форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Переполнение буфера в клиенте telnet. Подвержены в..."

Сообщение от opennews (??) on 29-Мрт-05, 09:50

Проблема была обнаружена в env_opt_add() и slc_add_reply() функциях telnet клиента. Переполнение буфера может быть задействовано при соединении с сервером злоумышленника, таким образом, что в результате этого произвольный код может быть запущен на машине клиента с правами пользователя, вызывающего telnet. Обходной путь: Не использовать telnet или не использовать telnet при соединении с подозрительными серверами. Решение: -  Обновить систему до 4-STABLE, 5-STABLE или до RELENG_5_3, RELENG_4_11, RELENG_4_10, или RELENG_4_8 датированную позже даты исправления ошибки. -  Использовать один из следующих патчей на текущей системе: -  Скачать патч и проверить PGP-подпись:         [для FreeBSD 4.x]         # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:01/telnet4.patch         # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:01/telnet4.patch.asc         [для FreeBSD 5.x]         # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:01/telnet5.patch         # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:01/telnet5.patch.asc -  Использовать следующие команды используя привелегии root'а:         # cd /usr/src         # patch < /path/to/patch -  Пересобрать world, как описано на следующей странице (http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/makeworld.html). URL: http://www.bsdportal.ru/portal.php?topic_id=4870 Новость: http://www.opennet.dev/opennews/art.shtml?num=5235

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от Nikola (??) on 29-Мрт-05, 09:50

А что, есть ещё кто пользуется telnet-ом?

Cообщить модератору | Наверх | ^

2. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от Аноним on 29-Мрт-05, 09:58

telnet-ом часто пользуются для проверки отклика с произвольного порта.

Cообщить модератору | Наверх | ^

	6. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."
	Сообщение от Nikola (??) on 29-Мрт-05, 12:41
	Но в основном локально или через ssh, а там telnet-ом хоть запроверяйся.
	Cообщить модератору | Наверх | ^

3. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от butcher (ok) on 29-Мрт-05, 10:53

Справедливости ради нужно заметить, что не только FreeBSD подвержена этой уязвимости ;) http://www.idefense.com/application/poi/display?id=221&type=vulnerabilities&flashstatus=true

Cообщить модератору | Наверх | ^

4. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от Dmitry U. Karpov on 29-Мрт-05, 12:21

А почему бы не выложить бинарники для последних Telnet-клиентов? Не у всех есть возможность пересобрать world!

Cообщить модератору | Наверх | ^

	5. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."
	Сообщение от dawnshade on 29-Мрт-05, 12:25
	> > Due to multiple telnet versions (especially in FreeBSD 4) it was > > judged that including more specific build instructions for all the > > possible combinations of telnet and build options gave to high a risk > > for errors possibly resulting in users not actually getting telnet > > rebuild correctly. > > That's right.  For 5.x, it is fairly straightforward: > >     # cd /usr/src >     # patch < /path/to/patch >     # cd /usr/src/lib/libtelnet >     # make obj && make depend && make >     # cd /usr/src/usr.bin/telnet >     # make obj && make depend && make && make install > > But 4.x has no less than four possible telnet clients that might be > installed depending upon local settings of NOCRYPT, MAKE_KERBEROS4, > MAKE_KERBEROS5, and probably others :-/
	Cообщить модератору | Наверх | ^

	8. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."
	Сообщение от Anton (??) on 29-Мрт-05, 13:11
	>А почему бы не выложить бинарники для последних Telnet-клиентов? Не у всех >есть возможность пересобрать world! читайте доки, они рулез %-) http://www.daemonology.net/freebsd-update/ Если доверяешь товарисчу 8-)
	Cообщить модератору | Наверх | ^

	9. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."
	Сообщение от dvg_lab (??) on 29-Мрт-05, 16:42
	А чет я у него заметил этого фикса...
	Cообщить модератору | Наверх | ^

	10. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."
	Сообщение от AMDmi3 on 30-Мрт-05, 00:30
	Зачем пересобирать мир ради какого-то telnet'а? cd /usr/src/usr.bin/telnet && make obj && make depend && make all && make install А то, что uname не будет показывать -p6 - так и пошел бы он нахрен...
	Cообщить модератору | Наверх | ^

7. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от Аноним on 29-Мрт-05, 12:46

потому что это не debian а фряха, с ее портами и базовой системой

Cообщить модератору | Наверх | ^

11. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от Аноним on 30-Мрт-05, 06:31

А с каких пор собственно в новостях стали публиковать SA да еще и с таким заголовком? Помне так или все или уж извините, но оставьте FReeBSD в покое...

Cообщить модератору | Наверх | ^

12. "Переполнение буфера в клиенте telnet. Подвержены все релизы ..."

Сообщение от kopic (??) on 31-Мрт-05, 16:54

А вот в 5.2.1 нету такой уязвимости почему то %((

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема