The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление tcpdump 4.9.2 с устранением 92 уязвимостей

14.09.2017 08:21

После двухнедельного закрытого распространения среди разработчиков дистрибутивов открыт публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.2. Задержка открытия публичного доступа к релизу обусловлена устранением 92 уязвимостей, 2 из которых могут привести к переполнению буфера и выполнению кода злоумышленника при обработке определённого вида трафика. 4 уязвимости могут привести к зацикливанию процесса, а остальные 86 проблем связаны с возможностью чтения из областей вне границ выделенного буфера. Проблемы обнаружены в коде разбора содержимого различных форматов и протоколов.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей
  3. OpenNews: Релизы tcpdump 4.0.0 и libpcap 1.0.0
  4. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.60
  5. OpenNews: Выпуск сетевого анализатора Wireshark 2.2
  6. OpenNews: Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47196-tcpdump
Ключевые слова: tcpdump
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 08:25, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    tcpdump в плане безопасности чем-то напоминает sendmail, который тоже был написан во времена, когда о безопасности никто не думал и рассчитывали, что все обрабатываемые данные соответствуют спецификации. sendmail в 90-х словил волну уязвмостей, которая его и смыла. До аудита tcpdump видимо руки только сейчас дошли.
     
     
  • 2.2, пох (?), 08:37, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну конечно, а без вас-то, наверное, и по сей день бы не догадались

     
     
  • 3.5, YetAnotherOnanym (ok), 09:56, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вам, по-видимому, чтение этого комментария доставило дискомфорт?
     
     
  • 4.20, пох (?), 15:12, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вам, по-видимому, чтение этого комментария доставило дискомфорт?

    да, терепеть не могу читать благоглупости, написанные людьми не в теме.

     
     
  • 5.32, Аноним (-), 22:53, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > да, терепеть не могу читать благоглупости, написанные людьми не в теме.

    Почему же так любишь их писать?

     
  • 2.7, Аноним (-), 10:02, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Только эксплуатировать уязвимости tcpdump затруднительно. Это ж атакеру на просторах инета надо угадать, когда на интересующем хосте просматривают входящий трафик tcpdump'ом.
     
     
  • 3.13, Ващенаглухо (ok), 11:11, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Его запуск можно спровоцировать например
     
     
  • 4.14, qq (??), 11:41, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    аха, ну спровоцируй в ростелекоме
     
     
  • 5.28, пох (?), 22:45, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > аха, ну спровоцируй в ростелекоме

    а в чем проблема-то? (если ты не знаешь, что именно надо атаковать, чтобы у ростелекомовских чуваков возникло желание поглядеть, что это за траффик, это твои личные трудности)

     
  • 3.17, пох (?), 15:07, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это ж атакеру на просторах инета надо угадать, когда на интересующем хосте просматривают
    > входящий трафик tcpdump'ом.

    а чего гадать? Когда на этом хосте что-то не так, тогда и просматривают.
    флуд/DoS/еще чего -нибудь инициируешь, и добавляешь сверху немножечко шелл-кода ;-)

    tcpdump - изначально был придуман и написан как исследовательский инструмент, а вовсе не как средство аварийного анализа аномалий. Но, увы, многие до сих пор этого не понимают, и первым делом хватаются за любимый микроскоп.

    P.S. если что - там судя по cve, эксплойт в реальном мире получить достаточно нетривиально. slip сразу можно забыть, а по второму надо долго копаться.
    Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно прикольная идея.

     
     
  • 4.27, Аноним (-), 22:42, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно прикольная идея.

    Атакующие уже давно усвоили что можно устраивать самые веселые атаки. Поставили прозрачный проксь? Спасибо, хорошая штука, скорее всего умеет в интранете шариться. Можно покомандовать. Снаружи. Не совсем очевидно. Крутой DPI? Удобная штука, если его удастся накормить чем-нибудь полезным. Можно работу сорвать или апдейты перекрыть.

     
     
  • 5.30, пох (?), 22:51, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Но вот вывалить любопытному админу его любимый микроскоп в крэш - уже довольно
    > Атакующие уже давно усвоили что можно устраивать самые веселые атаки. Поставили
    > прозрачный проксь?

    там из этого списка в сто штук, только две сложноиспользуемые позволят, в теории, выйти на "прозначный проксь". остальное просто свалит сам tcpdump, без последствий для обладателя.
    Что само по себе, конечно, забавно (потому что можно 90 раз разным способом - он типа нашел вроде, какой пакет отфильтровать из дампа, хренак - а оно в новом месте навернулось, и так 90 раз ;) но пользы человечеству от этого, к сожалению, никакой.

     
  • 2.16, Алексей (??), 12:10, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У вас странное понимание слова безопасность!!

    Как много вы знаете домохозяек которые используют в повседневной работе tcpdump????

     
     
  • 3.22, www2 (ok), 18:24, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Домохозяйки в безопасности? Фух...
     
     
  • 4.35, Аноним (-), 22:59, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Домохозяйки в безопасности? Фух...

    Обычно после того как поимели админа - достается и домохозяйкам.

     
  • 2.34, Аноним (-), 22:58, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > tcpdump в плане безопасности чем-то напоминает sendmail,

    Все проще, там полно кода анализа протоколов, кода много и он довольно сложный - протоколы наворачивают в меру своей испорченности. Из-за больших объемов не самого простого кода там достаточно вероятны баги.

    А тут судя по уязвимостям стопочкой кто-то все это поfuzz'ил крупным оптом и собрал сразу 92 джекпота. Вообще правильно сделанный fuzzing штука крайне полезная, хорошо проверяет как програмеры справились с валидацией входных данных.

     
  • 2.40, лютый жабист__ (?), 11:20, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >tcpdump в плане безопасности чем-то напоминает sendmail

    Единственный приличный коммент и конечно в глубоком минусе, всё так по-опеннетовски.

    На чём, кстати, написан tcpdump? :)))))))))))))))

     
     
  • 3.42, Анонимный Аналитек (?), 16:08, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > На чём, кстати, написан tcpdump? :)))))))))))))))

    На чем, говоришь, крутились у эпикфакса 140 миллионов стыренных данных?

     
  • 2.43, Michael Shigorin (ok), 19:05, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > tcpdump в плане безопасности чем-то напоминает sendmail

    Мне скорее wireshark...

     

  • 1.3, пох (?), 08:42, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    и да, кто там еще не верил в существование сговора "разработчиков" дистрибутивов с авторами софта, требовал с меня пруфов и топал ногами "вывсеврети"?

    (не то чтобы в случае tcpdump'а от этого кому-то стало хуже, кроме бестолкового анонима, видимо, впервые слышащего, что tcpdump - насквозь гнилая поделка, лечению не поддающаяся)

     
     
  • 2.24, RomanCh (ok), 20:23, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я конечно всё понимаю, наболело, накипело, кругом п****сы а я дартаньян и т.п. Но хоть альтернативу-то предложите? Мне правда интересно. Видел пару поделий (консольных, разумеется), но не готов утверждать что они а) удобней; б) безопасней.
     
     
  • 3.25, пох (?), 21:22, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не понял, альтернативу чему? Корпоративному сговору? Ну вон arch пользуйте - они, как видите, побежали впереди паровоза, и, ненароком, спалили всю шоблу.

    альтернатива tcpdump'у - wireshark. В котором тоже регулярно случается remote exec.

     
     
  • 4.33, Аноним (-), 22:57, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > альтернатива tcpdump'у - wireshark.

    tshark только

     
  • 4.36, RomanCh (ok), 23:11, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > альтернатива tcpdump'у - wireshark. В котором тоже регулярно случается remote exec.

    Ну т.е. альтернативы нет. К тому же речь шла именно про консоль, хотя вот ниже подсказывают tshark. Сам гуёвый wireshark я конечно тыкал и не раз. Честно говоря нахожу совершенно неудобным, за рядом исключительных случаев. А tshark ща даже посмотрю, может чего интересного.

    Но коли "регулярно случается remote exec" то это прямо скажем - не альтернатива. Мораль - какой смысл тогда пену пускать? Что делать несчастному админу когда какая-то невидаль с сетевым приложением происходит?

     
     
  • 5.37, пох (?), 01:31, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что делать несчастному админу когда какая-то невидаль с сетевым приложением происходит?

    ну вот просто помнить, что мало того что программы ненадежны, так еще и есть корпоративный сговор, соответственно, некоторые "zero day" уязвимости на самом деле известны или могут стать известны неопределенному кругу лиц за несколько недель до публикации.

    В конце-концов, далеко не любая "невидаль" с сетевым приложением происходит с внешним траффиком.

    Ну и не лениться сайт проверять - а то вон, редхат по сей день не разродилась, в freebsd что 11S, что 11.1 - 4.9.0, а уязвимость уже и вовсе public, спасибо пока готовых эксплойтов не видно.

     
     
  • 6.41, RomanCh (ok), 15:03, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ну вот просто помнить, что мало того что программы ненадежны, так еще и есть корпоративный сговор, соответственно, некоторые "zero day"

    Ну вот помнит это несчастный админ, и что дальше? Каждый раз локтём креститься должен перед запуском, или что? Перенаправлять гигабиты трафика на физически изолированный хост (а если такой возможности нет, особо когда надо решать проблему "быстро, вот прям ща")? Что-то третье?

    > В конце-концов, далеко не любая "невидаль" с сетевым приложением происходит с внешним траффиком.

    Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть в трафик.

