image

Lek in FreeBSD

maandag 22 april 2002, 14:58 door Redactie, 16 reacties

Recente versies van het besturingssysteem FreeBSD bevatten een lek, waardoor gebruikers 'root' rechten kunnen verkrijgen op het systeem als zij zijn ingelogd. Dit bericht Pine Internet vandaag op diverse mailinglists. FreeBSD heeft de broncode aangepast en gebruikers wordt aangeraden te upgraden naar de laatste -STABLE versie.

Reacties (16)
22-04-2002, 21:41 door Anoniem
Waarom upgraden naar -STABLE als je ook naar -RELEASEp4 kunt upgraden? Op die manier introduceer je in ieder geval nog niet experimentele "stabiele" features of wijzigingen in het systeem maar heb je wel FreeBSD 4.5 Release inclusief alle security patches, vandaar p4 = patchlevel 4. De cvs tag voor 4.5RELEASEpx is RELENG_4_5.
23-04-2002, 01:43 door Henk van Oers
PINE-CERT-20020401 <URL:http://www.pine.nl/advisories/pine-cert-20020401.txt>

20020401 ? Klinkt als een grap !
Ik heb geen tijd om het te testen en ik wilde zowizo een
nieuwe kernel.

Dus ik ben er blind ingestonken.

Voortaan liever een ander nummer;-)
23-04-2002, 06:33 door Anoniem
On Mon, Apr 22, 2002 at 11:47:18PM +0300, Dmitry Pryanishnikov wrote:
>
> Hello!
>
> Has this patch (stdio.patch) been verified properly? It seems that it
> contains obvious error:
[snip]
> Please check this code!

Thanks, Dmitry! You are correct. This was an error on my part when merging from -CURRENT, where the second parameter is `int *'.

I'll fix ASAP. Happily, it so happens that it doesn't make any
functional difference, because we don't care what mode we use when we open /dev/null in this case.

Cheers,
--
Jacques A. Vidrine <n@nectar.cc> http://www.nectar.cc/
NTT/Verio SME . FreeBSD UNIX . Heimdal Kerberos
[email]jvidrine@verio.net[/email] . [email]nectar@FreeBSD.org[/email] . [email]nectar@kth.se[/email]
23-04-2002, 09:08 door Henk van Oers
Originally posted by Unregistered
On Mon, Apr 22, 2002 at 11:47:18PM +0300, Dmitry Pryanishnikov wrote:
>
> Hello!
Hallo, zeg dat wel, erg knap in elkaar gezet deze grap, of...
> Has this patch (stdio.patch) been verified properly? It seems that it
> contains obvious error:
[snip]
> Please check this code!

Thanks, Dmitry! You are correct. This was an error on my part when merging from -CURRENT, where the second parameter is `int *'.

I'll fix ASAP. Happily, it so happens that it doesn't make any
functional difference, because we don't care what mode we use when we open /dev/null in this case.

Cheers,
--
Jacques A. Vidrine <n@nectar.cc> http://www.nectar.cc/
NTT/Verio SME . FreeBSD UNIX . Heimdal Kerberos
[email]jvidrine@verio.net[/email] . [email]nectar@FreeBSD.org[/email] . [email]nectar@kth.se[/email]
23-04-2002, 21:56 door Anoniem
http://www.phased.home.ro/iosmash.c - user moet wel in wheel staan
http://www.netric.org/tools/evelyne.sh - telnetd moet geactiveerd zijn
24-04-2002, 09:29 door Anoniem
Ik vraag me af waar nu al die lui blijven met hun massale kritiek op het pakket. Goh, is het misschien omdat er dit keer geen Microsoft boven staat?

Als ik kijk naar de kritiek op de IIS-lekken denk ik dat het voor sommige mensen (lees: unix-fanaten) wel heel erg makkelijk (en de trend) is om af te geven op producten van Microsoft.
Maar bedenk wel dat deze producten massaal worden gebruikt over de hele wereld, daardoor komen fouten ook sneller aan het licht (logische conclusie toch?).

En weet je waarom de meeste grote bedrijven nog steeds kiezen voor Microsoft-producten? Omdat de software vaak meer naar de klant is ontwikkeld dan de vele unix-varianten (waar je vaak een unix-specialist voor nodig hebt om die te beheren), en de klant (vooral bij grote multinationals) wil nou eenmaal een software-pakket wat makkelijk te beheren is.

Wat ik wil zeggen is: Maak voor een unix-variant maar eens een
pakket wat net zo makkelijk en massaal kan worden gebruikt als de producten van Microsoft. Dan zullen we eens kijken of er niet net zoveel security-holes worden gevonden.

(De vraag is trouwens wel of je een unix-product WIL maken wat net zo makkelijk kan worden gebruikt, de verschillende unix-varianten zijn op dit moment namelijk wel geschikt om te gebruiken in beveiligde omgevingen.)

Laatste opmerking: ik ben géén sales-mannetje van Microsoft, maar gewoon een security-specialist die op het één en ander een realistische kijk probeert te hebben.

Groeten!
Johan
24-04-2002, 12:19 door Anoniem
Het gaat er gewoon om dat producten die door Microsoft worden geschreven niet in het oogpunt van security worden geschreven! Microsoft mag nog blij zijn dat hun software closed source is! Want als je nu al ziet hoeveel bugs gevonden worden zonder sourcecode review, kun je nagaan als die source open zou zijn!

Zelf ga je toch ook niet sleutelen aan je auto als je daar geen verstand van hebt? Maar omdat toevallig je IIS config panel er hetzelfde uitziet als je Word instellingen kun je dat dan wel zelf doen met je webserver waar data van klanten opstaat?
Externe expertise is altijd nodig in een bedrijf (of een eigen it afdeling met verstand van zaken). Dus de opmerking: "(waar je vaak een unix-specialist voor nodig hebt om die te beheren)" gaat niet op vind ik... voor elk o/s heb je een specialist nodig.
24-04-2002, 13:24 door Anoniem
Ja, tuurlijk heb je voor iedere omgeving een specialist nodig (voor het achterliggende beheer), maar hier ging het over het feit dat de Microsoft-producten beter zijn afgestemd op het feit dat de klant (met Word-kennis :-) ) ZELF kleinschalig beheer wil doen en bijvoorbeeld zijn website-content zelf wil plaatsen op de servers.

Die klanten hebben vaak geen geld voor een specialist over.

De klant (tenminste, dat is mijn ervaring bij 2 multinationals) wil steeds vaker sleutelen aan hun auto terwijl ze er geen verstand van hebben.

En, Microsoft begint steeds beter te leren over hoe het een product in elkaar moet zetten (geef toe, ze letten meer en meer op security). Opensource maken heeft geen zin, dan krijg je weer een willekeur aan Windows-varianten. Iets wat je nu dus ziet bij Unix.

Maar verder ben ik blij dat we hier Unix hebben, maar de producten op dit systeem zijn niet altijd even goed afgestemd op de wensen van de klant (waar we toch nog altijd het geld van krijgen).

En pak het alsjeblieft niet op als een aanval op Unix, ik vond alleen dat er wel makkelijk veel kritiek op Microsoft komt als er een fout gevonden is.

(owh, bij een standaard beveiligde omgeving plaats je natuurlijk NIET de database (met klantgegevens) op de webserver. Daar hebben we andere mooie achterliggende systemen voor)

Groeten! Johan
25-04-2002, 08:24 door Anoniem
Originally posted by Unregistered
Ik vraag me af waar nu al die lui blijven met hun massale kritiek op het pakket. Goh, is het misschien omdat er dit keer geen Microsoft boven staat?[/QUOTE]
Het windows 2000 security model zit imho best goed in mekaar. Alleen in de webserver worden steeds meer fouten gevonden, en dat is toch wel een service (vaak de enige) die je op je site draait.
25-04-2002, 10:33 door Anoniem
Originally posted by Unregistered
1)Ik vraag me af waar nu al die lui blijven met hun massale kritiek op het pakket. Goh, is het misschien omdat er dit keer geen Microsoft boven staat?

2)Als ik kijk naar de kritiek op de IIS-lekken denk ik dat het voor sommige mensen (lees: unix-fanaten) wel heel erg makkelijk (en de trend) is om af te geven op producten van Microsoft.
3)Maar bedenk wel dat deze producten massaal worden gebruikt over de hele wereld, daardoor komen fouten ook sneller aan het licht (logische conclusie toch?).

4)En weet je waarom de meeste grote bedrijven nog steeds kiezen voor Microsoft-producten? Omdat de software vaak meer naar de klant is ontwikkeld dan de vele unix-varianten (waar je vaak een unix-specialist voor nodig hebt om die te beheren), en de klant (vooral bij grote multinationals) wil nou eenmaal een software-pakket wat makkelijk te beheren is.

5)Wat ik wil zeggen is: Maak voor een unix-variant maar eens een
pakket wat net zo makkelijk en massaal kan worden gebruikt als de producten van Microsoft. Dan zullen we eens kijken of er niet net zoveel security-holes worden gevonden.

6)(De vraag is trouwens wel of je een unix-product WIL maken wat net zo makkelijk kan worden gebruikt, de verschillende unix-varianten zijn op dit moment namelijk wel geschikt om te gebruiken in beveiligde omgevingen.)

7)Laatste opmerking: ik ben géén sales-mannetje van Microsoft, maar gewoon een security-specialist die op het één en ander een realistische kijk probeert te hebben.

Groeten!
Johan

1) Als je beter had gelezen staat er reeds niet bepaald ongezouten critiek waar verder weinig op aan te vullen is;
2) Neen, dat is niet gemakkelijk, dat komt door de stortvloed aan lekken, exploits en vulnerabilities van Microsoft producten, nog afgezien van the lack of interoperability;
3) Je bent niet echt op de hoogte, Microsoft wordt nog voor geen 28% vertegenwoordigd bij e-toepassingen dat niet zo massaal kan worden genoemd;
4) Microsoft producten zijn niet naar de klant ontwikkeld maar naar eigen beeld en door eigen PR door de strotten van mensen geduwd en geforceerd behoeften te creeeren waarbij ze onderwijl geen oog hebben voor de veiligheid van hun eigen customers met onergonomische trage onveilige en niet-interoperabele pakketten als gevolg. De kracht van bijvoorbeeld van Unix herleide systemen is juist het omgekeerde: en bieden de klant alle flexibiliteit die het zich kan wensen, men kan het geheel naar zijn hand zetten. Ook systemen als OS/2 behoren tot die cathegorie, ook op het gebied van industriële en mission-critical toepassingen.
5) Het zal je wellicht verbazen maar de meerderheid der Microsoft-gebruikers zijn GEEN vinders van security-holes, maar gewoon recht-toe-recht-aan invoervolk die je net zo goed achter een terminal kan zetten; Gezien het huidige segment van Unix-gelieerde systemen zich vrijwel volledig bij 'professionals' bevindt, zou je zeggen dat deze systemen een hogere graad van controle kennen maar blijven in verhouding de aantallen nieuwe exploits matig. Dat is ook niet zo wonderlijk, Unix is namelijk vanuit oogpunt van security on-scratch ontworpen en opgebouwd;
6) Waarom niet? Unix-gelieerde systemen lenen zich daar uitstekend voor;
7) Misschien dat je je realistische kijk wat realistischer kunt doen verworden , je zal het ongetwijfeld goed doen als salesmannetje :)

Aanvullend kan ik melden niet geheel tegen Windows te zijn. Ik ben noch pro Unix, OS/2, Windows or whatever: Voor elk systeem zijn er geschikte en minder geschikte toepassingen. Windows is bijvoorbeeld bij mensen thuis erg op zijn plaats: leuke kleurtjes, geluidjes, beetje internetten, chatten en e-mailen, wat multimedia en spelletjes. OS/2 leent zich daar bijvoorbeeld niet bepaald voor en zie ik net zo min dergelijke mogelijkheden bij Solaris om nog maar een voorbeeld te noemen.
25-04-2002, 10:45 door Anoniem
Originally posted by Unregistered
Maar verder ben ik blij dat we hier Unix hebben, maar de producten op dit systeem zijn niet altijd even goed afgestemd op de wensen van de klant (waar we toch nog altijd het geld van krijgen).

Dan doe je schijnbaar je werk niet goed.
25-04-2002, 11:43 door Anoniem
Originally posted by Virtal Technologies


Dan doe je schijnbaar je werk niet goed.

Dan denk je waarschijnlijk dat je god bent.
Als een klant het niet wil dan krijg je het gewoon niet voor elkaar.

Groeten! Johan
25-04-2002, 12:16 door Anoniem
Originally posted by Unregistered


Dan denk je waarschijnlijk dat je god bent.
Als een klant het niet wil dan krijg je het gewoon niet voor elkaar.

Groeten! Johan

Lezen en discussiëren is ook een kunst blijkbaar, want daar had je het namelijk niet over!

Je zei namelijk, quote: "maar de producten op dit systeem zijn niet altijd even goed afgestemd op de wensen van de klant", end quote.

Waardoor terecht kan worden geconcludeerd dat jij je werk blijkbaar niet goed doet.

In plaats van een antwoord begin je gewoon een nieuw onderwerp over "wanneer een klant het niet wil."

Als je een serieuze discussie wilt voeren, laat dan alsjeblieft hiaten achterwege.

Als een klant, wel al dan niet tegen beter weten in, iets gewoon niet wil, komt het er gewoon niet, doodsimpel.
Zeker wanneer meneer de 'specialist' geen weet heeft van andere systemen die hij niet goed af kan stemmen op de wensen van de klant.
25-04-2002, 13:38 door Anoniem
Klopt, het is een kunst, want volgens mij begon jij over iets heel anders terwijl het over de te makkelijke kritiek op Microsoft ging.

En als je wil dat mensen jou punt goed begrijpen moet je het duidelijk omschrijven in plaats van met een simplex zinnetje te komen waar niemand iets mee kan.

Maar het maakt mij niet zoveel uit hoor. JIJ verschuift alleen maar het onderwerp van de discussie waar ik nu verder mee stop (laatste posting van mij binnen dit onderwerp).

Even nog over jou onderwerp:
De systemen op verschillende unix-systemen zijn niet zo klantvriendelijk (LEES NOU EENS: De klant ZONDER specifieke kennis maar met bijv. een paar mensen met een MCSE-certificaat).
Er zijn namelijk MEER producten gebaseerd op Microsoft-systemen met een handige (voor de klant te begrijpen) interface.

Voor Unix komt dit heus nog wel, verschillende bedrijven zijn druk aan het ontwikkelen, we krijgen hier ook steeds meer keuzes, maar de klant wil graag de meest simpele.

Als een klant een security-oplossing niet wil en we het daarna afschieten krijg je het meestal 2 dagen later via één of andere hoge manager terug met de mededeling dat het toch ZO moet.
Het is DAN geen kwestie van "het komt er gewoon niet", als je daar bij blijft heb je namelijk een groot probleem.
Misschien is het bij jou bedrijf niet zo, maar bij mijn 2 laatste bedrijven was het zeker wel zo, dan kan je beter aanpassingen gaan maken om het toch zo veilig mogelijk te doen met voor de klant makkelijk beheer. En dat is dan toch een kunst.

Het is dan gewoon een kwestie van goed beveiligen door andere maatregelen, dat betekent niet dat je alleen maar Unix in je omgeving plaatst.

Als je het daar niet eens mee bent, moet je niet nogmaals met een loze opmerking komen over dat ik mijn werk niet goed doe.

En zoals ik eerder aangaf, pak het niet op als een aanval op Unix, maar blijkbaar was dit voor jou niet duidelijk genoeg.

Los Ballos! Johan
25-04-2002, 15:20 door Anoniem
Als een klant een security-oplossing niet wil en we het daarna afschieten krijg je het meestal 2 dagen later via één of andere hoge manager terug met de mededeling dat het toch ZO moet.

1) Als een klant de oplossing die wij (na rijp beraad en hoop audit) hebben aangedragen afwijst, is dat gewoon einde verhaal. We zijn niet voor ~jan lul~ bezig..

2) Als het zo is dat de IT-ers een voorstel (zie hierboven) afschieten, en de directie komt later toch uitleggen dat het anders moet, dan zijn ze een beetje doof (zie punt 1), en adviseren wij de interne communicatie te verbeteren (en prettige dag nog)

De systemen op verschillende unix-systemen zijn niet zo klantvriendelijk (LEES NOU EENS: De klant ZONDER specifieke kennis maar met bijv. een paar mensen met een MCSE-certificaat).
Er zijn namelijk MEER producten gebaseerd op Microsoft-systemen met een handige (voor de klant te begrijpen) interface

3) Je hebt het IMO niet over het ~systeem~, maar de interface die niet klantvriendelijk is.

4) Prachtige observatie 'ZONDER specifieke kennis maar met bijv. een paar mensen met een MCSE-certificaat'..dodelijk binnen een beetje IT-afdeling..

5) Microsoft Interfaces ? Yeah...
http://security.tsu.ru:8000/info/misc/maxsec/ch16/ch16.htm
Microsoft's security problems can be summed up in two words: user friendliness. No other platform (not even MacOS) has been designed so expressly for this purpose. Over the years, the Microsoft team has invested enormous amounts of time and research to deliver ease and enjoyment of use. For example, Microsoft even conducted research to determine from which direction light should fall on an icon. That is, it studied whether users would respond more favorably to a shadow on the right or the left of a button or other object. All developers are expected to adhere to this design convention (the shadow is always on the right, the light source is on the left.

Dat was in 1997..

MickeySoft ~pretendeert~ degelijke software te maken, waarvoor je geen grondige kennis nodig hebt van de achterliggende materie. Daar schuilt het grote gevaar, en dat blijkt ook keer op keer.

Whatever
25-04-2002, 16:24 door Anoniem
Originally posted by Unregistered
Klopt, het is een kunst, want volgens mij begon jij over iets heel anders terwijl het over de te makkelijke kritiek op Microsoft ging.

Lees dit hele forum nog eens over als je wilt, je bent klaarblijkelijk de draad van je verhaal kwijt.

Misschien dat daarna een heldere discussie plaats kan vinden waarbij je niet vervalt in hiaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.