The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В TCP-стеке FreeBSD устранена DoS-уязвимость

22.07.2015 10:52

Во всех поддерживаемых ветках FreeBSD устранена неприятная ошибка, которая может быть использована для совершения DoS-атаки, проявляющейся в исчерпании свободных сокетов и невозможности установить новое соединение. После обработки определённым образом оформленных пакетов, соединения не закрываются, а вечно остаются в состоянии LAST_ACK, что приводит к накоплению незавершённых соединений и исчерпанию используемых для обработки TCP-соединения структур данных.

При редком стечении обстоятельств проблема также может проявляться при обработке обычного сетевого трафика - в один прекрасный момент соединения начинают оставаться в состоянии LAST_ACK. В частности, начиная с FreeBSD 6 похожий эффект проявлялся на сервере opennet.ru примерно раз в полгода. Предпринятые около семи лет назад попытки диагностики не принесли успеха, поэтому в то время для защиты был подготовлен скрипт, перезагружающий сервер при обнаружении зависания большого числа соединений. Сейчас разработчикам FreeBSD удалось выделить факторы, вызывающие проблему, и разработать устраняющий её патч.

Зависшие соединения также можно очистить командой tcpdrop. Например, для чистки соединений, для которых последняя активность наблюдалась более 100 секунд назад, можно использовать команду:


   netstat -nxp tcp | awk '{ if (int($NF) > 100) print "tcpdrop " $4 " " $5 }'


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42643-freebsd
Ключевые слова: freebsd, dos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, анон (?), 11:12, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    win xp, 2000, 2003 тоже подвержены? )))
     
     
  • 2.28, Анонимъ (?), 14:29, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).
     
     
  • 3.36, Аноним (-), 14:53, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так точно).

    Я не знаю. Но исходящие порты у них до сих пор ведут себя так. И лечится только перегрузом. Форточка-с(С)

     
  • 3.38, Аноним (-), 15:40, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Все версии вплоть до 10-ки, думаю (до 8-ки с 2008 сервером так
    > точно).

    Восьмерочка доживает последние дни, а вот 2008 фря -- это такой алиас для 7мерочки или энтырпрайз? :)

     
  • 2.44, Аноним (-), 18:40, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пиздеж тупого сапожника.
    "В вопросе не разбираемся, но имеет смелость пузыри пускать"
     
     
  • 3.58, Аноним (-), 09:52, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят. И проваливай с опеннета. Таким здесь не место.
     
     
  • 4.60, Аноним (-), 10:34, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.

    написан микросовтом, чучело

     
     
  • 5.66, XoRe (ok), 02:42, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Умный сапожник, расскажи тогда, откуда в вантузе сетевой стек взят.
    > написан микросовтом, чучело

    Для реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.
    Код следующих версии windows основывался на этом коде.
    И есть большой шанс, что даже в windows 10 остались некоторые куски кода с тех пор.
    http://www.kuro5hin.org/?op=displaystory;sid=2001/6/19/05641/7357

     
     
  • 6.68, wulf (ok), 01:55, 27/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Для реализации TCP/IP стека и сокетов в windows NT 3.5 и windows 95 был взят код BSD.

    Камрад, попробуй сходить по своей ссылке и понять что там написано. Поскольку ты, похоже, в буржуйском не в зуб ногой, переведу специально для тебя предложение, на которое ты ссылаешься:

    > Eventually the new, from scratch TCP/IP stack was done and shipped with NT 3.5 (the second version, despite the number) in late 1994. The same stack was also included with Windows 95.

    В конце концов, перепиcка "с нуля" стека TCP/IP была завершена и он поставлен с NT 3.5 (бла..бла) в конце 1994-го года. Тот-же самый стек был включен в Windows 95

    Где здесь про "код BSD" ?????????

    Да, там ниже есть про "However, it looks like some of those Unix utilities were never rewritten". На этот факт ссылается вся тупая школота, вроде тебя, узнавшая что в файле ftp.exe есть буквы BSD. Но проблема в том что эта школота не знает что в линупсах /usr/bin/ftp тоже взят из BSD, и что на оффсайте inetutils написано 'Most of them are improved versions of programs originally from BSD' (http://www.gnu.org/software/inetutils/) и что в самих исходниках линупсового ftp.c стоит берклиевская шапка: http://www.gnu.org/software/inetutils/coverage/ftp/ftp.c.gcov.frameset.html

    Я так понимаю, если продолжать дальше, можно понять что и линупс спи..ил TCP/IP у бзды.

    Эх, школота... На такие древние (20+ лет!!!!!!) бояны ведетесь :-)

    [:||||||||||||||||||||||||||||||||||:]

     

  • 1.2, Аноним (-), 11:12, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сервак не выдержал, и сгорел. Говорили же, нефиг с 4-ой версии обновляться.
     
  • 1.3, eRIC (ok), 11:23, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    молодцы что нашли и устранили, все пользователи FreeBSD и его производные будут ликовать :)
     
     
  • 2.22, Sluggard (ok), 13:42, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться в состоянии персонального восторга. ))
    А так, конечно же молодцы.
     
     
  • 3.24, 10й Брейтовский переулок (?), 14:02, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не пались, виндофил ))
     
     
  • 4.26, Sluggard (ok), 14:04, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не пались, виндофил ))

    Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на починку детектора. )

     
     
  • 5.46, Аноним (-), 19:12, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты б хоть на авку мою посмотрел. После чего, конечно, сразу на
    > починку детектора. )

    Поняшкофил? Или появился новый/секретный форк зузи c шах^W(хотя не, не потянут) шашками и поняшками?

     
     
  • 6.47, Sluggard (ok), 19:14, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На девианарте есть поняшки с символикой практически всех известных дистров. )
     
  • 3.55, анонимус вульгарис (?), 21:24, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Если на каждую закрытую дырку ликовать — любой пользователь ПК должен находиться
    > в состоянии персонального восторга. ))

    Перманентного, что ли? Словарь купи.


     
     
  • 4.56, Sluggard (ok), 21:26, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Перманентного, что ли? Словарь купи.

    Да, пардон. И спасибо, хоть и запоздало. ) Что-то другое было в голове в этот момент, наверное. =)

     

  • 1.4, A.Stahl (ok), 11:24, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    >устранена
    >Предпринятые около семи лет назад попытки диагностики не принесли успеха
    >подготовлен скрипт, перезагружающий сервер

    Беда действительно серьёзная, но назвать скрипт для перезагрузки машины "устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, то костыль может оказаться весьма долгоиграющим) костыль.

    Стоп! Или это 7 лет был костыль, а теперь таки починили?
    Автор, перечитай и приведи к однозначному виду!

     
     
  • 2.13, YetAnotherOnanym (ok), 12:23, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот здесь - https://www.freebsd.org/security/advisories/FreeBSD-SA-15:13.tcp.asc - речь идёт о клизме TCP-стеку с помощью утилиты tcpdrop(8).
     
  • 2.11, eRIC (ok), 12:12, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Однажды на opennet мне один аноним уверял, что openSource есть великая мощь, и никакие >Apple и Microsoft рядом даже не стояли. А тут оказывается на устранение критической >уязвимости уходят 7 лет..
    >А я уже почти поверила, что Open Source есть великая мощь..
    >Правда эта уязвимость относится к FreeBSD, и затрагивает трёх с половиной пользователей, >что ней сидят, но всё же, это удар по репутации открытого софта.

    пользователи Microsoft платят за поддержку и заплатки со стороны Microsoft, а то у них support для корпораций есть. с Apple тоже самое и в таком духе.

    Не надо сравнивать два разных мира где есть: "бери бесплатно и используй свободно как хочешь на свой страх и риск" и "покупай и пользуйся, при проблемах плати"

    Open Source живет за счет:
    1- денежного пожертвований (никто не обязывает, на твоей совести)
    2- вклада исправлений от пользователей и компаний, которые находят и отдают обратно проекту(если отдают конечно, их никто не обязывает)
    3- дополнительной поддержкой/support от самих разработчиков или команды поддержки (если хочешь конечно, никто не обязывает)

     
     
  • 3.23, Аноним (-), 13:46, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > пользователи Microsoft платят за поддержку со стороны Microsoft

    Ой как я люблю эти истории успеха!
    С этого места пожалуйста поподробней.
    - сколько раз ты обращался в микрософт с проблемами в их софте?
    - получал ли адекватную помощь или с тебя просили 2к баксов для оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки в случае если багрепорт подвердится?
    - какое время занимала отработка твоих заявок
    - как часто ты находил фиксы сделанное в микрософт уже после того как их поддержка тебя отшила?

     
     
  • 4.27, Аноним (-), 14:16, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Я, кстати, обращался к ним в поддержку, когда на терминалке у клиента упорно не ... большой текст свёрнут, показать
     
     
  • 5.34, Аноним (-), 14:50, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.

    Дык проблема и не в тебе, а в тех кто принимает решения и ... продолжает платить :)

     
  • 5.37, iZEN (ok), 15:12, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Платить не стали, сохранили все данные, развернули сервер лицензирования с нуля (вместе с переустановкой ОС, так как переустановка сервисов не помогала). ПОтратили драгоценное время, но заработало.
    > Стоит ли их софт того, чтобы платить за него деньги? Я думаю, что нет.

    Во сколько вам обошёлся сервер лицензирования (софтовая часть)?

     
     
  • 6.59, Аноним (-), 09:54, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Кому что, а изе - вантуз.
     
  • 4.51, eRIC (ok), 19:32, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> пользователи Microsoft платят за поддержку со стороны Microsoft
    > Ой как я люблю эти истории успеха!
    > С этого места пожалуйста поподробней.
    > - сколько раз ты обращался в микрософт с проблемами в их софте?
    > - получал ли адекватную помощь или с тебя просили 2к баксов для
    > оплаты времени инженеров на проверку твоего багрепорта и обещали вернуть бабки
    > в случае если багрепорт подвердится?
    > - какое время занимала отработка твоих заявок
    > - как часто ты находил фиксы сделанное в микрософт уже после того
    > как их поддержка тебя отшила?

    коллега видимо вы вообще не работали с Microsoft на уровне Enterprise, когда у вас все лицензионное и инфраструктура понапичкана всякими AD, Exchange, SharePoint, SQL, Lync и т.д.

    буду краток: https://support.microsoft.com/en-us/gp/support-options-for-business

     
     
  • 5.62, фцв (?), 21:12, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а что ты ссылками тыкаешь, ты условия почитай. правильно человек написал.
     
  • 2.12, eRIC (ok), 12:19, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А тут оказывается на устранение критической уязвимости уходят 7 лет..

    вам напомнить все опубликованные уязвимости Windows с времен Windows 98?

    учитывайте что есть так же неизвестные и не опубликованные уязвимости Windows, которыми очень хитро по тихому юзают по сей день(наглядный пример Hacked Team)

    ошибки в программе могут содержаться годами не проявлять себя при некоторых обстоятельствах и могут всплыть наружу внезапно. эти ошибки есть и в Open Source и в Closed Source!!!


     
     
  • 3.39, Stax (ok), 15:59, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вам напомнить все опубликованные уязвимости Windows с времен Windows 98?

    Вы не понимаете разницу между "давно не поддерживамые и не обновляемые ОС" и "Во всех поддерживаемых ветках FreeBSD"?

     
     
  • 4.48, eRIC (ok), 19:26, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    тут упор делала девченка на 7 лет срока давности а не на поддерживаемые и не поддерживаемые ОС. даже если брать поддерживаемые ОС, в самой 8.1 найдутся дыры.

    как я писал ранее, ошибки в программах будут всегда, до тех пор пока эти программы пишутся, не важно в Open Source или в Closed Source.

     
     
  • 5.50, Аноним (-), 19:32, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > тут упор делала девченка на 7 лет срока давности
    > девченка
    > девченка

    Вы не поверите! :)

     
     
  • 6.54, eRIC (ok), 20:35, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А я уже почти поверила, что Open Source есть великая мощь..

    *девченка* не выдержала натиска минусов в свой адрес однако и испарилась из комментов...

    no comment анонимы...

     
  • 5.52, Stax (ok), 19:46, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это так. Но тут уж ничего не поделаешь :)
    (хотя - можно попробовать на Обероне ОС и софт переписать...)
     
  • 2.15, Ivan_83 (?), 12:28, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В винде каждый месяц латают огромные дыры, а тут такая фигня что мало у кого случалась.
     
  • 2.16, bagas (ok), 12:33, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ой!, даладно, можно подумать мак и микрософт супер системы, говно дырявое ане мак с микрософтом, у меня на кухне дуршлак, так вот в нем меньше дырок чем в виндузе!
     
  • 2.25, Аноним (-), 14:02, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на устранение критической уязвимости уходят 7 лет..

    Ну да, а возможность, в течении 19 лет (начиная с 95 форточки) с помощью подготовленной странички зафутболить код на компутер пользователя - это так, мелочи :)
    CVE-2014-6332
    http://securityintelligence.com/ibm-x-force-researcher-finds-significant-vuln

    И да, напомните мне, когда на  форточках "DLL preloading attack" устранили?
    Да да, тот самый, который еще в винде 95 работал (и о котором знал каждый третий разработчик софта для форточек, ибо оно даже задокументировано было ;) ).

     

  • 1.7, eRIC (ok), 11:53, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Беда действительно серьёзная, но назвать скрипт для перезагрузки машины >"устранением уязвимости" нечестно. Это временный(хотя раз за 7 лет не починили, >то костыль может оказаться весьма долгоиграющим) костыль.

    это OpenNET больше 7 лет назад придумал себе костыль перезагружать сервер чтобы освобождать.

    автор все правильно написал.

    касательно решения от FreeBSD, то да, уязвимость в стеке tcp устранили сейчас. так же был описан метод где можно было решать данную проблему удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно было перезагружать сервер чтобы очистить...

    простыми словами: если есть возможно обновись, если нет или не хочешь юзай костыль c tcpdrop

     
     
  • 2.40, Аноним (-), 16:12, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > удалением старых повисших соединений при помощи утилиты tcpdrop, т.е. не нужно
    > было перезагружать сервер чтобы очистить...

    Костыль tcpdrop не решает проблему, а лишь даёт возможность отсрочить полный коллапс. Если начали утекать сокеты, то остановить это утекание помогает только перезагрузка. tcpdrop лишь позволяет убить уже утекшие сокеты, но не остановать их лавинообразную утечку.

     
     
  • 3.57, Аноним (-), 01:38, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > но не остановать их лавинообразную утечку.

    А вот и белочки-истерички пожаловали...

     

  • 1.17, iZEN (ok), 12:39, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Должно быть актуально для торрент-раздач.
     
     
  • 2.32, Nicknnn (ok), 14:43, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Торенты сейчас всё больше по UDP бегают.
     

  • 1.41, Аноним (-), 16:51, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А что freebsd лучше чем linux? Ведь на ней нет utf-8.
     
     
  • 2.43, Параш (?), 18:30, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    utf-8 и unicode шрифты на FreeBSD 10.1 нативны и встроены в драйвер терминала vt.
     
  • 2.49, Аноним (-), 19:30, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ведь на ней нет utf-8.

    Вы так оригинально неповторимы! :)

     
     
  • 3.53, Херомант (?), 20:27, 22/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    у них пластинку заело. слоупоки
     

  • 1.42, Нанобот (ok), 16:55, 22/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >похожий эффект проявлялся на сервере opennet.ru

    там TIME_WAIT, тут LAST_ACK. может это другой баг?

     
  • 1.61, Аноним (-), 11:30, 23/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда обновление для Apple OS X прилетит? )))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру