皆様、セキュリティホールは埋めとけよ
■ このスレッドは過去ログ倉庫に格納されています
>>79 Vine-errata security hole openssh-3.4p1-0vl2.i386.rpm openssh-server-3.4p1-0vl2.i386.rpm openssh-clients-3.4p1-0vl2.i386.rpm openssh-askpass-3.4p1-0vl2.i386.rpm openssh-askpass-gnome-3.4p1-0vl2.i386.rpm http://www.sendmail.org/8.12.5.html > 8.12.5/8.12.52002/06/25 > SECURITY: The DNS map can cause a buffer overflow if the user > specifies a dns map using TXT records in the configuration > file and a rogue DNS server is queried. None of the > sendmail supplied configuration files use this option hence > they are not vulnerable. Problem noted independently by > Joost Pol of PINE Internet and Anton Rang of Sun Microsystems. 普通の設定では影響なし、なのかな? resolver 問題、CERT/CC によると glibc はこれで fix されてるらしい。 http://www.kb.cert.org/vuls/id/AAMN-5BMSW2 しかし、こういうのって他のプロジェクトに還元されないもんなんだろうか。 上のパッチ、だれかUlrich Drepperに投げた? よくわかんないんだけど、glibcのバグはどのバージョンにあるの? >>57 07/02 Vine-errata security hole apache-1.3.26-0vl2.i386.rpm apache-devel-1.3.26-0vl2.i386.rpm apache-manual-1.3.26-0vl2.i386.rpm mod_ssl-2.8.9-0vl2.i386.rpm http://dammit.lt/apache-worm/ このApacheワームのソースってどこから出たものなのかな。 ワーム自体は蜜壷で捕まえたみたいだけど。 Squid Proxy Cache Security Update Advisory SQUID-2002:3 - Security advisory several issues in Squid-2.4.STABLE6 and earlier. Squid-2.4.STABLE7 released to address these issues. http://www.squid-cache.org/Advisories/SQUID-2002_3.txt >>109 投稿した人は「僕の inbox に入ってた」って言ってた。 snortのalert(警告)をメールで携帯に送りたいんですが、 どのようにすれば良いのでしょうか。 confファイルにはそれらしき箇所が見つかりませんでした。 >>112 snort 単体ではできない。 syslog と swatch 等を使うか、snort 用のツールを使う。 NetSNMPとMRTGでサーバを監視しようと思ってるんですが、 MRTGに関してはローカルホスト(NetSNMPが入ってるマシン)を対象に 監視を行っても良いのでしょうか。 なんか説明ページだと、ルータが監視の対象となってるみたいなんですが。 (ルータがSNMPに対応していないので…) 07/08 Vine-errata security hole squid-2.4.STABLE7-0vl1.i386.rpm ttp://lwn.net/Articles/4545/ This bug has been fixed for the gethostbyXXX class of functions in GNU libc in 1999. Unfortunately, there is similar code in the getnetbyXXX functions in recent glibc implementations, and the code is enabled by default. However, these functions are used by very few applications only, such as ifconfig and ifuser, which makes exploits less likely. やはり.... 最近新しい穴が見つからないねぇ。 いいことなんだが、何かつまらんw キタ━━━━━━(゚∀゚)━━━━━━ !!! PHP 4.2.0/4.2.1 に任意コード実行可能なセキュリティホール。 また IA32 じゃ任意コード実行は出来ないなんて言ってるよ。 ホントカナー??? Updated glibc packages fix vulnerabilities in resolver http://rhn.redhat.com/errata/RHSA-2002-139.html > A buffer overflow vulnerability has been found in the way the glibc > resolver handles the resolution of network names and addresses via DNS (as > per Internet RFC 1011). Version 2.2.5 of glibc and earlier versions are > affected. A system would be vulnerable to this issue if the > "networks" database in /etc/nsswitch.conf includes the "dns" entry. By > default, Red Hat Linux ships with "networks" set to "files" and > is therefore not vulnerable to this issue. (CAN-2002-0684) > > A second, related, issue is a bug in the glibc-compat packages, which > provide compatibility for applications compiled against glibc version > 2.0.x. Applications compiled against this version (such as those > distributed with early Red Hat Linux releases 5.0, 5.1, and 5.2) could also > be vulnerable to this issue. (CAN-2002-0651) > > These errata packages for Red Hat Linux 7.1 and 7.2 on the Itanium > architecture also include a fix for the strncpy implementation in some > boundary cases. >>120 良いことではないか。ないにこしたことはない。 Jul 29 02:47:04 XXXXX sshd[14409]: warning: /etc/hosts.allow, line 6: can't verify hostname: gethostbyname(host180.cciglobal.net.pa) failed これはresolverの穴を狙った攻撃? 接続元のIPアドレスからホスト名を調べて、そこからまたIPアドレスを ひいたら元に戻らなかった、ってことだと思う。>>124 のものも、 うちに来ているものも、DNSでAレコードがひけないんだよね。 Jul 28 04:45:35 giko sshd[80120]: warning: /etc/hosts.allow, line 4: can't verify hostname: getaddrinfo(h64-141-4-23.bigpipeinc.com, AF_INET) failed Jul 28 04:45:35 giko sshd[80120]: refused connect from 64.141.4.23 (64.141.4.23) % host 64.141.4.23 23.4.141.64.in-addr.arpa domain name pointer h64-141-4-23.bigpipeinc.com. % host h64-141-4-23.bigpipeinc.com Host h64-141-4-23.bigpipeinc.com not found: 3(NXDOMAIN) 詳しく調べたわけでないから嘘かもしれぬ。スマソ。 >>124 攻撃そのものは単純にsshdの古いバージョンでのセキュリティホール を狙った物だと思う。偶然にもIPから逆引きできたホスト名と、その ホスト名に対応するIPが合致していなかったために拒否されただけ。 マタキタ━━━━━━(゚∀゚)━━━━━━ !!! OpenSSL にリモートから悪用可能なバッファオーバフロー。 既に赤帽と Woody には修正出た。でも Potato はまだ。 util-linux にもちっこい穴。 CERTキタ━━━(゚∀゚)━( ゚∀)━( ゚)━( )━( )━(゚ )━(∀゚ )━(゚∀゚)━━━!!!!! http://www.cert.org/advisories/CA-2002-23.html Vine Linux 2.5/2.1.5 向け修正キタ━━(゚∀゚)━━━!!!!! ・2002,07,31 openssl にセキュリティホール 07/31 Vine-errata security hole openssl-0.9.6b-1vl5.i386.rpm openssl-devel-0.9.6b-1vl5.i386.rpm openssl-perl-0.9.6b-1vl5.i386.rpm Turboにglibc、imap、artsのパッチ出てます。 openss-0.9.6eをmake installしたら /usr/bin/pod2manがうまくいかね−とか言って 「自前の古いやつで代用しとくよん」とか言われるんだが perlはperl-5.00503-12が入っている /usr/bin/pod2manは 29017 Aug 11 2000 /usr/bin/pod2man 赤帽6.2, kernel2.2.19-6.2.16 なんで? >>131 imap のってかなり前から判明してて悪用ツールも出回ってるのに、 赤帽は無視状態なんだよなぁ。 >>132 鷲もSolaris8(SPARC版)で同じようなエラーでまくった。 >>132 FreeBSD 4.6-STABLEで同じエラーが出たが, PlamoLinux 2.2.6では出なかった ちなみに FreeBSD: -r-xr-xr-x 1 root wheel 29017 Sep 26 2000 /usr/bin/pod2man Linux: -rwxr-xr-x 1 root root 28830 Jul 23 1999 /usr/bin/pod2man* ヨー分からんが、どうせマニュアルだしとおもって とりあえず無視して続行した 情報あんがと>>134 , 135 >137 祭りのヨカーン うちは大丈夫だったーよ。 >>137 祭りネタキタ━━━━━━(゚∀゚)━━━━━━ !!!!! いや、うちは全く問題なかったんだけど。 いちおうcertのほうのリンクも。 http://www.cert.org/advisories/CA-2002-24.html 因紫 掻 薄仙 尻衣馬形壱 馬澗 紫戚闘拭 奄沙 凪戚走亜 蒸柔艦陥. 穣益傾戚球馬澗 掻析 呪 赤柔艦陥. 陥製拭 陥獣 背左淑獣神. 庚薦亜 域紗鞠檎 瀬 紫戚闘 淫軒切拭惟 庚税馬淑獣神. これってなんて書いてあるの?ルータのログみたら外からローカルの アドレス参照しようとしてたみたいなんだけど。 キタ━━━━━━(゚∀゚)━━━━━━ !!!!! sunrpc にリモートな穴 http://www.isskk.co.jp/support/techinfo/general/SunRPC_xforce.html glibcおそらくダメ。パッチ前のコードとおんなじ。 >>143 俺的にはネットに sunrpc を露出させてる事自体が非常識だと思うが、 実際にはそういう鯖がいっぱいあるんだろうな。 Debian ですらデフォルトで sunrpc が動いてる。 >>145 libwrap組み込みのportmapperはまだマシ。 Solarisのやつはアクセス制限ないからね >>145 ルータで塞いでるから、ネットに晒してるのはあまり無い気がするが、 それでも内部からだと叩かれまくるよな。 Port111、iptablesでrejectしとこっと 08/07 Vine-errata security hole apache-1.3.26-0vl3.i386.rpm apache-devel-1.3.26-0vl3.i386.rpm apache-manual-1.3.26-0vl3.i386.rpm mod_ssl-2.8.7-0vl3.i386.rpm 08/07 Vine-errata security hole libpng-1.0.12-0vl3.i386.rpm libpng-devel-1.0.12-0vl3.i386.rpm キタ━━━━━━(゚∀゚)━━━━━━ !!!!! http://www.openssl.org/ >>152 またopensslに依存するのをビルドしなおしかよ・・メンドクセー >>154 朝からWin2kのSP3(板違いスマソ)もいれたし、 次はコレかよって感じだよ....ウワヮヮン ヽ(`Д´)ノ あうん。 OpenSSL は、ちと面倒だよね。。。 カンプールのインド工科大学のManindra Agrawal、Neeraj KayalおよびNitin Saxenaが、 素数判定を多項式時間(polynomial time)で可能なアルゴリズムを発見、証明した。 素数判定(が困難であること)は、RSAをはじめとする多くのコンピュータ暗号が安全である ことを保障しているため、もしこれが事実であった場合、コンピュータ暗号の世界に多大な 影響を及ぼすと予想される。 論文は以下のURLからたどることができる。 また、ニューヨークタイムズの記事によると、ベル研のDr. Carl Pomerance博士は この論文を正確(correct)であると断定し、「このアルゴリズムは美しい。」 ("This algorithm is beautiful.")とコメントしたという。 論文のURL(英語: 数学者の写真あり): http://www.cse.iitk.ac.in/news/primality.html NY Timesの記事(英語): http://www.nytimes.com/2002/08/08/science/08MATH.html 関連スレ 【科学】素数判定が多項式時間で可能、コンピュータ暗号に影響大―インドの数学者証明 http://news2.2ch.net/test/read.cgi/newsplus/1028876818/ 素数判定は「決定的」多項式時間で可能 http://science.2ch.net/test/read.cgi/math/1028813059/ もうだめぽ、、 地味なタコ式祭りが発生しているが... 当面 RSA には影響なさげ。 >素数判定(が困難であること)は、RSAをはじめとする... RSA の基盤は「素因数分解(が困難であること)」だバカモノ。 >>160 素数判定は楽にできるようになったけど、 依然として素因数分解は困難であるということ? >>161 アルゴリズムを素因数分解に応用できるかどうかは今の所未知数。 ていうか今のところ関係無し。でも数学好きにはたまらんネタだろうな。 >>162 ども。 とりあえず、あわてることはなさそうですね。 opensslは0.9.6gか・・・ この手のライブラリは頻繁にバージョンアップされたら泣けてくる・・・ 今、0.9.6e使ってるんだけど、セキュリティ問題あんのかな? うちではbuildは素直に通ったんだけど・・・これ絡みの修正なら放置したい・・・ >>166 openssl 0.9.6eはバグ入りです。これあてないと駄目。なんで0.9.6fとか openssl advisoryが出ないのか不思議です。 http://marc.theaimsgroup.com/?l=openssl-cvs&m=102831422608153&w=2 セキュリティーホールmemoから引用 >>167 THX アップデートしておいた方がよさげかな(泣 もう、openssl0.9.6gでてるよ。 opensshとかapacheとか、makeしなおしかよー sharedでmakeしてるときって、再起動だけでいいんですか? ldd /usr/sbin/sshd してみたら、 libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x280d0000) という風になってて、 このlibcrypto.so.3 は古いライブラリだったんですよね。 新しいのは libcrypto.so.2 なんですけど・・・・ >>171 お前馬鹿だなぁ。ダイナミックリンクでも新しいバージョン入れて再起動しないとダメだよ。 >>172 入れ換えて再起動するだけでいい。そのためのシェアードライブラリ。 そのへんがよく判ってない人は RPM に頼るほうが安全だよ。 