После двухнедельного закрытого (http://seclists.org/oss-sec/2017/q3/413) распространения среди разработчиков дистрибутивов открыт (http://seclists.org/oss-sec/2017/q3/440) публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.2 (http://www.tcpdump.org). Задержка открытия публичного доступа к релизу обусловлена устранением 92 уязвимостей (http://www.tcpdump.org/tcpdump-changes.txt), 2 из которых могут привести к переполнению буфера и выполнению кода злоумышленника при обработке определённого вида трафика. 4 уязвимости могут привести к зацикливанию процесса, а остальные 86 проблем связаны с возможностью чтения из областей вне границ выделенного буфера. Проблемы обнаружены в коде разбора содержимого различных форматов и протоколов.URL: http://seclists.org/oss-sec/2017/q3/440
Новость: http://www.opennet.me/opennews/art.shtml?num=47196
tcpdump в плане безопасности чем-то напоминает sendmail, который тоже был написан во времена, когда о безопасности никто не думал и рассчитывали, что все обрабатываемые данные соответствуют спецификации. sendmail в 90-х словил волну уязвмостей, которая его и смыла. До аудита tcpdump видимо руки только сейчас дошли.
ну конечно, а без вас-то, наверное, и по сей день бы не догадались
Вам, по-видимому, чтение этого комментария доставило дискомфорт?
> Вам, по-видимому, чтение этого комментария доставило дискомфорт?да, терепеть не могу читать благоглупости, написанные людьми не в теме.
> да, терепеть не могу читать благоглупости, написанные людьми не в теме.Почему же так любишь их писать?
Только эксплуатировать уязвимости tcpdump затруднительно. Это ж атакеру на просторах инета надо угадать, когда на интересующем хосте просматривают входящий трафик tcpdump'ом.
Его запуск можно спровоцировать например
аха, ну спровоцируй в ростелекоме
> аха, ну спровоцируй в ростелекомеа в чем проблема-то? (если ты не знаешь, что именно надо атаковать, чтобы у ростелекомовских чуваков возникло желание поглядеть, что это за траффик, это твои личные трудности)
> Это ж атакеру на просторах инета надо угадать, когда на интересующем хосте просматривают
> входящий трафик tcpdump'ом.а чего гадать? Когда на этом хосте что-то не так, тогда и просматривают.
флуд/DoS/еще чего -нибудь инициируешь, и добавляешь сверху немножечко шелл-кода ;-)tcpdump - изначально был придуман и написан как исследовательский инструмент, а вовсе не как средство аварийного анализа аномалий. Но, увы, многие до сих пор этого не понимают, и первым делом хватаются за любимый микроскоп.
P.S. если что - там судя по cve, эксплойт в реальном мире получить достаточно нетривиально. slip сразу можно забыть, а по второму надо долго копаться.
Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно прикольная идея.
> Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно прикольная идея.Атакующие уже давно усвоили что можно устраивать самые веселые атаки. Поставили прозрачный проксь? Спасибо, хорошая штука, скорее всего умеет в интранете шариться. Можно покомандовать. Снаружи. Не совсем очевидно. Крутой DPI? Удобная штука, если его удастся накормить чем-нибудь полезным. Можно работу сорвать или апдейты перекрыть.
>> Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно
> Атакующие уже давно усвоили что можно устраивать самые веселые атаки. Поставили
> прозрачный проксь?там из этого списка в сто штук, только две сложноиспользуемые позволят, в теории, выйти на "прозначный проксь". остальное просто свалит сам tcpdump, без последствий для обладателя.
Что само по себе, конечно, забавно (потому что можно 90 раз разным способом - он типа нашел вроде, какой пакет отфильтровать из дампа, хренак - а оно в новом месте навернулось, и так 90 раз ;) но пользы человечеству от этого, к сожалению, никакой.
У вас странное понимание слова безопасность!!Как много вы знаете домохозяек которые используют в повседневной работе tcpdump????
Домохозяйки в безопасности? Фух...
> Домохозяйки в безопасности? Фух...Обычно после того как поимели админа - достается и домохозяйкам.
> tcpdump в плане безопасности чем-то напоминает sendmail,Все проще, там полно кода анализа протоколов, кода много и он довольно сложный - протоколы наворачивают в меру своей испорченности. Из-за больших объемов не самого простого кода там достаточно вероятны баги.
А тут судя по уязвимостям стопочкой кто-то все это поfuzz'ил крупным оптом и собрал сразу 92 джекпота. Вообще правильно сделанный fuzzing штука крайне полезная, хорошо проверяет как програмеры справились с валидацией входных данных.
>tcpdump в плане безопасности чем-то напоминает sendmailЕдинственный приличный коммент и конечно в глубоком минусе, всё так по-опеннетовски.
На чём, кстати, написан tcpdump? :)))))))))))))))
> На чём, кстати, написан tcpdump? :)))))))))))))))На чем, говоришь, крутились у эпикфакса 140 миллионов стыренных данных?
> tcpdump в плане безопасности чем-то напоминает sendmailМне скорее wireshark...
и да, кто там еще не верил в существование сговора "разработчиков" дистрибутивов с авторами софта, требовал с меня пруфов и топал ногами "вывсеврети"?(не то чтобы в случае tcpdump'а от этого кому-то стало хуже, кроме бестолкового анонима, видимо, впервые слышащего, что tcpdump - насквозь гнилая поделка, лечению не поддающаяся)
Я конечно всё понимаю, наболело, накипело, кругом п****сы а я дартаньян и т.п. Но хоть альтернативу-то предложите? Мне правда интересно. Видел пару поделий (консольных, разумеется), но не готов утверждать что они а) удобней; б) безопасней.
не понял, альтернативу чему? Корпоративному сговору? Ну вон arch пользуйте - они, как видите, побежали впереди паровоза, и, ненароком, спалили всю шоблу.альтернатива tcpdump'у - wireshark. В котором тоже регулярно случается remote exec.
> альтернатива tcpdump'у - wireshark.tshark только
> альтернатива tcpdump'у - wireshark. В котором тоже регулярно случается remote exec.Ну т.е. альтернативы нет. К тому же речь шла именно про консоль, хотя вот ниже подсказывают tshark. Сам гуёвый wireshark я конечно тыкал и не раз. Честно говоря нахожу совершенно неудобным, за рядом исключительных случаев. А tshark ща даже посмотрю, может чего интересного.
Но коли "регулярно случается remote exec" то это прямо скажем - не альтернатива. Мораль - какой смысл тогда пену пускать? Что делать несчастному админу когда какая-то невидаль с сетевым приложением происходит?
> Что делать несчастному админу когда какая-то невидаль с сетевым приложением происходит?ну вот просто помнить, что мало того что программы ненадежны, так еще и есть корпоративный сговор, соответственно, некоторые "zero day" уязвимости на самом деле известны или могут стать известны неопределенному кругу лиц за несколько недель до публикации.
В конце-концов, далеко не любая "невидаль" с сетевым приложением происходит с внешним траффиком.
Ну и не лениться сайт проверять - а то вон, редхат по сей день не разродилась, в freebsd что 11S, что 11.1 - 4.9.0, а уязвимость уже и вовсе public, спасибо пока готовых эксплойтов не видно.
> ну вот просто помнить, что мало того что программы ненадежны, так еще и есть корпоративный сговор, соответственно, некоторые "zero day"Ну вот помнит это несчастный админ, и что дальше? Каждый раз локтём креститься должен перед запуском, или что? Перенаправлять гигабиты трафика на физически изолированный хост (а если такой возможности нет, особо когда надо решать проблему "быстро, вот прям ща")? Что-то третье?
> В конце-концов, далеко не любая "невидаль" с сетевым приложением происходит с внешним траффиком.
Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть в трафик.
> Ну и не лениться сайт проверять
Это всё прекрасно, если: а) есть на это время; б) не слишком большой зоопарк софта.
Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не даст решительно ничего. Ведь уязвимость хоть и известна, но не опубликована.
> Ну вот помнит это несчастный админ, и что дальше?дальше - не хвататься за свой любимый микроскоп каждый раз, как что-то кажется ему странным.
Я вот за последние три года помню буквально два случая, когда tcpdump мне понадобился. Причем не в смысле решил какую-то проблему, а мне было интересно посмотреть, что за хрень такая.В обычных же случаях вполне достаточно netstat, правил файрвола и аккуратности.
> Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть
> в трафик.еще раз - "полезно" не означает, что траффик непременно внешний и с подозрением на кульхакеров. В таких случаях действительно лучше перестраховаться и надеть два презерватива, а от секаса воздержаться. А от tcpdump обычно больше толку, когда распутываешь внутреннюю логику софта, и оба конца под твоим контролем.
> Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не
> даст решительно ничего.ну вот в этот раз - дало бы, поскольку новая версия лежала где надо - просто без шума, пыли и анонсов.
> Я вот за последние три года помню буквально два случая, когда tcpdump мне понадобился.Это говорит только о специфике конкретно вашей работы. На моей нынешней например тоже он не часто бывает нужен, хотя почаще, и как раз в ситуациях типа:
> А от tcpdump обычно больше толку, когда распутываешь внутреннюю логику софта
Их погромисты организовывают порою предостаточно, и им нужно предъявить пруфлинки с пояснением почему они не правы. Ни netstat ни фаерволл в таком случае не канают. Так же как и в ситуации когда надо за N'ное время отследить наличие/отсутствие активности на сервисе с пониманием что это за активность.
Однако когда работал в провайдинге, то без tcpdump там можно сказать было нечего делать. Он наверное находился на втором месте после ping. Тут тебе и поимка несанкционированно воткнутых задом-наперёд soho роутеров раздающих dhcp, и детектирование петель в L2, и много других забавных ситуаций. Да, ряд из этих проблем автоматически решается управляемым оборудованием, но тогда такого жиру не было, да и сейчас не думаю что он есть повсеместно.
Подытожим, кроме криков про "всё г*вно", ну и очевидного совета проверять оригинальные источники (это надо что бы время было), вам предложить нечего (а жаль, искренне).
Но стоит-ли так разоряться? Нервы долго восстанавливаются.
> Однако когда работал в провайдинге, то без tcpdump там можно сказать было нечего делать.
> Он наверное находился на втором месте после ping.я, видимо, в каком-то неправильном провайдинге работал - ни ping, ни tcpdump не использую там практически никогда. (tcpdump просто никогда)
для контроля доступности своего оборудования есть методы попроще и поавтоматичнее, а tcpdump и запускать-то особо негде, и незачем.
> да и сейчас не думаю что он есть повсеместно.
ну, мои соболезнования работающим в отстoйниках, вынужденным пользоваться помойным софтом вместо железа - а потом их еще и хакают через дырки в не по назначению используемом софте, хехехе.
А что, нормальных работодателей в этой сфере уже не осталось, один ростелеком?
А я правильно понимаю, что это проявляется только если заказать разбор протокола? При банальном hex-дампе или сливе дампа в файл не актуально?
> А я правильно понимаю, что это проявляется только если заказать разбор протокола?
> При банальном hex-дампе или сливе дампа в файл не актуально?Так ведь с этим дампом потом тоже что-то придётся делать.
Например, просматривать сторонним HEX-вьюером.
>> А я правильно понимаю, что это проявляется только если заказать разбор протокола?
>> При банальном hex-дампе или сливе дампа в файл не актуально?
> Так ведь с этим дампом потом тоже что-то придётся делать.Физически отключить машинку от сети, надеть защитные очки, вставить беруши, включить просмотр трафика из файла с задержкой в 50 секунд, нажать <ENTER> и успеть отбежать ;)
Презерватив забыли надеть.
> Презерватив забыли надеть.а еще подгузники, шапку и шарф, ну и сапоги резиновые, вдруг подгузники не помогут
> Презерватив забыли надеть.где вы умудряетесь брать такие размеры, что налазят на голову?
Они растягиваются, чувак!
Но уже не рутом?
> Но уже не рутом?ну и поимеют твоего пользователя - а рута ты им сам сдашь через некоторое время, позвав su или sudo и напоровшись на свежеположенный в ~/bin/
Только зачем - что именно ценного на твоей личной машине (где ты, вероятно, и будешь просматривать файл с дампом, раз слил его в файл) - НЕ принадлежит твоему пользователю?идея всегда запускать tcpdump от nobody - в принципе, неплохая, но неудобная до жути.
Всё вф врёти!
Фсе дефчёнки знают что даже если и собирают траффик tcpdump-ом, то смотрят всё равно wireshark-ом 8-)
> Всё вф врёти!
> Фсе дефчёнки знают что даже если и собирают траффик tcpdump-ом, то смотрят
> всё равно wireshark-ом 8-)как будто в нем code exec редкость... по-моему, всего лишь в мае что-то пробегало, в очередной раз.
>как будто в нем code exec редкость...man сарказм
:)
Интересно, насколько Capsicum помог с этими дырами.
tcpdump на rust ещё не написали?