Nederlands bedrijf ontdekt lek in OpenBSD
Eilko Bos van het Nederlandse bedrijf Le Reseau heeft een fout ontdekt in de RADIUS afhandeling van OpenBSD. Indien RADIUS wordt gebruikt voor gebruikers authenticatie (wat bij een standaard OpenBSD overigens niet het geval is), kan een kwaadwillende gebruiker inloggen zonder te beschikken over een geldige gebruikersnaam/wachtwoord. OpenBSD heeft patches ontwikkeld, deze zijn hier te vinden:
Zie ook de e-mail van Le Reseau.
updated 19:35, link naar patches toegevoegd
Reacties (30)
aah gelukkig voor Theo zit het niet in de default install, dan kan die tenminste
lekker blijven opscheppen... wat ie anders ook wat had gedaan trouwens..
lekker blijven opscheppen... wat ie anders ook wat had gedaan trouwens..
Ja.......ook BSD heeft lekjes, net als Windows en Linux, Unix etc. etc.
Dat staat natuurlijk niet standaard aan. OBSD is zo secure
mogelijk dus zo weinig mogelijk default aan. De sysadmin zet
zelf spul aan.
Het is de meest secure Dist die er bestaat, het BSD team
audit iedere regel code.
Ik ben benieuwd waarom dit specifiek een OBSD probleem is en
waarom het niet voorkomt in bv. FBSD.
Theo for Pope!
mogelijk dus zo weinig mogelijk default aan. De sysadmin zet
zelf spul aan.
Het is de meest secure Dist die er bestaat, het BSD team
audit iedere regel code.
Ik ben benieuwd waarom dit specifiek een OBSD probleem is en
waarom het niet voorkomt in bv. FBSD.
Theo for Pope!
Door Anoniem
Ik ben benieuwd waarom dit specifiek een OBSD probleem is en
waarom het niet voorkomt in bv. FBSD.
Ik ben benieuwd waarom dit specifiek een OBSD probleem is en
waarom het niet voorkomt in bv. FBSD.
Dat staat in het mailtje van Le Resau
10-09-2004 Informed the OpenBSD crew at 21:19 CEST
11-09-2004 Received patch at 02:30 CEST
Erg netjes, slechts 5 uur en 11 minuten, daar zouden sommige11-09-2004 Received patch at 02:30 CEST
bedrijven een voorbeeld aan kunnen nemen :P
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een beetje
hacker z'n bed niet voor uit.
Die anderhalve man en een paardekop marktaandeel komt een beetje
hacker z'n bed niet voor uit.
Dat hier nog niemand eerder over is gevallen geeft te denken. Mooi werk
Eilko!
Eilko!
Door Anoniem
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Obviously YOU do care.....
Ik ook trouwens, anders keek ik hier niet...
Door Anoniem
bedrijven een voorbeeld aan kunnen nemen :P
10-09-2004 Informed the OpenBSD crew at 21:19 CEST
11-09-2004 Received patch at 02:30 CEST
Erg netjes, slechts 5 uur en 11 minuten, daar zouden sommige11-09-2004 Received patch at 02:30 CEST
bedrijven een voorbeeld aan kunnen nemen :P
Heeftie gewoon mazzel gehad met het tijdverschil denk ik het
was ochtend daar terwijl hij naar zijn bedje ging en iemand
heeft dus meteen actie ondernomen, als eerste Todo ding in
de ochtend, waarschijnlijk onder het genot van een kop
koffie... :P
Door Anoniem
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
deze had je beter hier kunnen posten:
http://www.security.nl/forum/i/37687/
quote:
--------------------------------------------------------------------------------
Door Anoniem
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
--------------------------------------------------------------------------------
deze had je beter hier kunnen posten:
http://www.security.nl/forum/i/37687/
Ja bedankt daar hat ik echt behoefte aan !!
--------------------------------------------------------------------------------
Door Anoniem
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
--------------------------------------------------------------------------------
deze had je beter hier kunnen posten:
http://www.security.nl/forum/i/37687/
Ja bedankt daar hat ik echt behoefte aan !!
Door Anoniem
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Ik denk dat dit juist de interessante servers zijn. OmdatWho cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
hier leuke dingen op staan. Een webserver kraken om een site
te defacen is natuurlijk geen uitdaging, en je schiet er
niets mee op.
Door Anoniem
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Ga jij lekker terug naar je Windowswereld! OpenBSD wordt
door mensen "in the know" beschouwd als een van de meest
secure operating systems op deze aarde. Het wordt onder meer
gebruikt binnen de NSA.
