Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Опасная удалённая уязвимость в ядре Linux, opennews (ok), 19-Мрт-14, (0) [смотреть все] Ага, 5 лет калитка нараспашку и никто туда не зашёл Я вообще про этот протокол в, Фыр (?), 21:34 , 19-Мрт-14, (2) +14 // Проверил - фигЪ OpenWRT на роутерах - нету Десктопы с бунту - нету Серваки с, Аноним (-), 22:53 , 19-Мрт-14, (50) +4 Ему ине надо использоваться, чтоб хакнуть твою систему Как я понял, если разреша, Аноним (-), 10:28 , 20-Мрт-14, (85) // Даже если nf_conntrack_proto_dccp не загружен Ну попробуйте , Michael Shigorin (ok), 16:23 , 20-Мрт-14, (92) Как можно знать что никто не зашел Никто не сказал, что зашел , azure (ok), 10:59 , 20-Мрт-14, (89) +2 DCCP практически не используется, Аноним (-), 21:41 , 19-Мрт-14, (5) +1 // А оно выключено по-умолчанию , Аноним (-), 21:42 , 19-Мрт-14, (6) // Не включено , backbone (ok), 21:50 , 19-Мрт-14, (11) Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех ди, Аноним (-), 21:51 , 19-Мрт-14, (13) –1 Странно, в Debian не загружается В Gentoo вообще DCCP n Какой дистрибутив , backbone (ok), 21:53 , 19-Мрт-14, (16) –2 И в buntu тоже И вообще, я ни 1 машины с этим модулем не нашел, даже среди вся, Аноним (-), 22:54 , 19-Мрт-14, (51) +1 В рхеле центосе nf_conntrack_dccp 6 ip_conntrack_dccp 5 загружается только, AlexAT (ok), 21:53 , 19-Мрт-14, (17) +1 Ага, в openwrt по дефолту вражеского модуля тоже нету Так что домашние роутеры , Аноним (-), 22:27 , 19-Мрт-14, (38) В убунте один модуль nf_conntrack, который обрабатывает все соединения Значит в, Аноним (-), 10:31 , 20-Мрт-14, (86) Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на , ZloySergant (ok), 22:31 , 19-Мрт-14, (40) –1 Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опция, Аноним (-), 00:14 , 20-Мрт-14, (60) а вы путаете грешное с праведным или теплое с мягким если конкретно для вас не , Perl_Jam (?), 03:23 , 20-Мрт-14, (65) –2 А вы вообще всё путаете Грешное и праведное - антонимы, а теплое и мягкое - нет , volax (?), 08:20 , 20-Мрт-14, (78) +5 Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, со, Аноним (-), 21:30 , 20-Мрт-14, (94) +1 нет, это ты отчего-то считаешь эникейщиков админами , arisu (ok), 08:27 , 20-Мрт-14, (79) Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен, Аноним (-), 21:27 , 20-Мрт-14, (93) –1 Не факт Обычно не приходит , Led (ok), 08:33 , 21-Мрт-14, (100) даже фтп не загружается, а уж это , Аноним (-), 19:26 , 22-Мрт-14, (106) как узнать , Аноним (-), 21:52 , 19-Мрт-14, (15) –1 lsmod 124 grep -i dccp , backbone (ok), 21:54 , 19-Мрт-14, (19) Это выдаст только текущее состояние, которое может измениться в любой момент , Аноним (-), 21:58 , 19-Мрт-14, (24) Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp , AlexAT (ok), 22:01 , 19-Мрт-14, (26) +1 Опасная удалённая уязвимость в ядре Linux, Perl_Jam (?), 03:30 , 20-Мрт-14, (66) единственное, что хотел бы заметить, вы часто используете модули на боевых серве, Perl_Jam (?), 03:32 , 20-Мрт-14, (67) –5 просто в blacklist его вписать и все , Аноним (-), 19:30 , 22-Мрт-14, (107) Расскажите пожалуйста, каким образом произойдет изменение состояния Что будет , PavelR (ok), 22:01 , 