Ernstige onveiligheden in DHCP-software van ISC

ZDNet schrijft dat er een serieus lek zit in de DHCP-software van het Internet Software Consortium, de instelling die ook de bekende DNS-server BIND maakt. Dit rapporteert het Computer Emergency Response Team (CERT). De DHCP-server en client van het ISC worden standaard bijgesloten bij veel Linux- en BSD-varianten. Hoewel het gaat om een serieus probleem, is in de meeste bedrijfsnetwerken DHCP van buitenaf niet mogelijk en zullen de effecten van het lek waarschijnlijk beperkt blijven. ISC heeft zelf de bug gevonden en de verschillende partijen zijn inmiddels bezig met patches. Het consortium heeft geadviseerd de DHCP-service voorlopig uit te schakelen als deze niet essentieel is voor het netwerk:

"During an internal source code audit, developers from the ISC discovered several vulnerabilities… These vulnerabilities are stack-based buffer overflows," an advisory from CERT said. CERT has listed known vulnerable software distributions as Red Hat 8 (The current distribution of Red Hat Linux), SuSE Linux, and BSDI, with the vulnerability status of many other vendors unknown at this stage. (...) According to the advisory, Red Hat has prepared an updated package to address the issue, SuSE are "...preparing updates that will be released soon" and BSDI have made patches available. Some other vendors are still testing their distributions to determine their vulnerability status.

Lees meer

IT-banen

Reacties (33)

Cybje 19 januari 2003 00:08

Weet iemand of het om de bug gaat die op deze pagina staat? http://www.cert.org/advisories/CA-2003-01.html
Want dan zou het al gefixed zijn in versie 3.0p2 en 3.0.1rc11.

MikeN @Cybje • 19 januari 2003 00:26

Het gaat inderdaad om die bugs.

BamSlam_

@MikeN • 19 januari 2003 23:12

Waar baseer je die stelling op?

Aetje @Cybje • 19 januari 2003 01:07

Gaat dit trouwens om de DHCP Client of de DHCP server? Kan ik nergens vinden

High Quality king @Aetje • 19 januari 2003 10:26

Het gaat om de server anders zou het uitzetten van de server niet helpen (wat een advies is tot het lek gedicht is

Catweazel 19 januari 2003 01:13

Persoonlijk ben ik niet verwonderd dat de afgelopen jaren veel problemen (waaronder bugs) met betrekking tot DNS en DHCP zijn ontstaan, aangezien er nogal wat veranderd is sinds de tijd dat deze 2 protocollen 'slechts' over netwerkdraadjes hun werk deden.

DHCP (/BOOTP) over firewire bijvoorbeeld...
Uiteraard willen we allemaal het snelste van het snelste (400Mb/s netwerken over firewire bijvoorbeeld) om onze bakjes met elkaar te laten babbelen, maar het vergt een behoorlijke inspanning om compatible te blijven met alle RFC's én tegelijkertijd stabiele code in elkaar te rammelen én tegelijkertijd geen fouten te maken tijdens het in elkaar rammelen... zonder je geregeld af te vragen welke richting je ook al weer uit wilde.

Hieronder een lijstje met RFC's die van toepassing zijn op DHCP (/BOOTP) : (sommige in grotere mate dan anderen)

rfc 1497, rfc 1531, rfc 1533, rfc 1534, rfc 1541, rfc 2131, rfc 2132, rfc 2241, rfc 2322, rfc 2489, rfc rfc 2610, rfc 2855, rfc 2937, rfc 2939, rfc 3361, rfc 3397

Dus terwijl wij allemaal afgeven op de persoon die deze code in elkaar heeft gerammeld (en zelfs op Linux/Microsoft in het algemeen, pfff

) zouden we ook 'ns in de richting van hardware fabrikanten kunnen kijken en uiteraard 'ns goed in de spiegel kunnen turen (dus niet alleen bij de kapper

)

Als reactie op Mecallie

During an internal source code audit, developers from the ISC discovered several vulnerabilities

Afkomstig uit de oorspronkelijke CERT Advisory, dus er is geen sprake van dat dit aan het licht is gekómen door CERT, maar naar buiten wordt gebracht door CERT.

LiMy 18 januari 2003 23:59

kom maar op met die flame, maar zie je nou wel dat niet alleen microsoft fouten maakt met beveiligingen.

tis hard maar waar voor de linux-fan

Verwijderd @LiMy • 19 januari 2003 00:10

Zou je me kunnen vertellen waar iemand zegt dat de open source community geen fouten maakt?

Je kunt je misschien wel afvragen waarom een groot lek gevonden word door de CERT, en niet door een programmer die de code aan het doorspitten is. Als alle fouten nog door een grote instantie gevonden moeten worden is het nut van open source (controleerbaar) natuurlijk wel verdwenen...

Desalniettemin had deze fout bij MS nóg veel langer kunnen blijven bestaan voordat deze ontdekt/bekend gemaakt zou worden.

En nu de dagen gaan tellen voordat de eerste patches verschijnen, wedden dat de service hiermee wél boven die van MS staat? (niet als flame bedoelt, maar als kritiek op ms die soms wel erg lang op zich laat wachten)

MikeN @Verwijderd • 19 januari 2003 00:29

En nu de dagen gaan tellen voordat de eerste patches verschijnen, wedden dat de service hiermee wél boven die van MS staat?

De patches zijn er al

* 786562 Mike

rootlinux @MikeN • 19 januari 2003 10:24

Je kunt ze van deze pagina bij ISC downloaden http://www.isc.org/products/DHCP/dhcp-prerelease.html

Enjoy

Verwijderd @LiMy • 19 januari 2003 06:53

Sinds DMCA is het VERBODEN om lekken, bugs, gaten, fouten,... van software en hardware te publiceren. Dat is een wet om MS zo foutloos mogelijk te maken, daarom lijkt MS nu foutloos. De Open-Source publiceert eerlijk de gevonden fouten.

Zozo, dus de DMCA is speciaal voor/door MS opgesteld??

MS heeft Bush hard gesponseerd en MS mag bijna alles in usa, waarom niet een wet voor MS? De Disney-law bestaat ook, dat is de levensduur van een patent en dat wordt regelmatig verlengt om namaak Micky Mouse te voorkomen...

Verwijderd @Verwijderd • 19 januari 2003 10:18

Dat is een wet om MS zo foutloos mogelijk te maken, daarom lijkt MS nu foutloos.

Zozo, dus de DMCA is speciaal voor/door MS opgesteld??

Verder lijk je niet bekend te zijn met de MS knowledge base, maar daar staan toch echt een hoop/alle bekende bugs in van MS producten. Kortom, je post slaat nergens op!

Verwijderd @Verwijderd • 19 januari 2003 16:00

maar daar staan toch echt een hoop/alle bekende bugs in van MS producten.

Dat is geheel niet juist. Microsoft is een grote aanhanger van No Disclosure en geeft vrijwel geen info over bugs en security holes vrij voordat er een oplossing is of totdat iemand anders die info openbaar heeft gemaakt. Er zijn gevallen bekend waarbij bugs en vulnerabilities aan Microsoft zijn gemeld terwijl het bijna een jaar duurde voordat Microsoft met de info naar buiten kwam.

Johnny E @LiMy • 19 januari 2003 00:05

Volgens een recent onderzoek kwam zelfs naar voren dat de meest ernstige fouten van het afgelopen jaar van Linux afkomstig waren.

Ik gebruik daarom gewoon software van beide, kan ik in ieder geval lekker regelmatig patchen

mr._Anderson @Johnny E • 19 januari 2003 15:07

Mja, er was inderdaag een onderzoek geweest, dat is hier op tweakers.net gepost.

De onderzoeken van Linux waren echter ouder geloof ik,

de onderzoeken waren partijdig richting Windows, daarom werden de uitkomsten van dit onderzoek door velen in twijfel getrokken.

Zowel in Linux als Windows zitten fouten, maar een echt objectief goed onderzoek schijnt nog niet geweest te zijn.

Windows heeft het voordeel dat alleen MS de code heeft, en dus rustig een patch kan maken, en dan naar buiten brengen.

Bij Linux/OpenSourceSystem kan iedereen de code bekijken, maar programmeurs lopen graag met de troef weg, dus staat er een enorme druk om de patch zo snel mogelijk uit te brengen, dit ziet er beter uit als bij MS. Aan de andere kant is het inderdaad zo dat ook hackers de code eerder kunnen inzien en zo al langer bezig kunnen zijn met hacken/virus maken.

zakalwe

@Johnny E • 19 januari 2003 01:33

Juist! Een dag zonder patches is een verspilde dag!

Verwijderd @zakalwe • 19 januari 2003 13:03

Ik zie de posters alweer;

Patchen? Neuken is lekkerder!

RG @LiMy • 19 januari 2003 14:37

Als je even verder kijkt zul je zien dat Microsoft een van de grootste sponsoren van die tent is, en dat Linux er helemaal niets mee te maken heeft.

Het wordt veel gebruikt op Linuxplatforms ja, maar ik geloof niet dat je Microsoft verantwoordelijk kunt stellen voor bugs in WinAmp en KaZaA of oiets dergelijks.

Verwijderd 19 januari 2003 10:11

Overflow in stack/buffer, volgens mij komt dit woord in vriijwel elke veiligheidslek naar voren. Kan iemand mij eens uitleggen wat een overflow nu eigenlijk is en waarom het zou vaak de oorzaak is van een lek. En waarom een overflow zo moeilijk te 'vangen' lijkt te zijn.

Verwijderd @Verwijderd • 19 januari 2003 10:17

Het komt er vaak gewoon op neer dat mensen een buffertje (van bijvoorbeeld 256 bytes ofzo) alloceren onder het motto "daar past vast alles wel in".
Als er dan vervolgens een jojo is die het voor elkaar krijgt om meer data aan te leveren komt de rest van de data na die buffer en kan (!) de code die na de buffer staat overschrijven. Als deze dan uitgevoerd wordt wordt dus de nieuwe aangeleverde code uitgevoerd en deze kan dus vanalles doen.

Eigenlijk komt het dus 9 van de 10x gewoon omdat er nog steeds mensen zijn die strcpy(buffertje, bla) doen ipv strncpy(buffertje, bla,256)

perlboy @Verwijderd • 19 januari 2003 13:00

inderdaad. lijkt mij gewoon een kwestie van:

cd <sourcetree>
find . -type f | xargs grep -l strcpy

Tijger @Silent3k • 19 januari 2003 00:05

Uh ja, heb jij mischien ook de posting gelezen?

During an internal source audit..

Door het bedrijf zelf ontdekt, heeft dus niet met OSS te maken.

arjankoole

Bedrijfsnieuws

@Tijger • 20 januari 2003 07:25

Door het bedrijf zelf ontdekt, heeft dus niet met OSS te maken.

wel als het enige wat het 'bedrijf' doet OSS maken is. ISC is meer een stichting trouwens, ze maken ook BIND (DNS) en INN (usenet server).

juist omdat ISC zo verwoven is met OSS had 't makkelijk kunnen gebeuren dat het extern ontdekt was, zeker omdat heel veel bedrijven gebruik maken van de software van ISC.

Arnold @Silent3k • 19 januari 2003 04:38

Ja, maar ook "kwaadwillende" komen zo ook sneller achter fouten in de security...
en kunnen die gebruiken om bijv te hacken, of virussen te verspreiden.

het is maar hoe je het bekijkt.

gumkop 19 januari 2003 03:08

1 - RFC volgen elkaar op en meestal vervangt een RFC een andere volledig. Een programmeur moet zorgen zich zeker aan de laatste RFC te houden.

2 - ik snap niet hoe een hardware fabrikant er voor kan zorgen dat beveiligingsrisico's veroorzaakt door bugs niet zo'n impact hebben. Zelf heb ik hierover maar 1 ding op bedacht en dat is een handmatige aan/uit schakelaar voor je UTP kabel. Dan kun je je kabel 'uit schakelen' zodra er bugs over de lijn gaan ha ha ha.

Edit: dit moest een reactie op Catweasel worden.

SED 19 januari 2003 18:08

Het consortium heeft geadviseerd de DHCP-service voorlopig uit te schakelen als deze niet essentieel is voor het netwerk:

Ja, duh... klinkt dit niet een beetje erg dom?

rootlinux @SED • 19 januari 2003 18:19

Vergeet dit stukje tekst niet. Dit zet de andere tekst in het juiste perspectief

Hoewel het gaat om een serieus probleem, is in de meeste bedrijfsnetwerken DHCP van buitenaf niet mogelijk en zullen de effecten van het lek waarschijnlijk beperkt blijven.

Dus allen uitzetten als je hem publiek op het internet nodig hebt als je geen last wilt krijgen met de ondekte fout. Overigens is er al een nieuwe versie uit van de server

arjankoole

Bedrijfsnieuws

@rootlinux • 20 januari 2003 07:30

die op dit moment geinstalleerd staat op alle servers die ik onder m'n beheer heb

Verwijderd 19 januari 2003 00:43

Vergeet niet dat dit gratis software is en je voor Microsoft software veel geld moet betalen.

Ik vind het minder erg dat er in gratis software bugs zitten die zelfs vrij snel worden opgelost, dan betaalde software waar een bug pas na een maand of zelfs langer wordt opgelost.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: