The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Уязвимость в реализации протокола DCCP в ядре Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от opennews (??) on 05-Дек-17, 11:17 
В реализации сокетов с поддержкой протокола DCCP выявлена (http://openwall.com/lists/oss-security/2017/12/05/1) уязвимость CVE-2017-8824 (https://security-tracker.debian.org/tracker/CVE-2017-8824), потенциально позволяющая выполнить код на уровне ядра Linux через локальные манипуляции с сокетами DCCP (https://ru.wikipedia.org/wiki/DCCP) из непривилегированного процесса. Уязвимость проявляется начиная с выпуска ядра Linux 2.6.16. Для тестирования подготовлен (http://openwall.com/lists/oss-security/2017/12/05/1/2) прототип эксплоита.

Проблема вызвана обращением к уже освобождённому блоку памяти в коде обработки сокетов DCCP: Когда объект сокета находится в состоянии  DCCP_LISTEN и выполняется вызов функции connect(), выполнение dccp_disconnect() переводит сокет в состояние DCCP_CLOSED, но не освобождает память для структур dccps_hc_tx_ccid и dccps_hc_rx_ccid и не обнуляет их. В дальнейшем, если вызвать connect() в режиме AF_INET6, объект сокета будет клонирован функцией dccp_create_openreq_child(), а на выходе выдан новый объект сокета, в котором сохранятся ссылки  dccps_hc_rx_ccid и dccps_hc_tx_ccid из старого объекта сокета. Таким образом, старый и новый объекты сокета будут ссылаться на одну и ту же область памяти.


Уязвимость проявляется только в ядрах, собранных с опцией CONFIG_IP_DCCP, которая, как правило, включена по умолчанию. Исправление пока доступно только в виде патча (http://www.spinics.net/lists/netdev/msg469985.html). Обновления пакетов с ядром для дистрибутивов пока не выпущены (Debian (https://security-tracker.debian.org/tracker/CVE-2017-8824), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F27&type=s...), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2017-12/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-8824), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-8824), Ubuntu (https://usn.ubuntu.com/usn/)). Примечательно, что  критические проблемы в реализации DCCP уже обнаруживались в феврале 2017 года (https://www.opennet.ru/opennews/art.shtml?num=46084), а также в 2014 (https://www.opennet.ru/opennews/art.shtml?num=39355) и 2008 (https://www.opennet.ru/opennews/art.shtml?num=16378) годах. В качестве обходного пути защиты можно запретить загрузку модуля ядра dccp, который в обычных условиях загружается автоматически:


   echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

URL: http://openwall.com/lists/oss-security/2017/12/05/1
Новость: http://www.opennet.ru/opennews/art.shtml?num=47677

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Уязвимость в реализации протокола DCCP в ядре Linux"  –2 +/
Сообщение от Аноним (??) on 05-Дек-17, 11:34 
> если вызвать connect() в режиме AF_INET6

IPv6 зло!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 05-Дек-17, 11:36 
Кстати, в 2017 проблема тоже была связана с IPv6:

> может быть эксплуатирована при обработке специально оформленного пакета DCCP_PKT_REQUEST, переданного через сокет, открытый с опцией IPV6_RECVPKTINFO.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Уязвимость в реализации протокола DCCP в ядре Linux"  +12 +/
Сообщение от Аноним (??) on 05-Дек-17, 16:11 
>Кстати, в 2017 проблема тоже была...

Да помню помню, очень не простой год был.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "Уязвимость в реализации протокола DCCP в ядре Linux"  –4 +/
Сообщение от Аноним (??) on 05-Дек-17, 22:27 
в этом месте по сценарию появляется шигорин, рассказывающий про свои окаменелости.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

9. "Уязвимость в реализации протокола DCCP в ядре Linux"  –3 +/
Сообщение от Аноним (??) on 05-Дек-17, 12:47 
Добро и зло это относительные категории, а ipv6 это геморрой без задач.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Уязвимость в реализации протокола DCCP в ядре Linux"  –2 +/
Сообщение от Аноим on 05-Дек-17, 13:16 
>> если вызвать connect() в режиме AF_INET6
> IPv6 зло!

Злом является скорее сочетание двух факторов: сложные структуры данных (к которым относятся заголовки IPv6, SCTP и DCCP), и сишный стиль работы с такими структурами в памяти. Очень мало программистов способные более-менее корректно написать код для таких задач.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Уязвимость в реализации протокола DCCP в ядре Linux"  +4 +/
Сообщение от Аноним (??) on 05-Дек-17, 13:47 
Что ты там сложного нашёл?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Уязвимость в реализации протокола DCCP в ядре Linux"  –4 +/
Сообщение от Аноним (??) on 05-Дек-17, 14:01 
В основном - динамическая структура заголовков пакета IPv6. Ситуацию, когда в зависимости от некоторого байта меняется метод доступа к следующей структуре данных, имеет свойство вводить сишников в легкий неадекват (хотя на самом деле весь машинный код так и устроен, но пока речь идет не о данных, а о коде, компилятор скрывает эти подробности).
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Уязвимость в реализации протокола DCCP в ядре Linux"  +5 +/
Сообщение от pavlinux (ok) on 05-Дек-17, 16:45 
> динамическая структура заголовков пакета IPv6.

Все заголовки строго фиксированы, расширенные заголовки строго фиксированы, поля - постоянной длины у всех.
Ты ещё поплачься, что поля data разные  

> когда в зависимости от некоторого байта меняется метод доступа к следующей структуре данных

Нет в С методов.  Так работают всё программы с динамическими переменными, а если узнаешь
что такое linked list наверно ваще моск порвёт

> но пока речь идет не о данных, а о коде, компилятор скрывает эти подробности).

Скандалы, интриги расследования. Статья есть с разбором полётов, о том, что .code динамин. меняется?  


Кароч, всё что ты написал - бред.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Уязвимость в реализации протокола DCCP в ядре Linux"  –3 +/
Сообщение от Аноним (??) on 05-Дек-17, 18:11 
Ты даже не постарался понять то, о чём тебе говорят.

Заголовок вполне можно было сделать фиксированного размера. Лишние 100 байт погоды не делают. Был бы заголовок фиксированной длины, в котором указывались смещения относительно начала. Дальше бы шли блоки данных на которые указывали в заголовке.

Речь не об изменении кода, а о том, что ЯВУ скрывает обращение по смещениям для структур, чем снижает количество ошибок. Таких ошибок было НАСТОЛЬКО много, что даже в ассемблере (!!!) появились подобные структуры: mov eax, [esi + rect.width]

Но мы не ищем лёгких путей, продолжая забег по граблям.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 05-Дек-17, 18:51 
> Лишние 100 байт погоды не делают

Для одного коннекта да, а для миллиона? миллиарда?
Вот нафига маршрутизаторам гонять лишнее фуфло?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

43. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 05-Дек-17, 22:32 
> Речь не об изменении кода, а о том, что ЯВУ скрывает обращение
> по смещениям для структур, чем снижает количество ошибок.

А по факту обычно лишь заменяет одни ошибки другими. В апачспруте было вообще выполнение кода, на js по жизни делают подвид buffer overrun, а написать на нем что-нибудь безопасно требует прочитать пять страниц секурити гайдлайна от гугла. Иначе код будет страдать детскими болезнями, известными каждому скрипткидису. Вот прямо так, на высокоуровневом js-е.

А еще будет вместо 2 команд процессора допустим 10. И pps грохнется в 5 раз. Кому такая система окажется нужна? Микроядра что-то никто не хочет ставить на серваки, будь они там хоть в сто раз безопаснее. Да и то, в сто раз не получается, уязвимости в ME же.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

65. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от pavlinux (ok) on 10-Дек-17, 00:05 
> известными каждому скрипткидису.

Посаны, между IPv6 и JS гигабаты тон кода. Темой не ошиблись?  

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

64. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от pavlinux (ok) on 10-Дек-17, 00:02 
> Ты даже не постарался понять то, о чём тебе говорят.
> Заголовок вполне можно было сделать фиксированного размера.

ОН ФИКСИРОВАННЫЙ (расширенные поля - опция, можешь их игнорировать).  

> Лишние 100 байт погоды не
> делают. Был бы заголовок фиксированной длины, в котором указывались смещения относительно
> начала. Дальше бы шли блоки данных на которые указывали в заголовке.
> Речь не об изменении кода, а о том, что ЯВУ скрывает обращение
> по смещениям для структур, чем снижает количество ошибок. Таких ошибок было
> НАСТОЛЬКО много, что даже в ассемблере (!!!) появились подобные структуры: mov eax, [esi + rect.width]

...код, ява, ipv6, заголовки, ошибки, ассемблер ... Ещё про CACHE_MISS и не постоянство TSC напиши.

> Но мы не ищем лёгких путей, продолжая забег по граблям.

Генератор бреда выключи или связывай слова и предложения по смыслу

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

32. "Уязвимость в реализации протокола DCCP в ядре Linux"  +1 +/
Сообщение от pavlinux (ok) on 05-Дек-17, 17:13 
> Что ты там сложного нашёл?

он же ранее написал "не способен более-менее корректно написать код для таких задач."

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

46. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Lolwat on 05-Дек-17, 22:44 
Не написать ахинеи типа:

<...>

If (x) {
  return 0;
}
<...>
free(p);
return 1;

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

47. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Lolwat on 05-Дек-17, 22:47 
> Не написать ахинеи типа:
> <...>
> If (x) {
>   return 0;
> }
> <...>
> free(p);
> return 1;

Или

<...>
free(p)
<...>
p->yay...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

59. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от lolwat on 06-Дек-17, 22:54 
я все еще не понимаю, зачем использовать что-либо еще, кроме Assembler
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Уязвимость в реализации протокола DCCP в ядре Linux"  –3 +/
Сообщение от Ilya Indigo (ok) on 06-Дек-17, 00:14 
> IPv6 зло!

ipv6.disable=1 и нет проблем, во всяком случае пока.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

54. "Уязвимость в реализации протокола DCCP в ядре Linux"  –2 +/
Сообщение от пох on 06-Дек-17, 14:19 
>> IPv6 зло!
> ipv6.disable=1 и нет проблем, во всяком случае пока.

tox core с попыткой без проверки цепляться к v6 socket смотрит на тебя с обидой и недоумением.

а ведь их таких - нынешние пту под видом университетов штампуют пачками.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

55. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 06-Дек-17, 20:58 
> ipv6.disable=1 и нет проблем, во всяком случае пока.

А может быть, ядро пересобрать без сети? Вот это точно поставит хакеров в ступор.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

5. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от 1 (??) on 05-Дек-17, 11:45 
А, кстати, когда уже закончатся IPv4 адреса ?

А то ждём апокалипсиса, ждём ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 05-Дек-17, 11:53 
А вас провайдер ваш ещё не запихнул за cgNAT ?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Ващенаглухо (ok) on 05-Дек-17, 15:16 
нее, даже реальники раздает... onlime.ru
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

41. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 05-Дек-17, 22:12 
Это ненадолго. А мобильные так уже давно за натом. Очень удобно когда какой-нибудь борец со спамом мило банит половину прова за раз накрыв один айпишник.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

51. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от anomymous on 06-Дек-17, 01:15 
Проблемы исключительно борца со спамом и его конторы, которая потеряет клиентуру.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

56. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 06-Дек-17, 21:00 
> Проблемы исключительно борца со спамом и его конторы, которая потеряет клиентуру.

Эти проблемы регулярно дают по морде юзерям, которых то отшивают на каком-нибудь форуме, то донимают гуглокапчами, то еще какая-нибудь фигня, потому что год назад видите ли подлый хакер с этого айпи наспамил. Хакер уж давно симку выкинул, а юзерье радуется.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

61. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от пох on 07-Дек-17, 17:03 
а, так ты не о почтовом спаме, а о вебфорумном?
тогда для тебя все еще грустнее. Ни одна контора не потеряет ни одного клиента по причине "не шмогла оставить жизненно-важный коммент в форуме".

И да, поскольку со своей мабилой ты - неуловимый джо, у тебя ровно два варианта поведения - перестать быть неуловимым (достаточно не выходить из гуглакаунта - тем более что гугл все равно в курсе, какой адрес ты набрал гуглеклавиатурой - даже если не в гуглебраузере, чтобы никогда больше не видеть гуглокапчи) или страдать.

nat/не нат не имеет ни малейшего значения - c тем же успехом отправляются в премодерацию целиком диапазоны провайдера, балующегося раздачей одноразовых симок. Извини дорогая, так вышло, ничего личного.
(например, на паре знакомых сайтиков, по моему совету забанены адреса из диапазонов, выданных украине, просто по geoip. Не потому что мы боимся агентов кровавого пастора, а потому что, увы, бардак в той стране обеспечивает раздолье горе-хакерам, а нормальных пользователей оттуда - полтора инвалида.)

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

66. "Уязвимость в реализации протокола DCCP в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 10-Дек-17, 01:02 
> а, так ты не о почтовом спаме, а о вебфорумном?

Обо всем. Спамят на форумах, спамят в чатах, спамят в почте, спамят в социалках, спамят на билбордах и остановках, столбах и витринах, в почтовых ящиках и машинах. Давай тебе подход к дому заминируем, чтобы спамеры не прошли. А если по ошибке твои кишки на деревья намотаются - "not a bug", как ты и просил.

> тогда для тебя все еще грустнее. Ни одна контора не потеряет ни
> одного клиента по причине "не шмогла оставить жизненно-важный коммент в форуме".

Да я то любой подарок обойти могу, а вот хомяки периодически получают по морде.

> из гуглакаунта - тем более что гугл все равно в курсе,
> какой адрес ты набрал гуглеклавиатурой - даже если не в гуглебраузере,
> чтобы никогда больше не видеть гуглокапчи) или страдать.

Гуглокапчи насколько я понимаю показываются ДО того как будет разрешен любой иной доступ к серверам гугла, так что сначала ты поимеешь глючи и капчи, а потом может и залогиниться сможешь, если повезет. И это, мир на гугле не заканчивается.

> nat/не нат не имеет ни малейшего значения -

Имеет. Юзеры отдуваются за чужие фокусы. Что парадоксально, стараниями таких как ты вахтеров, просто те вахтеры с другой стороны баррикад, вот и гадят тебе и твоим кривым тезисам в карму.

> c тем же успехом отправляются в премодерацию целиком диапазоны провайдера,
> балующегося раздачей одноразовых симок.

На премодерацию нужна адская туча ресурсов, такое себе даже Microsoft позволить не может.

> Извини дорогая, так вышло, ничего личного.

Извини дорогая, но на содержание чуваков в реалтайме убирающих за хомяками всем почему-то денег жалко, а бесплатно въе 24/7 мало кто готов. А если не 24/7 - быстрее телеграммы телеграфом слать будет чем пользоваться таким ресурсом.

> (например, на паре знакомых сайтиков, по моему совету забанены адреса из диапазонов,
> выданных украине, просто по geoip. Не потому что мы боимся агентов
> кровавого пастора, а потому что, увы, бардак в той стране обеспечивает
> раздолье горе-хакерам, а нормальных пользователей оттуда - полтора инвалида.)

Это самое оригинальное оправдание нацизма в интернете из всего что я встречал. Впрочем, судя по хабре, горе-хакеры не долго горевали и порутали у россиян всякие роутеры и проч. Прямо через провайдерский протокол менеджмента, ололо.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

67. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от пох on 11-Дек-17, 18:23 
> Давай тебе подход к дому заминируем, чтобы спамеры не прошли.

разница с гуглокапчей в том, что от нее еще никто не помер.
И мир не рухнул без ценного комментария.

> Гуглокапчи насколько я понимаю показываются ДО того как будет разрешен любой иной доступ к
> серверам гугла

_один_ раз. После этого _любой_ сайт (не имеющий никакого отношения к гуглю) с гуглокапчей пустит тебя без вопросов. (ну или почти любой - возможно там есть какая-нибудь дополнительная фича апи, я особо не изучал)

> На премодерацию нужна адская туча ресурсов, такое себе даже Microsoft позволить не может.

поэтому туда и отправляют только подозрительное - остальное проходит, но для этого надо не вспугнуть сторожевые скрипты - в том числе (но, разумеется, не только), использованием нехороших адресов.
А там - как повезет. Проснется неленивый модератор - вытащит. Не проснется - ну, звиняйте, не прокатило.

> Извини дорогая, но на содержание чуваков в реалтайме убирающих за хомяками всем почему-то денег
> жалко

да ладно. вон мордокниге не жалко, твитеру тоже - а им тех чуваков приходится держать реально много (хотя они тоже не вручную все шерстят).

А если ты не претендуешь на всеобъемлющесть, то тебе годится политика выше - не все смогут оставить свой архиважный след на твоей страничке...ну и хрен бы, в общем-то, со следом.

> Это самое оригинальное оправдание нацизма в интернете из всего что я встречал.

говорю же - мне совершенно все равно, какой они национальности. (судя по содержимому спама - в основном бангалорской, вас они используют исключительно как коллекцию гoвнорелеев) Начнут использовать немецкие прокси - добавят немцев в список. Пока, увы - ua, br, дальше не помню, но там разница в разы (вероятно, выбирают по географическому принципу). Вот сейчас глянул на дружественной  помойке, кто там последнее, пожалуйста: 134.249.51.83, киевстар. Нацисты виноваты?

А вот из самой индии - никого. Потому что там интернет по паспорту. Поэтому индия не блокируется, а не потому что я пылаю нежной любовью к индусам или там спаммеры не живут.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

53. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от пох on 06-Дек-17, 14:16 
> Это ненадолго. А мобильные так уже давно за натом. Очень удобно когда
> какой-нибудь борец со спамом мило банит половину прова за раз накрыв
> один айпишник.

и нахрена у тебя релей - на айпишнике мобильного провайдера за натом?
"5.7.1 use your isp relay"

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

57. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 06-Дек-17, 21:03 
> и нахрена у тебя релей - на айпишнике мобильного провайдера за натом?

Теперь расскажи эту умную историю всем пользователем гуглов, форумов, игр и какой там еще лабуды, которым рандомно прилетает в рожу за действия к которым они вообще отношения не имеют.

> "5.7.1 use your isp relay"

6.6.6 die bitch.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

7. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Sarmat email on 05-Дек-17, 12:06 
Глобально уже давно закончились https://opennet.ru/opennews/art.shtml?num=29452
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в реализации протокола DCCP в ядре Linux"  +3 +/
Сообщение от Аноним (??) on 05-Дек-17, 12:47 
> Глобально уже давно закончились https://opennet.ru/opennews/art.shtml?num=29452

А никто и не заметил

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Уязвимость в реализации протокола DCCP в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 05-Дек-17, 14:02 
>> Глобально уже давно закончились https://opennet.ru/opennews/art.shtml?num=29452
> А никто и не заметил

Заметили. У многих провайдеров цены на внешние адреса подросли в два-три раза. А провов с халявными внешними адресами поуменьшилось.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Уязвимость в реализации протокола DCCP в ядре Linux"  +2 +/
Сообщение от pavlinux (ok) on 05-Дек-17, 17:03 
>>> Глобально уже давно закончились https://opennet.ru/opennews/art.shtml?num=29452
>> А никто и не заметил
> Заметили. У многих провайдеров цены на внешние адреса подросли в два-три раза.

А чего-бы не поднять, если панику сами создали.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от пох on 05-Дек-17, 21:00 
собственно, у моего провайдера цены упали ;-) Оно и понятно - больше не надо ползать на коленях перед райпом, изображающим видимость бурной деятельности, писать бредовые "планы развития" и ставить пинговалки на свежевыданные адреса чтоб райп успокоился и выдал следующий блок. (а, да и получать ненужноблоки v6, которые ни разу не бесплатны, и без которых последние и потом совсем последние v4 райп выдавать отказывался)
Купил перепродаваемый блок - и пользуешься.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

44. "Уязвимость в реализации протокола DCCP в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 05-Дек-17, 22:38 
судя по тебе, дело не в айпишниках а в том что клиенты тупо сбежали от такого прова с чокнутыми сотрудниками. это же у тебя квм в линуксе не было?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

52. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от пох on 06-Дек-17, 14:12 
> судя по тебе, дело не в айпишниках а в том что клиенты тупо сбежали

я у этого провайдера - клиент.

И да, у меня ни один клиент покамест не попросил поднять ему в линуксе - kvm. Кстати, и ipv6 тоже. И не попросят.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

58. "Уязвимость в реализации протокола DCCP в ядре Linux"  +/
Сообщение от Аноним (??) on 06-Дек-17, 21:13 
> я у этого провайдера - клиент.

На вид ты больше поцыэнт - у тебя какая-то нездоровая мания.

> И да, у меня ни один клиент покамест не попросил поднять ему
> в линуксе - kvm. Кстати, и ipv6 тоже. И не попросят.

Еще бы. Просить того кто в технологиях не разбирается настроить их - занятие заведомо тухлое.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Sarmat email on 07-Дек-17, 10:50 
>> Глобально уже давно закончились https://opennet.ru/opennews/art.shtml?num=29452
> А никто и не заметил

Если ни кто не заметил, то скажите сколько сейчас будет стоить блок из 4-х С сеток?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

62. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от пох on 07-Дек-17, 18:32 
а это нынче зависит от того, насколько паленых (правда, если тебе /22, то они всяко будут палеными. Если хотя бы /20 - то уже начинаются интересные варианты)

А, ну и да - мы покупаем или продаем?

А так - на карманные деньги вполне получится купить. Платежи райпу (или нерайпу, теперь - можно), понятно, в ценник не включены.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

63. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Sarmat email on 07-Дек-17, 18:38 
> а это нынче зависит от того, насколько паленых (правда, если тебе /22,
> то они всяко будут палеными. Если хотя бы /20 - то
> уже начинаются интересные варианты)
> А, ну и да - мы покупаем или продаем?
> А так - на карманные деньги вполне получится купить. Платежи райпу (или
> нерайпу, теперь - можно), понятно, в ценник не включены.

не понял, что есть палёные?
да хотя бы /22, пока не покупаю прикидываю бюджет или переходить на ipv6

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

19. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 05-Дек-17, 14:01 
>Проблема вызвана обращением к уже освобождённому блоку памяти

c-проблемы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 05-Дек-17, 15:58 
Что могу сказать. SUSE Entrprise Kernel не подвержено. Хехе.
1) Качаем исходники
https://github.com/openSUSE/kernel/tree/SLE15
2) Качаем конфиг
https://github.com/openSUSE/kernel-source/blob/SLE15/config/...
make menuconfig отрубаем ентерпрайз поддержку
make -j5
make install
make modules_install
делаем initramfs (без него работать не будет)
genkernel initramfs
Единственная беда - виртуалбокс и nvidia-drivers надо патчить (иначе не соберутся)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Уязвимость в реализации протокола DCCP в ядре Linux"  +2 +/
Сообщение от pavlinux (ok) on 05-Дек-17, 16:56 
> Что могу сказать.

Радоваться тому, что вчерашней дыры нет в сегодняшнем ядре,.. это надо быть богом локалхоста, не меньше.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

45. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 05-Дек-17, 22:44 
> Радоваться тому, что вчерашней дыры нет в сегодняшнем ядре,.. это надо быть
> богом локалхоста, не меньше.

будь мужиком, помоги запатчить нвидию и виртуалбокс!

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Уязвимость в реализации протокола DCCP в ядре Linux"  –1 +/
Сообщение от Аноним (??) on 05-Дек-17, 19:35 
у меня лежит оно в /usr/bin/true, и кстати почему true, а не false?

echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Уязвимость в реализации протокола DCCP в ядре Linux"  +1 +/
Сообщение от Аноним (??) on 05-Дек-17, 23:08 
> у меня лежит оно в /usr/bin/true, и кстати почему true, а не
> false?

потому что false это не true,
очевидно, чтоб демоны не падали в обморок от ненужного "exit 1".

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor