Tweede remote exploit voor OpenBSD in 10 jaar
Beveiligingsonderzoekers hebben een tweede remote exploit in Theo de Raadt's OpenBSD ontdekt. Het open source besturingssysteem ging altijd prat op het feit dat er "Only one remote hole in the default install, in more than 10 years!" was gevonden, maar daar moet dus twee gemaakt van worden. Het probleem wordt veroorzaakt door de manier waarop kernelgeheugen buffers omgaan met "mbuf structures".
Door het sturen van een gefragmenteerd ICMPv6 pakket kan een aanvaller een overflow veroorzaken waardoor hij willekeurige code in kernel mode kan uitvoeren of het systeem laten crashen. Om de aanval te laten werken moet er wel IPv6 connectiviteit zijn. Voor zowel OpenBSD 3.9 als 4.0 zijn er updates beschikbaar om het probleem met de IPv6 stack op te lossen. Aangezien het om een kernel patch gaat moet die eerst gecompileerd en dan geinstalleerd worden, waarna men het systeem ook nog eens moet herstarten. (ISC)
Met dank aan Walter voor het melden van dit nieuws
Need i say more?
onveilig is geworden...
De relatie marktaandeel - aantal lekken is weer eens bevestigd.
Need i say more?
Hoezo is die relatie bevestigd? Blijkbaar heb je geen idee hoe vaak
OpenBSD als embedded systeem wordt gebruikt...
Tot die beschouw ik je stelling stieren poep.
De relatie marktaandeel - aantal lekken is weer eens bevestigd.
Need i say more?
Hoezo is die relatie bevestigd? Blijkbaar heb je geen idee hoe vaak
OpenBSD als embedded systeem wordt gebruikt...
Niet alleen als embedded....
De relatie marktaandeel - aantal lekken is weer eens bevestigd.
Need i say more?
Ja want hoe meer een product verkocht wordt hoe meer er magisch lekken
bij komen!
zomaar software gemaakt voor Linux (veelal met virale licenties) kunnen
gebruiken. Dit zorgt tevens voor een groot verschil in deze twee kernels.
Marktaandeel zal zeker een reden zijn van het lage aantal exploits. Maar
desondanks is het aantal remote exploits nog steeds bijzonder laag, zelfs
als het er tien maal zoveel waren geweest.
Licentie heeft echt vrij weinig met de verschillen in de kernels te maken.
Het verschil zit in de filosofie, waar freebsd een unix port wil zijn is linux van
scratch geschreven gebaseerd op unix.
De titel vind ik ook een beetje gevaarlijk. Het gaat hier dus om de tweede
EXPLOITABLE remote hole in de DEFAULT installatie. Niet zomaar een
tweede exploit voor OpenBSD, die zijn er wel meer...
OpenBSD gebruikt BSD stijl licenties (echt
"free"). Dit betekent dat ze niet
zomaar software gemaakt voor Linux (veelal met virale
licenties) kunnen
gebruiken. Dit zorgt tevens voor een groot verschil in deze
twee kernels.
Marktaandeel zal zeker een reden zijn van het lage aantal
exploits. Maar
desondanks is het aantal remote exploits nog steeds
bijzonder laag, zelfs
als het er tien maal zoveel waren geweest.
wel secure is, hoe meer prestige het oplevert om dan toch
die vulnerability te vinden.
Met marktaandeel heeft dat helemaal geen donder te maken.
Dat is een verzinsel van Microsoft-drones die alleen de
Microsoft marketing blurb na kunnen praten.
je nog meer.
Theo zal niet zo blij zijn :)
schat dat de impact toch minder is dan menig één verwacht.
marktaandeel). Het aantal hackers dat zich bezighoud met weinig
gebruikte besturingssystemen (wat de codebeheerders ook over de
veiligheid roepen) is enorm veel lager dan het aantal hackers dat zich
bezighoudt met besturingssystemen die een groot aandeel hebben.
Als je denkt dat eer de belangrijkste drijfveer is, heb je het mis. Dat was
misschien 15 jaar geleden zo, maar het gaat momenteel vooral over geld
en soms ook spionage. Security is business en audits worden vooral
gedaan uit dat oogpunt.
Merkwaardig is ook dat de meeste lekken in Office zijn ontdekt door
spionnen, dat was echt niet voor de eer.
Je laatste opmerking over Microsoft is onzin. Geef me een link waar
Microsoft dit "verzinsel" als eerste beschrijft.
Door Anoniem op donderdag 15 maart 2007 15:02:
Licentie heeft echt vrij weinig met de verschillen in de kernels te maken.
Het verschil zit in de filosofie, waar freebsd een unix port wil zijn is linux van
scratch geschreven gebaseerd op unix.
Als Linux BSD licenties zou gebruiken, zou je code geschreven voor Linux
ook in BSD kernels kunnen terugvinden. Nu kan dat gewoon niet. BSD
coders worden gedwongen eigen code te schrijven ook al is dat technisch
niet echt nodig (niet voor de veiligheid en niet voor werking).
BSD is heel sterk gebaseerd op Unix (BSD is Unix) en Linux is een beetje
gebaseerd op Unix. Dat is geen punt van discussie.
(http://www.gnu.org). Het doel van GNU is: to develop a complete
Unix-like operating system which is free software.
Wiki is je vriend: http://en.wikipedia.org/wiki/Linux.
FreeBSD® ... is derived from BSD, the version of UNIX®
developed at the University of California, Berkeley.
De BSD's hebben een UNIX-stamboom, linux niet.
Feit is dat het aantal BSD audits gelijke tred heeft met het gebruik (het
marktaandeel). Het aantal hackers dat zich bezighoud met weinig
gebruikte besturingssystemen (wat de codebeheerders ook over de
veiligheid roepen) is enorm veel lager dan het aantal hackers dat zich
bezighoudt met besturingssystemen die een groot aandeel hebben.
Als je denkt dat eer de belangrijkste drijfveer is, heb je het mis. Dat was
misschien 15 jaar geleden zo, maar het gaat momenteel vooral over geld
en soms ook spionage. Security is business en audits worden vooral
gedaan uit dat oogpunt.
Merkwaardig is ook dat de meeste lekken in Office zijn ontdekt door
spionnen, dat was echt niet voor de eer.
Je laatste opmerking over Microsoft is onzin. Geef me een link waar
Microsoft dit "verzinsel" als eerste beschrijft.
- Feit? Waarop baseer je dat dit een feit is?
- Uh, denk je nu echt dat het een cracker niet tot grote eer zou strekken als
hij weet in te breken in OpenBSD?
- Er is geen OS dat ook maar in de buurt komt van de audits die worden
gedaan op OpenBSD.
- Je hebt geen idee wat OpenBSD betekent en waar het wordt gebruikt.
os is nog wel goed geprogrammeerd?
Iemand suggesties?
Sjeez...nu OpenBSD alweer gepatched moet worden, vraag ik
mij af: welk
os is nog wel goed geprogrammeerd?
Iemand suggesties?
ReactOS
zeer sterke twijfels. Verdomme, dit is de tweede al in zo'n korte tijd.
Iemand suggesties??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