19-Мрт-14, (27) +1 Какая-нибудь умная морда к iptables при очередной настройке обновлении решит, , Аноним (-), 22:10 , 19-Мрт-14, (30) Лишний повод не использовать такие морды , Аноним (-), 22:56 , 19-Мрт-14, (52) +2 Золотые слова Жаль, эникеи их не оценят , Аноним (-), 23:55 , 19-Мрт-14, (57) Ну если кто не хочет платить нормальному админу - он получает то что получает Н, Аноним (-), 00:11 , 20-Мрт-14, (59) iptables -L -t nat, XoRe (ok), 15:54 , 24-Мрт-14, (118) Если сервер работает месяцами и данный модуль не потребовался за это время, вели, backbone (ok), 22:04 , 19-Мрт-14, (28) +1 1 В нормальной ситуации такие модули на ходу не загружаются 2 Если у вас ненор, Аноним (-), 22:33 , 19-Мрт-14, (41) Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP п, rihad (?), 17:46 , 22-Мрт-14, (105) –1 Что значит по умолчанию Это же linux, тут нет ничего умолчательного Я лично эт, Аноним (-), 22:00 , 19-Мрт-14, (25) В бунтах и дебиане этот модуль по дефолту тоже не активен В openwrt - аналогич, Аноним (-), 22:34 , 19-Мрт-14, (42) ну сам по себе модуль есть cat boot config-3 11 0-18-lowlatency 124 grep , Khariton (ok), 23:52 , 19-Мрт-14, (56) Если у вас нет всяких умных морд к фаерволу - близка к нулю Бессмысленно blackl, Аноним (-), 23:57 , 19-Мрт-14, (58) –1 А что, есть самураи, использующие DCCP через NAT в офисе Use streaming media, m, vlikhachev (ok), 21:49 , 19-Мрт-14, (9) // Это совершенно не странно в Российских научных организациях Потому и реорганизу, Аноним (-), 09:07 , 20-Мрт-14, (81) // Нет Реорганизуют и сокращают как раз тех, кто работает Бездельников и распильщ, Аноним (-), 21:36 , 20-Мрт-14, (97) А представьте что в проприетарном закрытом коде творится , Аноним (-), 01:56 , 20-Мрт-14, (63) Локалхостеры-гентушнеки они такие , commiethebeastie (ok), 08:58 , 20-Мрт-14, (80) –1 Объясните программисту, если сервер стоит за нат ом и на него форвардится 22 пор, nataraj (??), 21:34 , 19-Мрт-14, (3) –1 // А NAT на каком ядре работает , Аноним (-), 21:37 , 19-Мрт-14, (4) Скорее всего, у вас натится только TCP 22 А значит, пробраться нельзя Зависит о, Аноним (-), 21:56 , 19-Мрт-14, (22) // если модуль вгружен Несмотря на стремность бага я не смог найти ни 1 системы, Аноним (-), 22:37 , 19-Мрт-14, (44) +1 Если на 22 порту использовать DCCP то может Но обычно там используют SSH Боять, Аноним (31), 22:11 , 19-Мрт-14, (31) –1 // Сказал человек, только что перепутавший транспортный уровень с сетевым Да , Аноним (-), 22:16 , 19-Мрт-14, (34) +3 // прикладнымТеперь и я тоже , Аноним (-), 22:16 , 19-Мрт-14, (35) Да Да Да , Аноним (-), 11:56 , 20-Мрт-14, (90) Гудбай, DCCP, еще лет 5 тому назад когда в нем дыры находили каждый месяц bla, AlexAT (ok), 21:46 , 19-Мрт-14, (7) // тоже подумал что не обязательно делать NOTRACK, Аноним (-), 21:50 , 19-Мрт-14, (10) Отличная шутка blacklist влияет только при автоматической подгрузке модулей чере, Аноним (-), 21:53 , 19-Мрт-14, (18) // Согласен, не панацея Поскольку конфиги у меня известные - я точно знаю, что авто, AlexAT (ok), 21:56 , 19-Мрт-14, (21) +2 Осталось только найти где она делается и почему , Аноним (-), 22:38 , 19-Мрт-14, (46) Ты с SCTP перепутал , pavlinux (ok), 16:51 , 21-Мрт-14, (102) А как насчет роутеров с OpenWRT да и не только на борту Даже если и выйдет пат, Аноним (-), 21:49 , 19-Мрт-14, (8) –2   // Проверил на OpenWRT 12 09 и на текущем trunk Он собран без поддержки dccp так ч, Sonnix (ok), 22:09 , 19-Мрт-14, (29) +3   // Это зависит не от наличия модуля, а от наличия протокола в etc protocols Внутри, Аноним (-), 22:14 , 19-Мрт-14, (33)   // Из конфига ядра openwrt CONFIG_NF_CT_PROTO_DCCP is not set CONFIG_NETFILTER_X, Sonnix (ok), 22:25 , 19-Мрт-14, (37) +3   Это уже другой разговор , Аноним (-), 22:27 , 19-Мрт-14, (39)   Куча настроек на роутере, и сам роутер в удаленном филиале Например , Аноним (-), 22:18 , 19-Мрт-14, (36)   // На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования , Sonnix (ok), 22:34 , 19-Мрт-14, (43)   В openwrt есть режим сохранения настроек - Ну и если совсем уж прижало - можн, Аноним (-), 22:43 , 19-Мрт-14, (47)   ЖУтко опасная Из 50 Линукс серверов на 0 машин стоит dccp connection tracker , Аноним (-), 21:57 , 19-Мрт-14, (23) +5 // Суть новости в том, что так должно оставаться и дальше , Аноним (-), 22:11 , 19-Мрт-14, (32) +3 // А зачем вам сетевые модули трекинга соединений про запас Чтобы увеличить шанс, Аноним (-), 22:46 , 19-Мрт-14, (49) zgrep -i dccp proc config gz CONFIG_IP_DCCP is not setраз не нужно - то вык, emg81 (ok), 23:26 , 19-Мрт-14, (54) zgrep -i dccp proc config gz CONFIG_IP_DCCP is not set, анон (?), 06:46 , 20-Мрт-14, (73) –1 у меня 3 14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP m, arzeth (ok), 07:08 , 20-Мрт-14, (75) –2 Ну что за уроды неужели трудно было в заголовке написать DCCP , я вот подум, Адекват (ok), 08:11 , 20-Мрт-14, (77) +3 // Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что, Аноним (-), 09:16 , 20-Мрт-14, (82) +1 // Использовать нормальную CMS - это тоже wrong way True way - это собирать HTML в, Аноним (-), 09:46 , 20-Мрт-14, (83) // вот это очень правильный способ чем больше эти 171 достижения 187 игнорирую, arisu (ok), 09:52 , 20-Мрт-14, (84) +1 Будь не таким, как все Борись с системой , Аноним (-), 21:32 , 20-Мрт-14, (95) пожимает плечами борись разрешаю , arisu (ok), 21:42 , 20-Мрт-14, (98) Вообще-то, все так и есть за исключением iptables , Аноним (-), 21:34 , 20-Мрт-14, (96) удалённая - да, опасная - нет, Нанобот (ok), 10:38 , 20-Мрт-14, (87) // Кому и кобыла невеста По линуксовым меркам, даже сабж уже событие Потому что 9, Аноним (-), 00:32 , 21-Мрт-14, (99) - dh skb_header_pointer skb, dataoff, sizeof _dh , dh dh skb_header_poin, Аноним (-), 10:46 , 20-Мрт-14, (88) // Кто автор предыдущего вот этого - dh skb_header_pointer skb, dataoff, sizeof _, vi (?), 14:38 , 20-Мрт-14, (91) +1 // Оно так и было, с 2008 года, http git kernel org cgit linux kernel git torvald, pavlinux (ok), 02:32 , 23-Мрт-14, (115) +1 // C 2008 года оно тупо никому не нужно было LOL d, AlexAT (ok), 12:16 , 23-Мрт-14, (116) +1 gt оверквотинг удален Видать у парня клавиша минус продавлена, наверное много , vi (?), 16:03 , 23-Мрт-14, (117) Кстате, а чё не POSTROUTING iptables -t raw -I POSTROUTING -p dccp -j NOTRACKВы, pavlinux (ok), 16:58 , 21-Мрт-14, (103) +2 // Хе в raw нету же POSTROUTING а это идея - , pavlinux (ok), 02:20 , 23-Мрт-14, (108) 3,7,8,23,54,73,75,77,87,88,103

Сообщения

[Сортировка по времени | RSS]

8. "Опасная удалённая уязвимость в ядре Linux"	–2 +/–
Сообщение от Аноним (-), 19-Мрт-14, 21:49
А как насчет роутеров с OpenWRT(да и не только!) на борту? Даже если и выйдет патч/заплатка, как её применить без перепрошивки?
Ответить | Правка | Наверх | Cообщить модератору

	29. "Опасная удалённая уязвимость в ядре Linux"	+3 +/–
	Сообщение от Sonnix (ok), 19-Мрт-14, 22:09
	Проверил на OpenWRT 12.09 и на текущем trunk. Он собран без поддержки dccp так что уязвимости не подвержен. Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия dccp iptables выдаст unknown protocol "dccp" specified. И в чем собственно великая проблема обновить прошивку?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Аноним (-), 19-Мрт-14, 22:14
	> Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия > dccp iptables выдаст unknown protocol "dccp" specified. Это зависит не от наличия модуля, а от наличия протокола в /etc/protocols. Внутри netfilter протоколы транспортного уровня идентифицируются по номерам. Даже если есть модуль для протокола 33, при отсутствии нужной записи в protocols, iptables просто не поймет, что такое "-p dccp".
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Опасная удалённая уязвимость в ядре Linux"	+3 +/–
	Сообщение от Sonnix (ok), 19-Мрт-14, 22:25
	Из конфига ядра openwrt: # CONFIG_NF_CT_PROTO_DCCP is not set # CONFIG_NETFILTER_XT_MATCH_DCCP is not set # CONFIG_IP_DCCP is not set Так что по умолчанию поддержки быть не должно. Соответствующих модулей в собранной системе нет.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Аноним (-), 19-Мрт-14, 22:27
	> Из конфига ядра openwrt: Это уже другой разговор.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Аноним (-), 19-Мрт-14, 22:18
	> И в чем собственно великая проблема обновить прошивку? Куча настроек на роутере, и сам роутер в удаленном филиале. Например.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	43. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Sonnix (ok), 19-Мрт-14, 22:34
	На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования. Проблем с сохранением и восстановлением настроек после прошивки нет. Так же если есть удаленный доступ к маршрутизатору его можно прошить без физического доступа к устройству  например по ssh через sysupgrade. sysupgrade так же умеет сохранять настройки при обновлении прошивки. Единственная проблема если что-то во время прошивки пойдет не так что без физического доступа возможно не получится восстановить маршрутизатор. Но никто не мешает до обновления проверить процесс прошивки на аналогичном устройстве к которому доступ есть.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Опасная удалённая уязвимость в ядре Linux"	+/–
	Сообщение от Аноним (-), 19-Мрт-14, 22:43
	> Куча настроек на роутере, и сам роутер в удаленном филиале. Например. В openwrt есть режим сохранения настроек :-). Ну и если совсем уж прижало - можно образ кастомный собрать. Впрочем, для начала там по дефолту нет проблемного модуля - смысл чинить то что не сломано?
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема