forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Опасная удалённая уязвимость в ядре Linux, opennews (ok), 19-Мрт-14, (0) [смотреть все]

Ага, 5 лет калитка нараспашку и никто туда не зашёл Я вообще про этот протокол в, Фыр (?), 21:34 , 19-Мрт-14, (2) +14 //

Проверил - фигЪ OpenWRT на роутерах - нету Десктопы с бунту - нету Серваки с, Аноним (-), 22:53 , 19-Мрт-14, (50) +4
Ему ине надо использоваться, чтоб хакнуть твою систему Как я понял, если разреша, Аноним (-), 10:28 , 20-Мрт-14, (85) //

Даже если nf_conntrack_proto_dccp не загружен Ну попробуйте , Michael Shigorin (ok), 16:23 , 20-Мрт-14, (92)

Как можно знать что никто не зашел Никто не сказал, что зашел , azure (ok), 10:59 , 20-Мрт-14, (89) +2

DCCP практически не используется, Аноним (-), 21:41 , 19-Мрт-14, (5) +1 //

А оно выключено по-умолчанию , Аноним (-), 21:42 , 19-Мрт-14, (6) //

Не включено , backbone (ok), 21:50 , 19-Мрт-14, (11)

Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех ди, Аноним (-), 21:51 , 19-Мрт-14, (13) –1

Странно, в Debian не загружается В Gentoo вообще DCCP n Какой дистрибутив , backbone (ok), 21:53 , 19-Мрт-14, (16) –2

И в buntu тоже И вообще, я ни 1 машины с этим модулем не нашел, даже среди вся, Аноним (-), 22:54 , 19-Мрт-14, (51) +1

В рхеле центосе nf_conntrack_dccp 6 ip_conntrack_dccp 5 загружается только, AlexAT (ok), 21:53 , 19-Мрт-14, (17) +1

Ага, в openwrt по дефолту вражеского модуля тоже нету Так что домашние роутеры , Аноним (-), 22:27 , 19-Мрт-14, (38)
В убунте один модуль nf_conntrack, который обрабатывает все соединения Значит в, Аноним (-), 10:31 , 20-Мрт-14, (86)

Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на , ZloySergant (ok), 22:31 , 19-Мрт-14, (40) –1

Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опция, Аноним (-), 00:14 , 20-Мрт-14, (60)

а вы путаете грешное с праведным или теплое с мягким если конкретно для вас не , Perl_Jam (?), 03:23 , 20-Мрт-14, (65) –2

А вы вообще всё путаете Грешное и праведное - антонимы, а теплое и мягкое - нет , volax (?), 08:20 , 20-Мрт-14, (78) +5
Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, со, Аноним (-), 21:30 , 20-Мрт-14, (94) +1

нет, это ты отчего-то считаешь эникейщиков админами , arisu (ok), 08:27 , 20-Мрт-14, (79)

Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен, Аноним (-), 21:27 , 20-Мрт-14, (93) –1

Не факт Обычно не приходит , Led (ok), 08:33 , 21-Мрт-14, (100)

даже фтп не загружается, а уж это , Аноним (-), 19:26 , 22-Мрт-14, (106)

как узнать , Аноним (-), 21:52 , 19-Мрт-14, (15) –1

lsmod 124 grep -i dccp , backbone (ok), 21:54 , 19-Мрт-14, (19)

Это выдаст только текущее состояние, которое может измениться в любой момент , Аноним (-), 21:58 , 19-Мрт-14, (24)

Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp , AlexAT (ok), 22:01 , 19-Мрт-14, (26) +1

Опасная удалённая уязвимость в ядре Linux, Perl_Jam (?), 03:30 , 20-Мрт-14, (66)
единственное, что хотел бы заметить, вы часто используете модули на боевых серве, Perl_Jam (?), 03:32 , 20-Мрт-14, (67) –5
просто в blacklist его вписать и все , Аноним (-), 19:30 , 22-Мрт-14, (107)

Расскажите пожалуйста, каким образом произойдет изменение состояния Что будет , PavelR (ok), 22:01 , 19-Мрт-14, (27) +1

Какая-нибудь умная морда к iptables при очередной настройке обновлении решит, , Аноним (-), 22:10 , 19-Мрт-14, (30)

Лишний повод не использовать такие морды , Аноним (-), 22:56 , 19-Мрт-14, (52) +2

Золотые слова Жаль, эникеи их не оценят , Аноним (-), 23:55 , 19-Мрт-14, (57)

Ну если кто не хочет платить нормальному админу - он получает то что получает Н, Аноним (-), 00:11 , 20-Мрт-14, (59)

iptables -L -t nat, XoRe (ok), 15:54 , 24-Мрт-14, (118)

Если сервер работает месяцами и данный модуль не потребовался за это время, вели, backbone (ok), 22:04 , 19-Мрт-14, (28) +1
1 В нормальной ситуации такие модули на ходу не загружаются 2 Если у вас ненор, Аноним (-), 22:33 , 19-Мрт-14, (41)

Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP п, rihad (?), 17:46 , 22-Мрт-14, (105) –1

Что значит по умолчанию Это же linux, тут нет ничего умолчательного Я лично эт, Аноним (-), 22:00 , 19-Мрт-14, (25)

В бунтах и дебиане этот модуль по дефолту тоже не активен В openwrt - аналогич, Аноним (-), 22:34 , 19-Мрт-14, (42)

ну сам по себе модуль есть cat boot config-3 11 0-18-lowlatency 124 grep , Khariton (ok), 23:52 , 19-Мрт-14, (56)

Если у вас нет всяких умных морд к фаерволу - близка к нулю Бессмысленно blackl, Аноним (-), 23:57 , 19-Мрт-14, (58) –1

А что, есть самураи, использующие DCCP через NAT в офисе Use streaming media, m, vlikhachev (ok), 21:49 , 19-Мрт-14, (9) //

Это совершенно не странно в Российских научных организациях Потому и реорганизу, Аноним (-), 09:07 , 20-Мрт-14, (81) //

Нет Реорганизуют и сокращают как раз тех, кто работает Бездельников и распильщ, Аноним (-), 21:36 , 20-Мрт-14, (97)

А представьте что в проприетарном закрытом коде творится , Аноним (-), 01:56 , 20-Мрт-14, (63)
Локалхостеры-гентушнеки они такие , commiethebeastie (ok), 08:58 , 20-Мрт-14, (80) –1

Объясните программисту, если сервер стоит за нат ом и на него форвардится 22 пор, nataraj (??), 21:34 , 19-Мрт-14, (3) –1 //

А NAT на каком ядре работает , Аноним (-), 21:37 , 19-Мрт-14, (4)
Скорее всего, у вас натится только TCP 22 А значит, пробраться нельзя Зависит о, Аноним (-), 21:56 , 19-Мрт-14, (22) //

если модуль вгружен Несмотря на стремность бага я не смог найти ни 1 системы, Аноним (-), 22:37 , 19-Мрт-14, (44) +1

Если на 22 порту использовать DCCP то может Но обычно там используют SSH Боять, Аноним (31), 22:11 , 19-Мрт-14, (31) –1 //

Сказал человек, только что перепутавший транспортный уровень с сетевым Да , Аноним (-), 22:16 , 19-Мрт-14, (34) +3 //

прикладнымТеперь и я тоже , Аноним (-), 22:16 , 19-Мрт-14, (35)

Да Да Да , Аноним (-), 11:56 , 20-Мрт-14, (90)

Гудбай, DCCP, еще лет 5 тому назад когда в нем дыры находили каждый месяц bla, AlexAT (ok), 21:46 , 19-Мрт-14, (7) //

тоже подумал что не обязательно делать NOTRACK, Аноним (-), 21:50 , 19-Мрт-14, (10)
Отличная шутка blacklist влияет только при автоматической подгрузке модулей чере, Аноним (-), 21:53 , 19-Мрт-14, (18) //

Согласен, не панацея Поскольку конфиги у меня известные - я точно знаю, что авто, AlexAT (ok), 21:56 , 19-Мрт-14, (21) +2
Осталось только найти где она делается и почему , Аноним (-), 22:38 , 19-Мрт-14, (46)

Ты с SCTP перепутал , pavlinux (ok), 16:51 , 21-Мрт-14, (102)

А как насчет роутеров с OpenWRT да и не только на борту Даже если и выйдет пат, Аноним (-), 21:49 , 19-Мрт-14, (8) –2 //

Проверил на OpenWRT 12 09 и на текущем trunk Он собран без поддержки dccp так ч, Sonnix (ok), 22:09 , 19-Мрт-14, (29) +3 //

Это зависит не от наличия модуля, а от наличия протокола в etc protocols Внутри, Аноним (-), 22:14 , 19-Мрт-14, (33) //

Из конфига ядра openwrt CONFIG_NF_CT_PROTO_DCCP is not set CONFIG_NETFILTER_X, Sonnix (ok), 22:25 , 19-Мрт-14, (37) +3

Это уже другой разговор , Аноним (-), 22:27 , 19-Мрт-14, (39)

Куча настроек на роутере, и сам роутер в удаленном филиале Например , Аноним (-), 22:18 , 19-Мрт-14, (36) //

На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования , Sonnix (ok), 22:34 , 19-Мрт-14, (43)
В openwrt есть режим сохранения настроек - Ну и если совсем уж прижало - можн, Аноним (-), 22:43 , 19-Мрт-14, (47)

ЖУтко опасная Из 50 Линукс серверов на 0 машин стоит dccp connection tracker , Аноним (-), 21:57 , 19-Мрт-14, (23) +5 //

Суть новости в том, что так должно оставаться и дальше , Аноним (-), 22:11 , 19-Мрт-14, (32) +3 //

А зачем вам сетевые модули трекинга соединений про запас Чтобы увеличить шанс, Аноним (-), 22:46 , 19-Мрт-14, (49)

zgrep -i dccp proc config gz CONFIG_IP_DCCP is not setраз не нужно - то вык, emg81 (ok), 23:26 , 19-Мрт-14, (54)
zgrep -i dccp proc config gz CONFIG_IP_DCCP is not set, анон (?), 06:46 , 20-Мрт-14, (73) –1
у меня 3 14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP m, arzeth (ok), 07:08 , 20-Мрт-14, (75) –2
Ну что за уроды неужели трудно было в заголовке написать DCCP , я вот подум, Адекват (ok), 08:11 , 20-Мрт-14, (77) +3 //

Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что, Аноним (-), 09:16 , 20-Мрт-14, (82) +1 //

Использовать нормальную CMS - это тоже wrong way True way - это собирать HTML в, Аноним (-), 09:46 , 20-Мрт-14, (83) //

вот это очень правильный способ чем больше эти 171 достижения 187 игнорирую, arisu (ok), 09:52 , 20-Мрт-14, (84) +1

Будь не таким, как все Борись с системой , Аноним (-), 21:32 , 20-Мрт-14, (95)

пожимает плечами борись разрешаю , arisu (ok), 21:42 , 20-Мрт-14, (98)

Вообще-то, все так и есть за исключением iptables , Аноним (-), 21:34 , 20-Мрт-14, (96)

удалённая - да, опасная - нет, Нанобот (ok), 10:38 , 20-Мрт-14, (87) //

Кому и кобыла невеста По линуксовым меркам, даже сабж уже событие Потому что 9, Аноним (-), 00:32 , 21-Мрт-14, (99)

- dh skb_header_pointer skb, dataoff, sizeof _dh , dh dh skb_header_poin, Аноним (-), 10:46 , 20-Мрт-14, (88) //

Кто автор предыдущего вот этого - dh skb_header_pointer skb, dataoff, sizeof _, vi (?), 14:38 , 20-Мрт-14, (91) +1 //

Оно так и было, с 2008 года, http git kernel org cgit linux kernel git torvald, pavlinux (ok), 02:32 , 23-Мрт-14, (115) +1 //

C 2008 года оно тупо никому не нужно было LOL d, AlexAT (ok), 12:16 , 23-Мрт-14, (116) +1
gt оверквотинг удален Видать у парня клавиша минус продавлена, наверное много , vi (?), 16:03 , 23-Мрт-14, (117)

Кстате, а чё не POSTROUTING iptables -t raw -I POSTROUTING -p dccp -j NOTRACKВы, pavlinux (ok), 16:58 , 21-Мрт-14, (103) +2 //

Хе в raw нету же POSTROUTING а это идея - , pavlinux (ok), 02:20 , 23-Мрт-14, (108)

Сообщения [Сортировка по времени | RSS]

22. "Опасная удалённая уязвимость в ядре Linux" +/–

Сообщение от Аноним (-), 19-Мрт-14, 21:56

> Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22
> порт, то оно может через него пробраться?
Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя.
> А как на счет роутера с линуксом на борту? На нем тоже
> безобразия будут?
Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

44. "Опасная удалённая уязвимость в ядре Linux" +1 +/–

Сообщение от Аноним (-), 19-Мрт-14, 22:37

> Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m"
> - значит, подвержено.
...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	22. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Аноним (-), 19-Мрт-14, 21:56
	> Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 > порт, то оно может через него пробраться? Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя. > А как на счет роутера с линуксом на борту? На нем тоже > безобразия будут? Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	44. "Опасная удалённая уязвимость в ядре Linux"	+1 +/–
	Сообщение от Аноним (-), 19-Мрт-14, 22:37
	> Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" > - значит, подвержено. ...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...
	Ответить \| Правка \| Наверх \| Cообщить модератору