Los daarvan is OpenBSD het enige commercieel
verkrijgbare OS dat in staat zou zijn om een common criteria
EAL 5 of hoger te halen, door de gekozen ontwikkelmethode.
Dit het dan ook nog eens een open source operating system
is, maakt deze prestatie nog unieker.
Iedereen hier mag schelden op het ego van Theo, maar zijn
ego en arrogantie ten spijt weet hij wel waar hij het over
heeft.
Door Anoniem
Los daarvan is OpenBSD het enige commercieel
verkrijgbare OS dat in staat zou zijn om een common criteria
EAL 5 of hoger te halen, door de gekozen ontwikkelmethode.
Dit het dan ook nog eens een open source operating system
is, maakt deze prestatie nog unieker.
Is OpenBSD commercieel?? Ik dacht dat dat gratis verkrijgbaar was onder Los daarvan is OpenBSD het enige commercieel
verkrijgbare OS dat in staat zou zijn om een common criteria
EAL 5 of hoger te halen, door de gekozen ontwikkelmethode.
Dit het dan ook nog eens een open source operating system
is, maakt deze prestatie nog unieker.
de BSD licentie. Ik gok dat je bedoelde dat het het enige [b[niet[/b]
commerciele OS is dat aan die EAL 5 eisen voldoet.
Door Anoniem
Ga jij lekker terug naar je Windowswereld! OpenBSD wordt
door mensen "in the know" beschouwd als een van de meest
secure operating systems op deze aarde. Het wordt onder meer
gebruikt binnen de NSA.
Los daarvan is OpenBSD het enige commercieel
verkrijgbare OS dat in staat zou zijn om een common criteria
EAL 5 of hoger te halen, door de gekozen ontwikkelmethode.
Dit het dan ook nog eens een open source operating system
is, maakt deze prestatie nog unieker.
Iedereen hier mag schelden op het ego van Theo, maar zijn
ego en arrogantie ten spijt weet hij wel waar hij het over
heeft.
Door Anoniem
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Who cares!
Die anderhalve man en een paardekop marktaandeel komt een
beetje
hacker z'n bed niet voor uit.
Ga jij lekker terug naar je Windowswereld! OpenBSD wordt
door mensen "in the know" beschouwd als een van de meest
secure operating systems op deze aarde. Het wordt onder meer
gebruikt binnen de NSA.
Los daarvan is OpenBSD het enige commercieel
verkrijgbare OS dat in staat zou zijn om een common criteria
EAL 5 of hoger te halen, door de gekozen ontwikkelmethode.
Dit het dan ook nog eens een open source operating system
is, maakt deze prestatie nog unieker.
Iedereen hier mag schelden op het ego van Theo, maar zijn
ego en arrogantie ten spijt weet hij wel waar hij het over
heeft.
Vandaar dat ook de hele aarbol al zijn kritische applicaties
op dit platform heeft draaien,
zzzzzzzzzzzzzzzzzzzzzzzzzzzzzz ........
Mensen die openbsd als de meeste secure operating systeem op deze
aarde zien, trappen in de security propaganda van theo. Sowieso al heeft dit
systeem even veel security bugs als ieder ander besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
aarde zien, trappen in de security propaganda van theo. Sowieso al heeft dit
systeem even veel security bugs als ieder ander besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
Door Anoniem
Mensen die openbsd als de meeste secure operating systeem op
deze
aarde zien, trappen in de security propaganda van theo.
Sowieso al heeft dit
systeem even veel security bugs als ieder ander
besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
Mensen die openbsd als de meeste secure operating systeem op
deze
aarde zien, trappen in de security propaganda van theo.
Sowieso al heeft dit
systeem even veel security bugs als ieder ander
besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
Graag een link die wel werkt.
Door Anoniem
Ga jij lekker terug naar je Windowswereld! OpenBSD wordt
door mensen "in the know" beschouwd als een van de meest
secure operating systems op deze aarde. Het wordt onder meer
gebruikt binnen de NSA.
Ga jij lekker terug naar je Windowswereld! OpenBSD wordt
door mensen "in the know" beschouwd als een van de meest
secure operating systems op deze aarde. Het wordt onder meer
gebruikt binnen de NSA.
Nou laten we hopen dat de NSA dan geen RADIUS authenticatie
gebruikte ;-)
Die link werkt prima, hij wordt alleen verkeerd afgebroken.
Geef je het al meteen op als je ergens niet op kan klikken?
Geef je het al meteen op als je ergens niet op kan klikken?
Door Anoniem
Die link werkt prima, hij wordt alleen verkeerd afgebroken.
Geef je het al meteen op als je ergens niet op kan
klikken?
Die link werkt prima, hij wordt alleen verkeerd afgebroken.
Geef je het al meteen op als je ergens niet op kan
klikken?
Uhhhh... DUHHH!!! :D
Door Anoniem
Mensen die openbsd als de meeste secure operating systeem op
deze
aarde zien, trappen in de security propaganda van theo.
Sowieso al heeft dit
systeem even veel security bugs als ieder ander
besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
Mensen die openbsd als de meeste secure operating systeem op
deze
aarde zien, trappen in de security propaganda van theo.
Sowieso al heeft dit
systeem even veel security bugs als ieder ander
besturingsysteem.
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-
September/000918.html
Ach ja, pageexec...
Die arme jongen kan er niet mee omgaan dat zijn kindje al
eerder bedacht is door de OpenBSD mensen, dat OpenBSD eerder
een werkzame implementatie had en dat Theo een dermate groot
ego heeft dat Theo ook hardop roept dat OpenBSD eerder een
werkzame implementatie had.
Bron?
w^x zit er pas vannaf openbsd 3.3 bij.
PaX bestaat al wat jaartjes langer.
Het is eerder andersom.
Het is trouwens maar wat je werkzaam vind, aangezien het heel eenvoudig
is om het te breken.
w^x zit er pas vannaf openbsd 3.3 bij.
PaX bestaat al wat jaartjes langer.
Het is eerder andersom.
Het is trouwens maar wat je werkzaam vind, aangezien het heel eenvoudig
is om het te breken.
Door Anoniem
Het is trouwens maar wat je werkzaam vind, aangezien het
heel eenvoudig
is om het te breken.
Correctie: het is heel eenvoudig om te breken opHet is trouwens maar wat je werkzaam vind, aangezien het
heel eenvoudig
is om het te breken.
CPU-architecturen die niet native NX-pages ondersteunen.
Dit geldt dus voor Intel en consorten. Op bijvoorbeeld de
Sparc werkt dit uitstekend. Op Intel e.d. is het een
softwarematige implementatie, en daar is het inderdaad niet
echt heel interessant. Dat hebben we (ook) gezien aan de
implementatie van Microsoft in de eerste versie van VC++ 7.
Gelukkig heeft ook Intel het licht gezien...
ik had ooit ergens gelezen dat er 7 jaar lang geen lek/bug
in dit OS was gevonden?!?!, kan iemand hier meer over
vertellen :)
in dit OS was gevonden?!?!, kan iemand hier meer over
vertellen :)
Door Anoniem
Bron?
w^x zit er pas vannaf openbsd 3.3 bij.
PaX bestaat al wat jaartjes langer.
Het is eerder andersom.
Het is trouwens maar wat je werkzaam vind, aangezien het
heel eenvoudig
is om het te breken.
Face it. Het is grotendeels onafhankelijk tot stand gekomen.Bron?
w^x zit er pas vannaf openbsd 3.3 bij.
PaX bestaat al wat jaartjes langer.
Het is eerder andersom.
Het is trouwens maar wat je werkzaam vind, aangezien het
heel eenvoudig
is om het te breken.
Vandaar dat ze 2 verschillende implementaties hebben. Nadat
PaX en grsecurity ontwikkelaars/fans op de OpenBSD
mailinglist zijn beginnen lastig doen, hebben ze bij OpenBSD
inderdaad ook naar PaX gekeken en enkele features overgenomen.
Ja, PaX is superieur in zijn implementatie. Maar volgens mij
is het toch niet simpel om nu een exploit voor OpenBSD te
schrijven... Als het toch zo simpel is, bewijs mij dat het
tegendeel door een exploit te schrijven voor bv/ Xpm bugs
die recent gevonden zijn.
Door Anoniem
quote:
--------------------------------------------------------------------------------
Door Anoniem
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
--------------------------------------------------------------------------------
deze had je beter hier kunnen posten:
http://www.security.nl/forum/i/37687/
Ja bedankt daar hat ik echt behoefte aan !!
quote:
--------------------------------------------------------------------------------
Door Anoniem
Ja.......ook BSD heeft lekjes, net als Windows en Linux,
Unix etc. etc.
--------------------------------------------------------------------------------
deze had je beter hier kunnen posten:
http://www.security.nl/forum/i/37687/
Ja bedankt daar hat ik echt behoefte aan !!
dat dacht ik al, graag gedaan
Hier is een interessante benchmarktest tussen Linux
(kernel-2.6.7) FreeBSD en OpenBSD
Linux kernel 2.6.7 komt er als winnaar uit de test.
Schokkend resultaat is dat OpenBSD de grote verliezer is.
Kan bij lange na FreBSD en Linux267
niet bijbenen.
http://bulk.fefe.de/scalability/
(kernel-2.6.7) FreeBSD en OpenBSD
Linux kernel 2.6.7 komt er als winnaar uit de test.
Schokkend resultaat is dat OpenBSD de grote verliezer is.
Kan bij lange na FreBSD en Linux267
niet bijbenen.
http://bulk.fefe.de/scalability/
Door Anoniem
Hier is een interessante benchmarktest tussen Linux
(kernel-2.6.7) FreeBSD en OpenBSD
Linux kernel 2.6.7 komt er als winnaar uit de test.
Schokkend resultaat is dat OpenBSD de grote verliezer is.
Kan bij lange na FreBSD en Linux267
niet bijbenen.
http://bulk.fefe.de/scalability/
Grrr, die resultaten zijn zwaar achterhaald. Hier is een interessante benchmarktest tussen Linux
(kernel-2.6.7) FreeBSD en OpenBSD
Linux kernel 2.6.7 komt er als winnaar uit de test.
Schokkend resultaat is dat OpenBSD de grote verliezer is.
Kan bij lange na FreBSD en Linux267
niet bijbenen.
http://bulk.fefe.de/scalability/
Op die website staat letterlijk:
[Update Oct 23 2003]: Please see this update as well. The
OpenBSD project has several patches pending in -CURRENT to
speed up bottlenecks identified in these benchmarks, so the
next update will probably look much better for OpenBSD.
[Update Nov 1 2003]: To my knowledge OpenBSD still has not
integrated all the patches, so I have not redone all my
benchmarks.
Nadien zijn er dus weldegelijk updates gekomen in OpenBSD
(pas na grondig getest te zijn door de ontwikkelaars), die
de performantie/schaalbaarheid enorm verbeteren (bv. socket
test, de fork crash is gefixt, ...). Felix von Leitner heeft
gewoon nooit de moeite gedaan om zijn benchmark tests
opnieuw te doen. Vandaar dus het vertekend beeld. De
inspanning van OpenBSD worden dus niet getoond ...
Trouwens ondertussen kan OpenBSD ook voorbij cylinder 1024
booten (vanaf OpenBSD 3.5); een opmerking die gemaakt werd
door meneer Fefe.
En dan is er nog al het gezeverd over de IPv6 stack die
volgens hem niet werkt. Dat zijn beperkingen die de
veiligheid ervan verbeteren ...
Kortom resultaten die bijna een jaar oud zijn en ondertussen
volledig achterhaald zijn.
Door Anoniem
En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-September/000918.html
Het omgekeerd kan ook gezegd worden:En kennelijk weet theo niet altijd waar hij het over heeft:
http://lists.immunitysec.com/pipermail/dailydave/2004-September/000918.html
http://marc.theaimsgroup.com/?l=openbsd-misc&m=109590987226657&w=2
En zo blijven we bezig...
Tsja, die link hierboven naar de punt voor punt reactie van
Ted Unangst wilde ik net toevoegen.
Belangrijk verschil tussen PAX en W^X is pijnlijk voor de
ontwikkelaars van PAX, namelijk dat W^X, en trouwens alle
andere basistruukjes van het OpenBSD team, volledig zijn
geintegreerd en operationeel zijn. PAX is meer ongebruikte
theorie en W^X is meer praktijk en echt in gebruik.
Tegen de tijd dat PAX ooit in de Linux hoofdstroom verschijnt...
Hier, overzichtje van de stand van zaken bij OpenBSD:
http://www.openbsd.org/papers/auug04/
Ted Unangst wilde ik net toevoegen.
Belangrijk verschil tussen PAX en W^X is pijnlijk voor de
ontwikkelaars van PAX, namelijk dat W^X, en trouwens alle
andere basistruukjes van het OpenBSD team, volledig zijn
geintegreerd en operationeel zijn. PAX is meer ongebruikte
theorie en W^X is meer praktijk en echt in gebruik.
Tegen de tijd dat PAX ooit in de Linux hoofdstroom verschijnt...
Hier, overzichtje van de stand van zaken bij OpenBSD:
http://www.openbsd.org/papers/auug04/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
