work-may-2019

    https://www.decadent.org.uk/ben/blog/debian-lts-work-may-2019.html

    > надо

    проверять ссылки.  Надо проверять ссылки.  Надо проверять ссылки.

     
  • 5.66, Michael Shigorin (ok), 15:51, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почитал.  Сурово пришлось Бену...
     
  • 4.75, Аноним (74), 22:18, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У альта нет вменяемой секьюрити странички? Даже у школьников из арча такая есть.
     
  • 4.77, Аноним (30), 23:32, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если кому понадобится для 4.4 -- брать здесь

    Спасибо, но мы лучше возьмём здесь:
    https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/log/?h=v4.4.1

     
  • 4.85, vantoo (ok), 13:55, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если кому понадобится для 4.4 -- брать здесь:

    Если закладок от товарище Майора нет, тогда брать ну буду.
    Вы, кстати, в каком звании?

     

  • 1.21, Адекват (ok), 06:54, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Возможно скоро появиться удаленный рут через ремоте-tcp :)
     
     
  • 2.49, commiethebeastie (ok), 12:54, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Для защиты от переполнения в коде имеется проверка, которая приводит к вызову функции BUG_ON() и переводу ядра в состояние panic.
     

  • 1.31, None (??), 10:10, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну, перемудрили, что сказать.
    Вполне могли бы игнорировать все предложения ставить MSS меньше 536.
     
  • 1.32, Аноним (32), 10:48, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Не зря ребята из МЦСТ тихонько матерились на код ядра Linux
     
     
  • 2.33, arisu (ok), 10:56, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не зря ребята из МЦСТ тихонько матерились на код ядра Linux

    ну да. проклятые буржуи со своим GPL! не то что *BSD. но *BSD отчего-то брать не захотели.

     
     
  • 3.35, Andrey Mitrofanov_N0 (??), 11:03, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Не зря ребята из МЦСТ тихонько матерились на код ядра Linux

    Невоспитанные какие.  Ты их палкой, палкой -- пусть молча копают, куда дадено.

    > ну да. проклятые буржуи со своим GPL! не то что *BSD. но
    > *BSD отчего-то брать не захотели.

    Эффективные в погонах их ссильничали....  А виноват код, понятное дело!

     
  • 3.47, Ананнимас (?), 12:41, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    GPL! GPL!
    Вот только именно линукс и впихнули в уютненькую десяточку. Зато ГПЛ! Ни шагу назад! ни строчик проприетасам!
     
     
  • 4.50, arisu (ok), 12:58, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > GPL! GPL!
    > Вот только именно линукс и впихнули в уютненькую десяточку. Зато ГПЛ! Ни
    > шагу назад! ни строчик проприетасам!

    ты бы, барин, всё-таки разобрался, про что именно GPL. а то скажешь такое где-нибудь, где не такие вежливые собеседники — получится совсем конфуз.

     
     
  • 5.60, Andrey Mitrofanov_N0 (??), 14:18, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> GPL! GPL!
    >> Вот только именно линукс и впихнули в уютненькую десяточку. Зато ГПЛ! Ни
    >> шагу назад! ни строчик проприетасам!
    > ты бы, барин, всё-таки разобрался, про что именно GPL. а то скажешь
    > такое где-нибудь, где не такие вежливые собеседники — получится совсем конфуз.

    Он хозяйских цЫркуляров не читал.  Балаболит свосем не в струю.

    Изучайте конспекты, хватит халявить:

    https://www.opennet.ru/openforum/vsluhforumID3/111315.html#33
    https://www.opennet.ru/openforum/vsluhforumID3/112865.html#21
    [дождались!] https://www.opennet.ru/openforum/vsluhforumID3/111689.html#36
    https://www.opennet.ru/openforum/vsluhforumID3/107903.html#129
    https://www.opennet.ru/openforum/vsluhforumID3/109155.html#41
    https://www.opennet.ru/openforum/vsluhforumID3/117005.html#51

     
  • 3.52, Michael Shigorin (ok), 13:02, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не в том дело, на GPL они и так кладут местами (по крайней мере пока).
    Именно в качестве кода.

    Насколько знаю, там как-то попытались портировать линукс на эльбрусовый защищённый режим ptr128 со строгой памятью -- просто не взлетел (как, собственно, и glibc -- сейчас эксперименты идут с портированной/допиленной musl в контейнерах).

     
     
  • 4.54, arisu (ok), 13:08, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    это всё слухи и прочий недоказуемый smalltalk. я вот в своё время про Unreal Engine (который 1 и 2) слышал, что код там ужасен, все конечности и мозг можно сломать, пришлось полностью перерабатывать, чтобы нормально заработало и всё вот такое. а потом код в сеть утёк — и он оказался очень красивым и понятным. а вот к квалификации «дорабатывателей» появились огромные вопросы.
     
     
  • 5.67, Michael Shigorin (ok), 15:53, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это "почём купил, по том продал".  О чём и сказано сразу же рядом.
     
  • 2.37, Аноним (30), 11:39, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Не зря ребята из МЦСТ тихонько матерились на код ядра Linux

    Пусть покажут свои патчи, мы поржём. А то тут один ребятёнок из Росы недавно тихо матерился на код rpm5, хотя сам туда коммиты с синтаксическими ошибками делает.

     
     
  • 3.46, Аноним (46), 12:32, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там непосредственно в патче нет ошибки, это ABF Росы часть кода не показывает. Да и патч из rpm4. Да и работник, если как следует об этом призадуматься, ни при чём -- кто там и чем думал, когда переходили с rpm4 на rpm5 (созданный после эпичного отказа Джеффа исправлять баг в rpm4) -- вот в чём вопрос.
     
  • 2.39, borbacuca (ok), 11:48, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    они обнаружили там набор замечательных, блестящих, острозаточенных, гениальных... костылей
     
     
  • 3.42, Andrey Mitrofanov_N0 (??), 11:51, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > они обнаружили там набор замечательных, блестящих, острозаточенных, гениальных... костылей

    Сначала матероились, когда обнаружили там синтаксические ошибки.
    Потом матерились, когда обнаружили, что сами их и накоммитили туда.
    А потом матерились, когда не смогли их справить...
    А после....

    Невоспитанные же.  Палкой их.

     
  • 2.81, Led (ok), 00:56, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не зря ребята из МЦСТ тихонько матерились

    Они не матерились, это они так разговаривают.

     

  • 1.34, ф (?), 10:57, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Естл эксплоиты?
     
     
  • 2.36, Andrey Mitrofanov_N0 (??), 11:07, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Естл эксплоиты?

    тут -- нет.  купи в дырконете и выложи сюда -- будут.  понел-понел?

     
  • 2.38, Агент RHEL (?), 11:44, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Купи не дорого
     
     
  • 3.45, ф (?), 12:32, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Где и по чём?
     
     
  • 4.61, Andrey Mitrofanov_N0 (??), 14:24, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Где и по чём?

    "--мама сказала, что деньги в бидоне."

     
  • 3.73, Аноним (73), 22:00, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Без регистрации и СМС?
     

  • 1.41, Аноним (41), 11:51, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот это жесть...
     
  • 1.43, Аноним (43), 12:09, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем они разрешают такой мелкий mss? он даже у диалапов был 512байт.
     
     
  • 2.44, Аноним (43), 12:13, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iptables -A INPUT -p tcp -m tcpmss --mss :300 -j DROP
    как вариант рещения
     
     
  • 3.48, Ананнимас (?), 12:44, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ради антиреса, насколько напряжет цпу и на сколько увеличит задержку разбор каждого тцп пакетика ради анализа?
    Скажем на 1Гбит или 10Гбит потоке?
     
     
  • 4.53, нах_ (?), 13:05, 18/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    на время, соизмеримое с ошибкой измерения.

    Поскольку проверяется пара битов по маске, а основное время вообще тратится на проверку что эти биты там действительно есть,а не подсунули кривой пакет.

     
     
  • 5.87, Аноним (87), 18:00, 19/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на время, соизмеримое с ошибкой измерения.

    лол што?

     

  • 1.72, brzm (ok), 21:51, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это был один из самых чудесных дней в моей жизни. Google Cloud вообще не чесались с исправлениями.
     
  • 1.76, Anonimous (?), 22:36, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    obvious iptables fix.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру