yooseeによる
2004年03月03日 11時52分の掲載
大穴解放中部門より。
大穴解放中部門より。
zophos 曰く、 "FreeBSD 4.xおよび5.xのTCPサービスに,out of sequenceなパケットを投げ続けると 'mbufs' を無限に消費してシステムがクラッシュしてしまうと言う脆弱性が見つかっています。[FreeBSD-SA-04:04.tcp], [iDEFENSE Security Advisory 03.02.04]
ナローバンドに繋がった1台のマシンから攻撃を食らっただけでもDoSが成立してしまう可能性が高いので,FreeBSD使いの方々はとっととパッチをあててしまいましょう。"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
"FreeBSD only: NO" なので… (スコア:4, 興味深い)
*BSD の TCP スタックを参考にしている組み込み OS とか
どうなんでしょう?
--- Toshiboumi bugbird Ohta
Re:"FreeBSD only: NO" なので… (スコア:2, 興味深い)
親コメント
Re:"FreeBSD only: NO" なので… (スコア:4, 参考になる)
同感. かつての ping of death [e-words.jp] みたいなことになってしまうのかなぁ.
この時は,BSD 由来のプロトコルスタックを使った OS (*BSD, Linux, Windows) がすべてこのバグ(?)を持ってたそうです.
親コメント
アナウンスメール (スコア:3, 参考になる)
Re:アナウンスメール (スコア:2, 参考になる)
親コメント
freebsd-update (スコア:2, 参考になる)
/boot/kernel/kernel
/usr/include/netinet/tcp_var.h
とりあえずNetBSDは (スコア:2, 参考になる)
コード見比べると確かにだいぶ違ってますな。
となると (スコア:1, すばらしい洞察)
Re:たれこみ人サンクス (スコア:1, すばらしい洞察)
-- ゴルゴム幹部 談
親コメント
Re:そんな (スコア:4, 参考になる)
19.5. 複数のマシンで追っかける
[freebsd.org]
この辺を参考にして、
早めに幸せになった方がよろしいかと。
親コメント
Re:ちくしょ~ (スコア:1)
ないでしょ?
#昔の記憶が正しければ、kernelだけで1時間ぐらいかと。
親コメント
Re:ちくしょ~ (スコア:2, 参考になる)
CVSup するなら mrtg [freebsd.org] を見て帯域の少ない所を選んでください。
最近 CVSup [rim.or.jp] の最適化まで記述してみました。
# 他は、まだ作りかけです。
親コメント
Re:ちくしょ~ (スコア:2, 参考になる)
最近のネットワーク事情では、*default compressはcvsupサーバの
CPUを余分に使う以上にメリットは何も無いっす。
# cvsup サーバの管理人の一人だけど、アカウント無いのでAC
親コメント
Re:ちくしょ~ (スコア:2, 参考になる)
cvsup する時に -s オプションつけてもらうようなお願いを広める方が
サーバの負荷軽減には効くんじゃないかと思ってるんですがどうでしょう。
うちの /etc/make.conf には
SUPFLAGS= -g -L 2 -s
てな行があります。
親コメント
Re:ちくしょ~ (スコア:3, 参考になる)
# However で始まる所、自信なし。
## いや、全体か。
-s
Suppresses the check of each client file's status against
what is recorded in the list file.
list file に記録される各クライアントファイルのステータスチェックを行ないません。
Instead, the list file is assumed to be accurate.
代わりに、リスト・ファイルは正確であると仮定されます。
This option greatly reduces the amount of disk activity and results
in faster updates with less load on the client host.
このオプションによって、ディスクアクセスを極端に減らし、
素早くアップデートできます。
However it should only be used if client's files are never modified locally in any way.
クライアントのファイルが修正されない事があっても利用しましょう。
Mirror sites may find this option beneficial to reduce the disk load on their systems.
ミラーサイトが負荷軽減の為に、このオプションに注目するかもしれません。
For safety, even mirror sites should run cvsup occasionally (perhaps once a day) without the -s option.
安全性の為、ミラーサイトは -s オプションなしでcvsupを時々(一日ぐらい)実行しましょう。
親コメント
Re:ちくしょ~ (スコア:1)
結果だけを受け取れないものかなあと思ったりするんですが
やっぱり出来ないんでしょか…。
And now for something completely different...
親コメント
Re:ちくしょ~ (スコア:2, おもしろおかしい)
ここまでのコメントに、問題の解決に必要な情報はすべて書かれている。
必要なのは、それを読み取る力と実際に試してみるガッツだけだ。
#ガッツだ。ガッツで、ガッツん、ガッツんだ。
親コメント
Re:ちくしょ~ (スコア:2, 参考になる)
自己責任ということでよろしく。
親サーバ# kldload nfs
親サーバ# portmap
親サーバ# nfsd -u -t -n 4
親サーバ# mountd -r
親サーバ# cd /usr/src
親サーバ# make buildworld
親サーバ# make buildkernel KERNCONF=bou_server
某サーバ# kldload nfs
某サーバ# portmap
某サーバ# nfsiod -n 4
某サーバ# mount xxx.xxxx.jp:/usr/src /usr/src
某サーバ# mount xxx.xxxx.jp:/usr/obj /usr/obj
某サーバ# mount xxx.xxxx.jp:/usr/sup /usr/sup
某サーバ# mount xxx.xxxx.jp:/usr/ports /usr/ports
某サーバ# cd /usr/src
某サーバ# make installkernel KERNCONF=bou_server
某サーバ# make installworld
某サーバ# mergemaster
親コメント
Re:そんな (スコア:1)
# snapshotsでupgradeするかな…
親コメント
Re:FreeBSD固有の脆弱性ではない? (スコア:1)
すでに保守対象から外れて [freebsd.org]いて、「Corrected(修正済)」ではない、というだけかと。
なので、RELENG_5_2 とか 5.2.1-RELEASE-p1 に上げるか、手でパッチするかでしょうね。
親コメント
Re:今回の情報 (スコア:2, 参考になる)
http://lists.freebsd.org/pipermail/freebsd-announce/2004-March/000936.html [freebsd.org] に書いてますよ。
> III. Impact
>
> A remote attacker may conduct a low-bandwidth denial-of-service attack
> against a machine providing services based on TCP (there are many such
> services, including HTTP, SMTP, and FTP). By sending many
> out-of-sequence TCP segments, the attacker can cause the target machine
> to consume all available memory buffers (``mbufs''), likely leading to
> a system crash.
3.x とか 2.x とか 5.1 (; ;) とか、
makoto-k さん [slashdot.jp]が、教えてくれたように
サポート終了 [freebsd.org]
を表明している OS 使われても。
# 有償のサポートを行なっている業者がいるかも。
## Life with UNIX(ISBN4-7561-0783-4) [ascii.co.jp] に情報があったような。
それに OpenSource なんですから、
どうぞ、ご自分で。
feedback すれば、喜ばれると思いますが、
BSD ライセンスは GPL より寛大ですから、
企業的な政治問題も関係ないでしょう。
# 人件費とか、問題はあると思いますが。
親コメント