The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в реализации IPv6 протокола FreeBSD

02.10.2008 10:14

"IPv6 Neighbor Discovery Protocol routing vulnerability " - уязвимость в реализации IPv6 протокола FreeBSD. Злоумышленник из близлежащей сети может использовать протокол Neighbor Discovery Protocol для создания или изменения записи в кэше соседних IPv6 сетей (neighbor cache) на FreeBSD шлюзе. Проблема присутствует во всех поддерживаемых версиях FreeBSD - 6.3 и 7.0. В качестве временного решения можно блокировать пакетным фильтром NDP (ICMPv6 type 135) сообщения из внешних сетей.

  1. Главная ссылка к новости (http://security.freebsd.org/ad...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/18215-ipv6
Ключевые слова: ipv6, freebsd
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, f00fc7c8 (?), 12:06, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не актуально
     
     
  • 2.3, xxx (??), 14:56, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >не актуально

    Кому-то может и нет. А вообще интересно сколько ещё дыр в реализации IPv6 найдут, не говоря уже о проблемах самого протокола?

     
     
  • 3.5, User294 (ok), 15:58, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А тут на самом деле все просто. Хороший протокол должен быть прост как топор, изящен и с понятной, четко определенной логикой.Тогда там будет нечего ломать.

    TCP этому не соответствует. Дурь с фрагментацией, MSS, и вагоном прочей мутотени кардинально усложняют протокол. К тому же делался он во времена когда хакеры, вирусы и трояны были мифом. Да и половина других протоколов (ну вон хоть тот же DNS) отнюдь не сделаны с допущением что их будут долго и качественно пытаться сломать.Посему у того же DNS есть (неустранимые в рамках стандартного варианта протокола) дыры.

    IPv6 с одной стороны сделали проще местами.Но только местами.С другой стороны наворотили для удобства юзеров.Это и удобства для хакеров заодно, потому что вопросами "а что будет если нехороший парень пошлет такие-то пакеты вон туда?" никто судя по всему не заботился.Заодно надо было под шумок перепахать TCP, устранив его некоторые фирменные грабли, как раз возможность есть.Но почему-то его предпочли оставить как есть.А зря.ИМХО еще не раз будут такие новости...

     
     
  • 4.6, Дмитрий Ю. Карпов (?), 16:03, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > TCP этому не соответствует. Дурь с фрагментацией, MSS, и вагоном прочей мутотени кардинально усложняют протокол.

    Интересно, а как быть, если фрагментация изначально существует в IP, и вызвана она разным MTU? И вообще, попробуй сделать свой протокол с аналогичной (или лучшей) эффективностью работы в реальных сетях со всеми их проблемами!

    Конечно, в TCP многое следовало бы сделать иначе (наприменр, ввести функции авторизации и компрессии прямо на уровне протокола); но "иначе" != "проще" !!!

     
     
  • 5.8, User294 (??), 18:48, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Просто при разработке нового протокола сделать так чтобы не существовала Замочи... большой текст свёрнут, показать
     
  • 4.7, xxx (??), 17:04, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А тут на самом деле все просто. Хороший протокол должен быть прост
    >как топор, изящен и с понятной, четко определенной логикой.Тогда там будет
    >нечего ломать.

    Это конечно хорошо, но с такими критериями сложно реализовать что-то =)

    Вообще, для меня тема протоколов в ближайшие месяцы станет очень актуальной. Т.к. необходимо реализовать свой протокол и хотелось бы избежать граблей. Естественно сложность моей "поделки" и TCP/IP несравнима, но и знаний (опыта) у меня гораздо меньше. Поэтому взгляд пал на средство верификации SPIN и книжку "Design and validation of computer protocols". Интересно какие ещё есть средства разработки и верификации протоколов?

    Было дело реализовывал простенький протокол для обмена данными с устройством, так и то чуть мозг не сломал, рисуя диаграмки и отслеживая возможные состояния. Как можно проанализировать все возможные "затыки" в протоколах уровня TCP даже представить не могу.


     
     
  • 5.9, User294 (??), 19:11, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Работающая голова на плечах, учитывающая реалии в которых будет работать протоко... большой текст свёрнут, показать
     
     
  • 6.10, uldus (ok), 21:22, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мне сегодняшнее состояние TCP/IP напоминает ситуацию с преодолением сверхзвукового барьера, когда, до этого хорошо зарекомендовавший себя самолет, пытались адаптировать для полета на сверхзвуковых скоростях... Только разваливался он постоянно, пока принципиально новые технологии не реализовали, хотя наверное уместней был бы пример с поездами на магнитной подушке - сколько ни старайся, а 300 км в час по ЖД-полотну не выжмешь.  TCP/IP сейчас тоже по швам трещит, 40 лет назад как-никак совсем все было по другому, то что сейчас через очередной хак под именем IPv6 пытаются на лишний десяток лет оттянуть агонию - проблемы не решает, а лишь усугубляет запущенность положения.
     
     
  • 7.11, aeder (ok), 15:29, 04/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз на скорости 300 км/ч и ходит TVG.
    Разумеется, по специальному полотну - но все-таки по рельсам.
     

  • 1.2, Аноним (2), 13:27, 02/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зато вот это - весьма актуально
    http://uinc.ru/news/sn10817.html
     
     
  • 2.4, User294 (ok), 15:46, 02/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Зато вот это - весьма актуально
    >http://uinc.ru/news/sn10817.html

    Что же будет когда хаксоры посмотрят на жаббер... :)))

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру