>железо intel
>ОС FreeBSD 4.7
>Sendmail 8.12.6 собран c SASL AUTH и KAV-ом
>Знаю, что в sendmail нашли дырки, залез на http://www.securitylab.ru
>нашел 57 статей про уезвимости sendmail.
>Вот тут я и поник духом :(
>Как в них разобраться я так и не понял :(
>Как отличить, какой патч под Linux какой под FreeBSD ?
>Вот несколько сылок которые я посчитал что они под FreeBSD и под
>мой sendmail.
>1)
>http://www.securitylab.ru/?ID=37448
>что значит вот эта волшебная комбинация в этом описании
>version 8.12.3+3.5Wbeta-5.4 ?
>Я так и не понял эта уезвимость под FreeBSD есть тоже или
>только под Дебиан ?
>2)
>http://www.securitylab.ru/?ID=37133
>- тут где под FreeBSD патчи ?
>3)
>http://www.securitylab.ru/?ID=37000
> - не уж-то спасает только поднятие до версии выше sendmail-8.12.9
>4)
>http://www.securitylab.ru/?ID=36998
> Что за "verify the detached PGP signature using your PGP utility",
>что с ней делать ?
>открыл патч ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:07/sendmail.patch , а там все не понятно (какието плюсы
>минусы :(( ) что делать как делать я полностью растерян.
>
>P.S Помогите навести в моей голове порядок с патчами и уезвимостями для
>мой FreeBSD 4.7 c sendmail -ом 8.12.6.
>Все знающие ALL провидете меня по всем этим примудростям обновлений и обозначений.
>Плиз! :((
patch - это файл разницы между оригинальным файлом и файлом с внесенными правками, файлы патчей создаются утилитой diff.
допустим есть файл оригинал myprog.c, прежде чем внести изменения сохраняем копию:
# cp myprog.c myprog.c.orig
# редактируем myprog.c - теперь это актуальная версия
допустим что размер myprog.c несколько сотен килобайт, и что теперь, каждый раз тащить весь дистрибутив, особенно если еще и других файлах
проекта были изменения?!
чтобы проще было смотреть изменения и использовать их, есть утилита diff:
смотрим разницу
# diff -c myprog.c.orig myprog.c | less
создаем патч в универсальном формате
# diff -u myprog.c.orig myprog.c > patch-myprog
man diff
имея нужные патчи, достаточно скачать только их и применить к дистрибутиву
используя другую утилиту patch:
# patch < patch-myprog
man patch
Теперь о sendmail, чтение сайтов или maillist'ов по security, дело
правильное и вещь полезная, только надо понимать о чем пишут и учиться,
а посему, начинать надо с чтения security той системы с которой
работаешь:
http://www.freebsd.org/security/ где:
FreeBSD Security Advisories / Рекомендации от FreeBSD Секьюрити -
публикуют правки системы для поддерживаемых Stable и Current веток
системы, там же указывается какие релизы 4.x в настоящий момент поддерживаются и до какого времени предположительно.
Чуть ниже идет описательная часть правок security и bugfixes - файлы
с расширением asc, доступные по ftp:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/ - архив всех правок
с 96 года, в каждом файле идет описание бага, в какой системе или
порту обнаружен, когда исправлен, где скачать исправления и как ими
воспользоваться: как применить патчи и что после этого необходимо
сделать, пересобрать утилиту, библиотеку, целиком систему или ядро...
архив самих патчей:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/ - включая патчи и для
sendmail в том числе
общая страница СЕРТа: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/index.html
чуть ниже на странице security указаны списки листов на которые
не то чтобы желательно, а необходимо подписаться.
еще ниже рекомендации по программированию, затем тонкости security -
tips and tricks (меры безопасности и предупреждения)
...
Полезные ссылки:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/security.html
http://www.freebsd.org.ua/handbook/security.html - русский вариант
http://people.freebsd.org/~jkb/howto.html - Security How-To
http://www.freebsd.org.ru/security/security.html - русский вариант
http://unix1.jinr.ru/~lavr/secure-bulleten.html - обзор
Теперь, как следить за системой FreeBSD:
- подписаться на списки рассылки security:
# echo "help" | mail majordomo@freebsd.org
# echo "lists" | mail majordomo@freebsd.org
# echo "subscribe security-notifications" | mail majordomo@freebsd.org
Как скачивать патчи - как нравится, fetch/ftp/wget - сами патчи лежат
на ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/, как устанавливать
описано в asc файлах, они же высылаются при подписке на security-notifications.
Для релизов, начиная с RELEASE-4.3 можно использовать cvsup с тегом:
tag=RELENG_4_X[_Y] для автоматической установки правок, пересборка
системы и/или ядра, разумеется, выполняется самостоятельно.
примеры sup-files и скриптов (удобных для меня) можно взять:
http://unix1.jinr.ru/~lavr/cvsup/ и поправить под себя, свой релиз.
теги и cvsup описаны:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html - cvsup
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvs-tags.html - теги
http://unix1.jinr.ru/~lavr/cvsup_makeworld.html - старые заметки по апгрейду FreeBSD через cvsup (там есть мусор - его опустить)
Патчи патчам рознь, следует читать про них и "натягивать ситуацию"
на свой боевой сервер, совсем необязательно ставить все патчи, критические
- обязательно (иногда необязательно, с умом заткнуть дырку например)
За последние несколько лет, системы в основном, очень вылизаны в плане
security в отличие от сервисов - служб (написание которых на совести
разработчиков, а использование - на шкуре администраторов :)
Таким образом чаще всего проколы в службах, например: ftp, http, bind
и тд и тп.
например патчи для sendmail (официальные):
http://www.sendmail.org/patchps.html
http://www.securityfocus.com/archive/1 - Bugtraq
ну и конечно CERT:
http://www.cert.org/
полезные ссылки можно найти http://unix1.jinr.ru/~lavr/secure-bulleten.html
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
12-Май-03, 23:04 (MSK)
