18.04.2005
Об уязвимости в реализациях TCP/IP стека многих ОС сообщает в Full-disclosure Diego Casati из Бразилии. Возможно, фраза "во многих" звучит не совсем верно, поскольку, по сообщению Диего, наличие уязвимости было проверено в локальной (интранет) сети в ОС Windows - 98SE/NT/2K/2K3/XP (с обоими сервис-паками) и Linux (проверялось ядро 2.4, однако не исключается наличие уязвимости и в 2.6). Уязвимость позволяет провести атаку, приводящую к DoS (как вариант - DDoS). Суть уязвимости заключается в том, что если послать в сторону корректно установленного TCP-соединения специально сформированный пакет с установленными флагами ACK/FIN и при этом пакет ACK будет некорректным (ack - 4byte) - произойдёт наводнение сетевого стека пакетами нулевой длины с установленным флагом ACK. Как показал сетевой анализатор, при этом соединение переходит в состояние "keep alive" и в течении 3 минут система наводняется несколькими миллионами пакетов. Это, в совю очередь приводит к исчерпанию системных ресурсов, и, как следствие, к полному зависанию системы. Как пишет сам автор, наиболее уязвимы для подобной атаки приложения и сервисы, которые зависят от QoS (quality of services), например, H323 приложения (VoIP) и поточное видео. Об уязвимости было сообщено бразильскому отделению Microsoft, однако, как пишет Диего, "они сообщили, что ничего не могут сделать". Не совсем понятно, почему автор не сообщил об уязвимости производителям и разработчикам Linux. CERT был поставлен в известность. Смое печальное в этой ситуации, что автор(ами) был выпущен рабочий (по их словам эксплоит), так что последствия этой уязвимости ещё наверняка дадут себя знать.
San АНДРЕЕВ | 18.04.2005 | 10:16 | Источник: | Комментариев: 0
Городской совет Мюнхена (Германия), решившийся на отказ от операционной системы Microsoft Windows на настольных ПК в пользу Linux, одобрил выбор Debian GNU/Linux.
Администрация города заявила, что планирует перевести 14000 десктопов под управление бесплатного Linux-дистрибутива от проекта Debian. А помогут ей в этом две немецкие консалтинговые компании: Gonicus и Softcon.
Петер Хофманн (Peter Hofmann), руководящий проектом миграции Мюнхена на Linux, который получил кодовое название LiMux, заметил, что получил огромное число запросов на участие в тендере, и это, как он считает, доказывает, что переход на Linux на настольных ПК в коммерции уже отнюдь не необычное решение.
| 18.04.2005 | 06:38 | Источник: | Комментариев: 0
Разработчики популярного дистрибутива Debian GNU/Linux выпустили очередное (пятое) обновление к последней стабильной версии своей системы -- Debian GNU/Linux 3.0r5.
Релиз нацелен исключительно на повышение стабильности системы, и в нем представлены патчи, избавляющие предыдущие ревизии Debian GNU/Linux 3.0 от найденных за последнее время уязвимостей в безопасности. Всего в 3.0r5 набралось решение проблем из 92 анонсов DSA (Debian Security Announce), относящихся к таким пакетам, как mysql, postgresql, glibc, exim, zip, mailman, php3, python2.2, perl, wu-ftpd и т.п.
Кроме того, было убрано 4 пакета: eemu, gstar и xzx в связи с лицензионными проблемами, а gg -- потому что "программа более не работает".
Полный список изменений доступен в Debian3.0r5/ChangeLog [http://http.us.debian.org/debian/dists/Debian3.0r5/ChangeLog], а само обновление для свободного скачивания -- на ftp.debian.org [ftp://ftp.debian.org/debian/dists/stable].
| 18.04.2005 | 06:36 | Источник: | Комментариев: 0
|