В ядре Linux обнаружены две уязвимости, проявляющиеся в свежих выпусках 3.10.12 и 3.11.1:- CVE-2013-4343 (http://www.spinics.net/lists/netdev/msg250066.html) - обращение к уже освобождённому блоку памяти (Use-After-Free) в функции "tun_set_iff()" (drivers/net/tun.c) может быть использовано для повышения локальным пользователем своих привилегий в системе. Локальный пользователь с привилегиями CAP_NET_ADMIN может выполнить произвольный код с повышенными привилегиями в системе, ядро которой собрано с поддержкой универсального драйвера TUN/TAP (CONFIG_TUN). Исправление доступно в виде патча (http://permalink.gmane.org/gmane.linux.kernel/1559873).
- CVE-2013-4350 (http://secunia.com/advisories/54822/): В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии шифрования трафика при выборе транспорта AH + ESP в сочетании с использованием IPv6 и включением шифрования исключительно SCTP трафика. Атакующий, имеющий доступ к промежуточному шлюзу, может произвести атаку «человек посередине» и перехватить потенциально важные данные. Для IPv4 проблема не проявляется. Исправление доступно в виде патча (http://git.kernel.org/cgit/linux/kernel/git/davem/net.git/co...).
URL: http://secunia.com/advisories/54753/
Новость: http://www.opennet.me/opennews/art.shtml?num=37996
>В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии шифрования трафика при выборе транспорта AH + ESPВ ключевых словах не хватает "АНБ".
от этого легче или тяжелей?
сухой остаток новости в том, что а) надо проапгрейдиться, б) обмен данными за всё последнее время с начала использования оконечного устройства на Linux моежт быть скомпрометирован и доступен кому угодно и это теперь надо учитывать.
а "анб" или не "анб" - принципиального значения не имеет.
и вообще, гуглить "бритва хэнлона".
Да ладно, там же какой-то совершенно экзотический набор условий. ipsec +ipv6 + настройка для sctp - оно в реальном мире вообще бывает?
> Да ладно, там же какой-то совершенно экзотический набор условий. ipsec +ipv6 +
> настройка для sctp — оно в реальном мире вообще бывает?судя по всему — очень редко. поэтому и нашли не сразу.
Вообще если посмотреть - реализация SCTP - сплошное решето. За последний год штук 15 уязвимостей.
> Вообще если посмотреть - реализация SCTP - сплошное решето. За последний год
> штук 15 уязвимостей.так не пользуется никто — вот и…
Ну почему же сразу никто? Вот всякие хакеры и исследователи безопасности пришли посмотреть "что за фигня?!" :)
> Вообще если посмотреть - реализация SCTP - сплошное рeшето. За последний год штук 15 уязвимостей.Проблема даже не в конкретной линуксовой реализации.
http://lists.freebsd.org/pipermail/freebsd-security-notifica...
к примеру. И наверняка еще дофига не найденных (качество кода во фре плюс-минус такое же, как и в лине, зато из-за меньшей пользовательской базы не так активно ищут дыры).
>от этого легче или тяжелей?... а "анб" или не "анб" - принципиального значения не имееткак раз от того, глупостью это вызвано или анб и будет легче или тяжелее. Важен же не только результат, который надо исправлять, но и причина, повлекшая это гуано. И сухой остаток может получиться разным - если просто ошибка - фиксим и пользуемся дальше, если преднамеренные козни - переходим на другие инфраструктуры шифрования, потому что будут небезосновательны предположения о других закладках в этой подсистеме или проверяем другие коммиты этого же анбшного засланца в других открытых проектах. А так согласен только с тем что это скорее всего просто ошибка без злого умысла.
Сомнительно. Тогда было бы при использовании IPv4.
>>В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии шифрования трафика при выборе транспорта AH + ESP
> В ключевых словах не хватает "АНБ".Если в кране нет воды - значит, это козни АНБ!
Bug 24412 -
Summary: SCTP traffic over IPv6 IPsec tunnel fails to be encrypted
Reported: 2010-12-06 13:37 UTC by Alan.ChesterБез малого 3 года назад нашли!!! И тогда это был баг, который проигнорировали, и вдруг он стал страшным security issue, которое ещё "проявляющиеся в свежих выпусках 3.10.12 и 3.11.1". А у Алана Честера и Алексея Добряна есть машина времени. Новость - просто прелесть.
> Без малого 3 года назад нашли!!! И тогда это был баг, который проигнорировалипотому что не нашлось уникумов, которые IRL используют «SCTP over IPv6 IPsec tunnel». ок, там баг. ок, мы в курсе. когда-нибудь починим, пока это не приоритетно. что за паника-то?
если ты считаешь, что баги в связке, которая нужна трём с половиной инвалидам на планете, должны иметь тот же приоритет, что и баги в ежедневно используемых подсистемах — ты как минимум не очень умён.
впрочем, ты можешь лично начать лопатить багзиллу на предмет старых незакрытых багов и чинить их. ведь ты же не просто умеешь орать «а-а-а! давно знали, не починили!», правда?
> Без малого 3 года назад нашли!!!Все три года искали хотя бы одного человека, который пользуется SCTP. Не говоря уже о запихивании его в шифрованный туннель поверх IPv6.
> В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии
> шифрования трафика при выборе транспорта AH + ESP в сочетании с использованием
> IPv6 и включением шифрования исключительно SCTP трафика.Если после дождика в четверг, в полнолуние, при условии что месяц четный и год високосный, на горе вдруг нагло свистнул рак - значит вас укусит вот вот интересный баг...