rpm だと, シェアードライブラリを入れ変えると, link してる daemon を再起動してくれるもんなの? なんかすごそう. >>176 いや、そこまではやってくれないよ。 シェアードにしたつもりで出来てなかった、とかの失敗が無くなるだけ。 それに >>177 が書いてるように、アドバイザリに必要な作業が載る。 でも Debian で glibc 入れ換えると片っ端から再起動してくれて驚く。 >>179 Debian で /sbin/init を再起動してくれるかどうかは確かめてない。 でも赤帽でも init は再起動してくれるくらいだから、やってるんじゃない? >>179 postinst で init u してるのを発見 08/15 Vine-errata security hole mozilla-1.0.0-9vl9.i386.rpm mozilla-chat-1.0.0-9vl9.i386.rpm mozilla-devel-1.0.0-9vl9.i386.rpm mozilla-dom-inspector-1.0.0-9vl9.i386.rpm mozilla-js-debugger-1.0.0-9vl9.i386.rpm mozilla-mail-1.0.0-9vl9.i386.rpm mozilla-nspr-1.0.0-9vl9.i386.rpm mozilla-nspr-devel-1.0.0-9vl9.i386.rpm mozilla-nss-1.0.0-9vl9.i386.rpm mozilla-nss-devel-1.0.0-9vl9.i386.rpm mozilla-psm-1.0.0-9vl9.i386.rpm 08/25 Vine-errata security hole util-linux-2.11n-4vl6.i386.rpm mount-2.11n-4vl6.i386.rpm losetup-2.11n-4vl6.i386.rpm >>181 なるほど。 Red Hat だと glibc に付属の glibc_post_upgrade を実行してたよ。 間違えた。こっちが正しい。 http://www.zakzak.co.jp/top/t-2002_09/3t2002091403.html 知らない間にNASAにハッキング… 愛知の会社員になりすまして攻撃 愛知県知立市の会社員(31)が自宅で所有するパソコンが8月、ケーブルテレビ局のインターネット回線を経由して 何者かに勝手に遠隔操作され、米航空宇宙局(NASA)の施設「ジェット推進研究所」のコンピューターにハッカー攻撃をしていたことが14日までに分かった。 これって、UNIX系OS入れてたってことなのかな? それとも、Win2000? >>189 ウィンやマックじゃないって書いてあるからUNIX系だと思われ。 >>190 さんくす。 朝日の記事しか読んでなかった。zakuzakuには書いてあったんだね。 おまえらはそもそも軽く考えてサーバ建てすぎ。 まぁこのスレに来る連中はまだいいほうだな。 少なくとも「セキュリティ」という単語を知ってる。 >>192 鯖は建てましたがワールドワイドには繋いでません。 AES may have been broken. Serpent, too. >>195 それがまるっきり来ないんだよ。TCP 443 を叩いてもくれない。 既に絶滅したかも。来るのは MS SQL のワームばかり。 最近、https 公開していないサーバに 2 回ほど 443/tcp アクセスがあったよ。まだ Worm は知ら なかったから(゜Д゜)ハァ? と思ったけど。 9/13 17:05:20 と 9/14 19:17:00 に 1 回ずつ SYN が来てた。 1433/tcp に埋もれて見落しそうになる(w オリジナルの Slapper のターゲット。 struct archs { char *os; char *apache; int func_addr; } architectures[] = { {"Gentoo", "", 0x08086c34}, {"Debian", "1.3.26", 0x080863cc}, {"Red-Hat", "1.3.6", 0x080707ec}, {"Red-Hat", "1.3.9", 0x0808ccc4}, {"Red-Hat", "1.3.12", 0x0808f614}, {"Red-Hat", "1.3.12", 0x0809251c}, {"Red-Hat", "1.3.19", 0x0809af8c}, {"Red-Hat", "1.3.20", 0x080994d4}, {"Red-Hat", "1.3.26", 0x08161c14}, {"Red-Hat", "1.3.23", 0x0808528c}, {"Red-Hat", "1.3.22", 0x0808400c}, {"SuSE", "1.3.12", 0x0809f54c}, {"SuSE", "1.3.17", 0x08099984}, {"SuSE", "1.3.19", 0x08099ec8}, {"SuSE", "1.3.20", 0x08099da8}, {"SuSE", "1.3.23", 0x08086168}, {"SuSE", "1.3.23", 0x080861c8}, {"Mandrake", "1.3.14", 0x0809d6c4}, {"Mandrake", "1.3.19", 0x0809ea98}, {"Mandrake", "1.3.20", 0x0809e97c}, {"Mandrake", "1.3.23", 0x08086580}, {"Slackware", "1.3.26", 0x083d37fc}, {"Slackware", "1.3.26",0x080b2100} }; >>198 9/14が最初で毎日2〜3回づつ来てるよ。 >>200 アドレスのスキャン方法によって来る IP と来ない IP があるのかな? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる