Уязвимость, позволяющая вклиниваться в TCP-соединения, осуще...,
opennews (??), 06-Дек-19, (0) [смотреть все]
- Для IPv4 атака возможна в случае перевода rp_filter в режим Loose sysctl ne,
Аноним (1), 13:49 , 06-Дек-19, (1) +24 //
- И в этом тоже systemd виноват ,
A.Stahl (ok), 13:55 , 06-Дек-19, (3) +3 //
- тут налицо вина сисдамина ,
Аноним (7), 14:04 , 06-Дек-19, (7) –5 //
- А разве нет Почитайте текст в оригинале Таки да ,
Аноним (9), 14:04 , 06-Дек-19, (8) +6
- notabug, closed ,
Поцтеринг (?), 14:08 , 06-Дек-19, (13) +23
- Угу, ожидаемое следствие когда решения о настройках по умолчанию принимают дилет,
Аноним (29), 14:47 , 06-Дек-19, (29) +2
//
- Ну так где были не дилетанты Вы же, не дилетанты, знали что вот-вот в режиме Lo,
A.Stahl (ok), 14:57 , 06-Дек-19, (37) +9
- Потому что я не нанимался тестировщиком systemd,
Аноним (29), 15:02 , 06-Дек-19, (39) –3
- По умолчанию должен быть сторогий режим Админ на свой стах и риск может понижат,
Аноним (48), 15:24 , 06-Дек-19, (48) +1
- Не-дилетанты используют Икспишечку ,
Anonymoustus (ok), 18:41 , 06-Дек-19, (94)
- ХЗ, лично мне казалось очевидным, что любой режим, кроме strict, это по умолчани,
anonymous (??), 20:53 , 06-Дек-19, (106)
- Да, это явно внедряемая уязвимость с расчётом на то, что большинство пользовател,
Аноним (49), 15:25 , 06-Дек-19, (49)
- Уточним в этом виноваты создатели системды ,
Anonymoustus (ok), 18:40 , 06-Дек-19, (93)
- Нет, авторы его концепции - что пироги и сапоги может строгать один комбайнер ,
КО (?), 10:01 , 09-Дек-19, (169)
- Систамм да стал использовать балансировку нагрузки по умолчанию или что Есть же,
dfhdh (?), 21:13 , 06-Дек-19, (110) –1
- А ничего, что в системах, не использующих systemd, rp_filter вообще 0, т е выкл,
Rootlexx (?), 21:42 , 06-Дек-19, (112) +1 //
- И как это оправдывает авторов systemd ,
Аноним (129), 01:17 , 07-Дек-19, (129) –1 //
- А при чём здесь вообще systemd Уязвимость в systemd - нет, не в systemd Значе,
Rootlexx (?), 01:32 , 07-Дек-19, (132) +2
- если я неткатом проброшу 23й порт напрямую в рутовый шел - это уязвимость в netc,
пох. (?), 02:09 , 07-Дек-19, (136)
- В дистрибутивах, не использующих systemd, используется как раз конфигурация ядра,
Rootlexx (?), 02:18 , 07-Дек-19, (137) +1
- grep rp_filter etc sysctl conf net ipv4 conf all rp_filter 1таким, примерно ,
пох. (?), 02:33 , 07-Дек-19, (139)
- Сначала заявили про безопасную конфигурацию ядра по умолчанию, а теперь вдруг ,
Rootlexx (?), 02:39 , 07-Дек-19, (140)
- Оговорка нужная Чтоб вы понимали, анонимы, почему я говорю, что пох знаёт вс,
Anonymoustus (ok), 08:24 , 07-Дек-19, (147)
- Для систем на которых поднят vpn некорректно, причем systemD в курсе подняты они,
КО (?), 10:07 , 09-Дек-19, (170) +1
- https github com systemd systemd commit 230450d4e4f - описание, зачем была сде,
mikhailnov (ok), 11:20 , 07-Дек-19, (150) //
- А как они получают ключ, длинной, например, 2048 бит , ведь openvpn по сути это,
Адекват (ok), 13:50 , 06-Дек-19, (2) +1 //
- В том-то и дело, что ни ключ, ни логин-пароль не нужны Пакет прилетает из внешн,
Аноним (4), 13:56 , 06-Дек-19, (4) +10 //
- Они пишут сразу в декодированный канал, что там н6а уровне шифрования им фиолето,
КО (?), 10:12 , 09-Дек-19, (171)
- насколько понимаю, на BSD со включенным в pf antispoof - работать не будет, а в,
Аноним (9), 14:00 , 06-Дек-19, (5) –2
- Не увидел бага Это особенность Rp filter отключается только на маршрутизаторах ,
Аноним (6), 14:00 , 06-Дек-19, (6) –1 //
- полагаю, стильномодномолодёжные девляпсы не поймут ,
Аноним (9), 14:06 , 06-Дек-19, (10) +2
- у нормальных людей это брандмауером прикрывается на этапе проектирования а те к,
Аноним (12), 14:07 , 06-Дек-19, (12) +1 //
- Это дефолтная фишка systemd -- поднаcрать там где не ждали ,
Аноним (23), 14:23 , 06-Дек-19, (23) +17 //
- Ох, как я с Вами согласен ,
Аноним (29), 14:51 , 06-Дек-19, (32)
- Теперь даже до FreeBSD, OpenBSD, macOS, iOS и другие Unix-подобные системы,
Andrey Mitrofanov_N0 (??), 14:55 , 06-Дек-19, (36) //
- что у вас за устаревшая немодная вонючая портянка в конце текста и что она вообщ,
пох. (?), 14:07 , 06-Дек-19, (11) //
- Значит она пока не такая прекрасная, как хотелось бы ,
dimqua (ok), 14:17 , 06-Дек-19, (18) +5 //
- О, ДеВоПсЫ подтянулись ,
Nadanon (?), 15:49 , 06-Дек-19, (53) –2 //
- Сам iptables по умолчанию работает через nftables, если дистрибутив явно не взял,
Darth Revan (ok), 16:36 , 06-Дек-19, (65) +2 //
- cat proc sys net ipv4 conf all rp_filter 0Проклятый системдос И до openwrt д,
Аноним (15), 14:11 , 06-Дек-19, (15) –1 //
- openwrt это маршрутизатор с поддержкой ассимитричного трафика,
Аноним (29), 14:53 , 06-Дек-19, (34) //
- Системдос выставляет значение 2 ,
Аноним (45), 15:06 , 06-Дек-19, (45) //
- а меня 1,
Аноним (64), 16:30 , 06-Дек-19, (64)
- CentOS 7cat proc sys net ipv4 conf all rp_filter1Fedora 30cat proc sys net ipv,
хотел спросить (?), 00:30 , 07-Дек-19, (127)
- я только не понял, с rp_filter 0 оно работает или нет ,
Аноним (12), 14:13 , 06-Дек-19, (17) //
- А самому попробовать первую стадию определение локального адреса VPN ну вообще,
Аноним (-), 14:20 , 06-Дек-19, (19)
- насколько понял, если вы сидите из мухосранска где только ipv4 - настройки rp_fi,
Аноним (-), 14:22 , 06-Дек-19, (21) //
- походу тебя поимеют,
Аноним (64), 16:37 , 06-Дек-19, (66)
- Слишком надуманоЯ правильно понимаю, что включение strict приведёт к проблемам с,
Нанобот (ok), 14:28 , 06-Дек-19, (25) –5 //
- включение strict будет проверять, что отправитель и адресат совпадают, так сказа,
Аноним (-), 14:35 , 06-Дек-19, (28) –1 //
- нет, неправильно Проверяется _reverse_path ,
пох. (?), 15:04 , 06-Дек-19, (43)
- ребята, объясните - правильные параметры выставляются черезsudo sysctl -w net i,
Нуб (?), 14:32 , 06-Дек-19, (26) //
- Operating Systems Affected Here is a list of the operating systems we have tes,
Аноним (-), 14:33 , 06-Дек-19, (27) +9 //
- Devuan опасносте 128561 А в коментариях выше местные иксперды уже пришли к выв,
Нанобот (ok), 14:54 , 06-Дек-19, (35) //
- OpenBSD - Only two remote holes in the default install, in a heck of a long time,
Olololo (?), 16:56 , 06-Дек-19, (70) +9 //
- бгг фраза звучит довольно фальшиво уже как несколько лет , но фанатики хавают,
ll (??), 17:35 , 06-Дек-19, (79) +5 //
- Вы знаете, а я почему-то полагал, что люди её применяют - после тщательного анал,
Аноним (9), 18:07 , 06-Дек-19, (88)
- ну вон перечитай жизенный путь одного местного, гхм нефанатика, изложенный ча,
пох. (?), 19:42 , 06-Дек-19, (100) +1
- Напомнить, как после обнародования уязвимости Spectre в процессорах только у Ope,
Olololo (?), 20:30 , 06-Дек-19, (103)
- Десяточку, вестимо ,
Anonymoustus (ok), 21:13 , 06-Дек-19, (111) +1
- лолшта spectre не имеет отношения к героической поебде над гипертредингом, с ко,
пох. (?), 22:44 , 06-Дек-19, (115)
- Ну блин, padding уже везде должен быть жеж поидее,
Аноним (46), 15:10 , 06-Дек-19, (46)
- Даже ничего изменять не пришлось code net ipv4 conf all accept_redirects 0net,
Ilya Indigo (ok), 15:24 , 06-Дек-19, (47) –4 //
- Надеюсь ты сам понимаешь что тут столько настроек чтобы сам ты тут ничего поменя,
Аноним (55), 15:59 , 06-Дек-19, (55) +3 //
- он похоже не понимает, что эти настройки означают и как работают - судя по мешан,
пох. (?), 16:06 , 06-Дек-19, (57) //
- Я понимаю для чего они изменяются, но не понимаю до конца все последствия и накл,
Ilya Indigo (ok), 16:11 , 06-Дек-19, (58) //
- Ох, мать-перемать, вот это простыня Это ты на своем десктопе лэптопе такое фига,
Fyjy (?), 16:49 , 06-Дек-19, (68) //
- Добавь вот это code vm swappiness 0vm dirty_ratio 60vm dirty_background_ratio 40,
Olololo (?), 16:58 , 06-Дек-19, (71) –1 //
- Какая прекрасная идея Фигак и нет у тебя больше IPv6 Вот только что был, но ты,
Fyjy (?), 17:05 , 06-Дек-19, (73) //
- Нет IPv6, а значит и нет дырок в IPv6 и дырок эксплуатируемых с помощью IPv6 Эт,
Olololo (?), 17:11 , 06-Дек-19, (74) +2
- Что такое 171 дырки в IPv6 187 А так отруби тогда вообще сетевой стек, что у,
Fyjy (?), 17:15 , 06-Дек-19, (75)
- IPv6 слишком молод, чтобы его использовать Ещё даже в IPv4 не все дырки отловил,
Olololo (?), 17:20 , 06-Дек-19, (76) +1
- Сижу на героине весь, просто весь, а ты тут предлагаешь дилеров отстреливать ,
Michael Shigorin (ok), 13:52 , 07-Дек-19, (156) –3
- причем одного раза выстрелить самому себе из ружья в задницу показалось мало, сд,
пох. (?), 00:01 , 07-Дек-19, (126)
- ipv6 полноценно отключается только через параметр загрузки ядра От этого же у ме,
Ilya Indigo (ok), 17:56 , 06-Дек-19, (85) +2 //
- Выруби логи, делов-то ,
Olololo (?), 18:01 , 06-Дек-19, (86) +1
- Как раз наоборот Именно это рекомендуемый, например, красношапкой способ отключ,
gogo (?), 18:37 , 06-Дек-19, (90)
- Отличная иллюстрация того, зачем надо использовать HTTPS Сначала был KRACK, кото,
AnonPlus (?), 15:46 , 06-Дек-19, (52) //
- И это только один системдосовский нотэбаг ,
Аноним (55), 15:55 , 06-Дек-19, (54)
- Я писал о похожей атаке в 2015 году https habr com ru post 273523 Использовал ,
sage (??), 16:18 , 06-Дек-19, (61) +2 //
- Так вот мне засирал порты в 2015 году ,
Olololo (?), 17:00 , 06-Дек-19, (72) +2 //
- Это у тебя там Рика-тяма на аватарке или просто похожа ,
Аноним (-), 20:53 , 06-Дек-19, (105)
- что тебе надо откуда-то узнать ip-адрес А если у тебя при подключенном vpn и пе,
пох. (?), 23:07 , 06-Дек-19, (120) +1
- user laptop sysctl net ipv4 conf all rp_filternet ipv4 conf all rp_filter 1u,
Fyjy (?), 16:48 , 06-Дек-19, (67) +4 //
- Блин, iptables и nftables, конечно, мощные инструменты Но какой же вырвиглазный,
Аноним (46), 17:53 , 06-Дек-19, (84) –1
- а в FreeBSD что править и патчить ,
Аноним (89), 18:13 , 06-Дек-19, (89) –1 //
- Я тут недавно обнаружил, что через NAT-сервер и так утекают локальные адреса Ту,
Аноним (98), 19:35 , 06-Дек-19, (98) +1 //
- на бордере - _любом_ бордере, а не только натящем, является хорошей традицией не,
пох. (?), 23:20 , 06-Дек-19, (122)
- Это давно известная багофича В iptables можно фильтровать как-то вроде -m conn,
Нанобот (ok), 10:45 , 07-Дек-19, (149) +1
- Так это для впн можно и на ноль сидеть, Оперой не пользуюсь и другими впнка,
Анонимчик (?), 20:30 , 06-Дек-19, (102) –4
- cat proc sys net ipv4 conf all rp_filter 1,
fedora (?), 20:52 , 06-Дек-19, (104)
- Ну и root-доступ бы ещё неплохо ,
Онаним (?), 20:59 , 06-Дек-19, (108)
- А какого хрена вообще какие-то режимы влияют на изоляцию VPN-туннелей Какого хр,
Аноним (113), 21:56 , 06-Дек-19, (113) –1 //
- кто полагается на IP-адреса в вопросах безопасности VPN тот сам себе злобный бур,
Аноним (145), 04:27 , 07-Дек-19, (145) //
- Понятно, что все высказались кто-нить уже git grep, git blame и git show насчёт,
Michael Shigorin (ok), 13:40 , 07-Дек-19, (155) //
- Где там чего менять ,
Аноним (-), 15:10 , 07-Дек-19, (158) –1
- Сразу видно уровень местных экспертов - все побежали включать rp_filter - я всег,
Ivan_83 (ok), 13:30 , 09-Дек-19, (176) –1
- Первым делом при настройке любого маршрутизатора запрещаю приём пакетов на интер,
mumu (ok), 02:22 , 10-Дек-19, (180)
- Ecли у меня UDP с TLS на pfsense, мне стоит беспокоится по поводу сабжа ,
Аноним (181), 01:14 , 11-Дек-19, (181)
- Примерно 15 лет назад данная техника атаки на шифрованные тунели была разработа,
Аноним (185), 12:04 , 15-Дек-19, (185)
1,2,5,6,11,15,17,25,26,27,46,47,52,54,61,67,84,89,98,102,104,108,113,145,155,158,176,180,181,185
|
Вариант для распечатки