    > Ну и не лениться сайт проверять

    Это всё прекрасно, если: а) есть на это время; б) не слишком большой зоопарк софта.

    Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не даст решительно ничего. Ведь уязвимость хоть и известна, но не опубликована.

     
     
  • 7.44, пох (?), 20:27, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну вот помнит это несчастный админ, и что дальше?

    дальше - не хвататься за свой любимый микроскоп каждый раз, как что-то кажется ему странным.
    Я вот за последние три года помню буквально два случая, когда tcpdump мне понадобился. Причем не в смысле решил какую-то проблему, а мне было интересно посмотреть, что за хрень такая.

    В обычных же случаях вполне достаточно netstat, правил файрвола и аккуратности.

    > Безусловно, но я сейчас говорю именно о ситуациях когда действительно полезно посмотреть
    > в трафик.

    еще раз - "полезно" не означает, что траффик непременно внешний и с подозрением на кульхакеров. В таких случаях действительно лучше перестраховаться и надеть два презерватива, а от секаса воздержаться. А от tcpdump обычно больше толку, когда распутываешь внутреннюю логику софта, и оба конца под твоим контролем.

    > Но главное, ведь руководствуясь вашей же логикой про "сговор" - во многих случаях это не
    > даст решительно ничего.

    ну вот в этот раз - дало бы, поскольку новая версия лежала где надо - просто без шума, пыли и анонсов.

     
     
  • 8.45, RomanCh (ok), 21:51, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это говорит только о специфике конкретно вашей работы На моей нынешней например... текст свёрнут, показать
     
     
  • 9.46, пох (?), 15:17, 17/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я, видимо, в каком-то неправильном провайдинге работал - ни ping, ни tcpdump не ... текст свёрнут, показать
     

  • 1.4, anomymous (?), 08:50, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А я правильно понимаю, что это проявляется только если заказать разбор протокола? При банальном hex-дампе или сливе дампа в файл не актуально?
     
     
  • 2.6, YetAnotherOnanym (ok), 09:57, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А я правильно понимаю, что это проявляется только если заказать разбор протокола?
    > При банальном hex-дампе или сливе дампа в файл не актуально?

    Так ведь с этим дампом потом тоже что-то придётся делать.

     
     
  • 3.9, Аноним (-), 10:06, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Например, просматривать сторонним HEX-вьюером.
     
  • 3.10, Аноним (-), 10:43, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> А я правильно понимаю, что это проявляется только если заказать разбор протокола?
    >> При банальном hex-дампе или сливе дампа в файл не актуально?
    > Так ведь с этим дампом потом тоже что-то придётся делать.

    Физически отключить машинку от сети, надеть защитные очки, вставить беруши, включить просмотр трафика из файла с задержкой в 50 секунд, нажать <ENTER> и успеть отбежать ;)

     
     
  • 4.11, Аноним (-), 10:47, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Презерватив забыли надеть.
     
     
  • 5.15, qq (??), 11:46, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Презерватив забыли надеть.

    а еще подгузники, шапку и шарф, ну и сапоги резиновые, вдруг подгузники не помогут

     
  • 5.19, пох (?), 15:11, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Презерватив забыли надеть.

    где вы умудряетесь брать такие размеры, что налазят на голову?

     
     
  • 6.29, Аноним (-), 22:49, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Они растягиваются, чувак!
     
  • 3.12, Аноним (-), 10:51, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Но уже не рутом?
     
     
  • 4.18, пох (?), 15:10, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но уже не рутом?

    ну и поимеют твоего пользователя - а рута ты им сам сдашь через некоторое время, позвав su или sudo и напоровшись на свежеположенный в ~/bin/
    Только зачем - что именно ценного на твоей личной машине (где ты, вероятно, и будешь просматривать файл с дампом, раз слил его в файл) - НЕ принадлежит твоему пользователю?

    идея всегда запускать tcpdump от nobody - в принципе, неплохая, но неудобная до жути.

     
     
  • 5.21, _ (??), 17:48, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё вф врёти!
    Фсе дефчёнки знают что даже если и собирают траффик tcpdump-ом, то смотрят всё равно wireshark-ом  8-)
     
     
  • 6.26, пох (?), 21:24, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Всё вф врёти!
    > Фсе дефчёнки знают что даже если и собирают траффик tcpdump-ом, то смотрят
    > всё равно wireshark-ом  8-)

    как будто в нем code exec редкость... по-моему, всего лишь в мае что-то пробегало, в очередной раз.

     
     
  • 7.38, . (?), 02:15, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >как будто в нем code exec редкость...

    man сарказм
    :)

     

  • 1.23, Аноним (-), 18:39, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно, насколько Capsicum помог с этими дырами.
     
  • 1.39, лютый жабист__ (?), 08:36, 15/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    tcpdump на rust ещё не написали?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру