Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Bron: Core Security, submitter: webfreakz.nl

Core Security Technologies heeft een fout ontdekt in het besturingssysteem OpenBSD, waardoor aanvallers van op afstand controle over het systeem kunnen krijgen. Het gaat hierbij om het tweede remote exploitable lek in de geschiedenis van de software.

Het probleem in het opensource besturingssysteem bevindt zich in de afhandeling van IPv6-netwerkcommunicatie en wordt veroorzaakt door een buffer overflow. De fout werd voor het eerst opgemerkt op 20 februari, maar pas op 5 maart kwam men erachter dat de fout gebruikt kon worden voor het uitvoeren van kwaadaardige code. Amper twee dagen later werd al een patch voor het probleem gepubliceerd. Als alternatief voor de patch kunnen gebruikers ook IPv6-communicatiepakketten blokkeren met behulp van de Openness-firewall. Gebruikers en beheerders van systemen met een OpenBSD-installatie met de versienummers 3.1, 3.6, 3.8, 3.9, 4.0 of 4.1 die dateren van voor 26 februari, worden dan ook dringend geadviseerd hun systeem zo snel mogelijk te patchen.

OpenBSD 3.8 Puffy met CD
Moderatie-faq Wijzig weergave

Reacties (74)

Ik vind dat dit best wel gevierd mag worden eigenlijk.

Want aan de ene kant, 'he verdikkie een bug' maar aan de andere kant wijst het er wel op hoe vreselijk veilig dit OS is, met 2 remote exploits in 10 jaar tijd, dat doet geen enkel ander OS ze na.
Het gaat om '2 remote exploits in the default install'. Laat die default install bij OpenBSD nou wel ontzettend karig zijn..
In de default install is ipv6 nog steeds een optie hoor. Het is echter wel een onderdeel van het systeem.
Laat die default install bij OpenBSD nou wel ontzettend karig zijn..
Dat is een vaak gehoord argument. De OpenBSD packages bevatten wel vaker bugs, al past men een hoop packages zoals Apache wel aan dmv. audits, waardoor Apache voor OpenBSD doorgaans een stuk veiliger is dan Apache voor Linux.
Echter, NetBSD of Gentoo zijn na installatie veel kaler. Persoonlijk vond ik het erg bijzonder dat OpenBSD standaard een geconfigureerde sendmail had, en er zit een hoop meer op dan op een standaard NetBSD installatie voor zover ik me herinner.
Het hangt dus van je referentiekader af.
Niets zo erg als je marketing timertje te moeten resetten.

OpenBDS, secure since 2 weeks.
Inderdaad! Hulde :Y) ! Wist dat (Open)BSD zeer veilig was mar dat het zo erg was gestelt :D!
Alweer!
Het is ook iedere vijf jaar hetzelfde!
Ongelooflijk!
Toch maar overstappen op Vista :+
Gelukkig hoeven we niet te wachten op Patch-Leap-Year
:-)

Tja en microsoft loopt maar te zeuren hoe veilig hun software wel niet is. Het blijkt maar weer dat er toch echt een betrouwbaar maar vooral veel veiliger alternatief is.
Het is maar net wat jouw definitie van "alternatief" is natuurlijk. :)

(nee, dit is geen flamebait richting OpenBSD, ik gebruik het zelf namelijk ook)
ik bestond volens mij toen nog niet eens
Dit bericht is mosterd na de maaltijd. Patch is er al inclusief een alternatief voor de patch.

Maar toch handig om te weten voor de OpenBSD gebruikers :)
De patch is niet het nieuws. Het nieuws is dat OpenBSD blijkbaar zo secure is dat er slechts 2 remote exploits voor hebben bestaan in de afgelopen 10 jaar.
Misschien had de oorspronkelijke poster het gloednieuwe ironie-mark moeten gebruiken?
De patch is niet het nieuws. Het nieuws is dat OpenBSD blijkbaar zo secure is dat er slechts 2 remote exploits voor hebben bestaan in de afgelopen 10 jaar.

2 remote exploits zijn ontdekt eerder. Maar er zullen er idd wel minder inzitten dan in de gemiddelde Windows, OSX of Linux...
Een exploit is het geschreven programmaatje dat de fout exploiteert. Dit is dus wel de tweede remote exploit.

Je kunt niet spreken over een 'remote exploit in het OS'.
OpenBSD wordt best vaak gebruikt op internet web en/of applicatieservers omdat ze zelden gepatched hoeven worden. Dikke kans dus dat je nog heel wat webservertjes hiermee kan blijven kraken in de komende tijd.
Ach tja, aan de andere kant denk ik dat veel van die oudere servertjes die niet goed bijgehouden worden ook nog niet eens IPv6 support hebben. Verder moet men geloof ik ook fysieke toegang tot het lokale netwerk hebben om aan te vallen.
Als het goed is zijn belangrijke OpenBSD-servers ook uitgerust met secure-levels, die zelfs als je met root inlogt, nog ervoor zorgt dat je niet zomaar permissies hebt om alles te doen.
Desalniettemin zullen er zeker een paar niet goed onderhouden servertjes gekraakt worden.
Jaa windows gebruikers worden wat dat betreft een stuk beter verwend... elke maans is het weer raak.
Leuk bedoeld, maar het lijkt met stug dat er zo veel windows remote exploits zijn als jij doet vermoeden.

Ik ben eigenlijk wel erg benieuwd naar de hoeveel remote exploits van windows XP. Op een standaard installatie, dus niet via allerlei third-party installs.
Kijk jij dan maar eens hoeveel "highly critical security fixes" Microsoft ongeveer elke maand uitbrengt voor Windows XP.
"highly critical security fixes"
Niet alle highly criticals zijn remote exploit-lekken. Maar als je kijkt op http://secunia.org zie je dat er toch zo'n 37 remote exploit-waarschuwingen voor Microsoft zijn sinds 2002...
Daarom noemen ze het natuurlijk ook OpenBSD.
Je hebt vijf jaar moeten wachten voor je die grap kon maken, of niet? ;)
als je geen ipv6 gebruikt is 't toevoegen van

block in quick inet6 all

aan /etc/pf.conf een makkelijkere weg, vooral omdat 4.1 nog niet uit is. upgraden doe ik wel in mei, als-ie uitkomt.
Dan nog, het is alleen een probleem als je ipv6 openbsd bak direct aan internet hangt. De exploit werkt alleen maar als je op hetzelfde subnet zit.
En voor de noobs: daarna moet je deze natuurlijk wel reloaden met 'pfctl -f /etc/pf.conf'
De fout werd voor het eerst opgemerkt op 20 februari, maar pas op 5 maart kwam men erachter dat de fout gebruikt kon worden voor het uitvoeren van kwaadaardige code. Amper twee dagen later werd al een patch voor het probleem gepubliceerd.
Toch jammer dat ze het lek niet gelijk na 20 februari hebben gedicht. :(
MS is blijkbaar niet de enige die lekker soms te laag inschat.
Lek werd in eerste instantie niet als een zo groot gevaar ingeschat, het leek er alleen op dat er vanaf layer-2 networks een kernel panic kon worden veroorzaakt.

Later (5 maart) werd pas duidelijk dat er ook remote code kon worden uitgevoerd, daarna was er een fix na 2 dagen (7 maart).
Lek werd in eerste instantie niet als een zo groot gevaar ingeschat, het leek er alleen op dat er vanaf layer-2 networks een kernel panic kon worden veroorzaakt.
Dat lijkt me gevaarlijk genoeg om er direct iets aan te doen. Of komt het zo vaak voor dat er remote kernel panics veroorzaakt kunnen worden in OpenBSD?
Het heeft volgens mij te maken met prioriteiten. Als er een bug gemeld wordt en ze zijn er op dat moment nog niet achter dat het mogelijk is om daarmee kwaadaardige code uit te voeren, dan wordt er gewoon gezegd "dat fixen we later wel". Pas op het moment dat ze erachter kwamen dat er kwaadaardige code mee kon worden uitgevoerd kon worden hebben ze het waarschijnlijk bestempeld als "critical" waarna het zo snel mogelijk werd gefixt. Maar dat er kwaadaardige code mee kan worden uitgevoerd is van te voren vrij lastig in te zien, volgens mij.
Toch vind ik deze vergelijking te makkelijk:

OpenBSD: 2e remote exploit in 10 jaar.
Windows: lost count.

Het aantal gebruikers en dus potentiele vinders van een "exploit" staat niet in verhouding.

Ik ga niet ontkennen dat OpenBSD een stuk veiliger is dan Windows. (gebruik zelf FreeBSD)
MAAR, "gevonden exploits" 1:1 vergelijken is ook niet helemaal eerlijk. 99 van de 100 "hackers" (of hoe de mensen die exploits zoeken ook heten, wil geen discussie hier) richt zijn pijlen toch op Windows.

De pijn wat betreft "exploits" komt bij WIndows dan ook van 2 kanten.... de software IS inderdaad minder veilig...maar is ook het meest gebruikt en daardoor een groter doelwit. (veel groter doelwit kan je wel zeggen)
Je punt (dat het niet te vergelijken is) is correct, maar de argumenten zijn te kort door de bocht.

Bij Windows zijn het inderdaad enorm veel '3de partij crackers' (slechte hackers, om disc. te vermijden) die op zoek zijn naar bugs.
Bij OpenBSD zijn het echter vooral de ontwikkelaars zelf die blijvend op zoek zijn naar bugs in hun eigen software, om de kwaliteit van de software en dus de veiligheid te verbeteren. Dit is iets wat bij bijvoorbeeld Microsoft (voor zover bekend) of Linux niet gebeurd; omdat de ontwikkelaars daar het veel te druk hebben om nieuwe features toe te voegen. Dat laatste, daar geven de OpenBSD ontwikkelaars vrij weinig om (Goed voorbeeld: OpenBSD ondersteund geen WPA 1 omdat men het protocol te 'slecht' en complex, en dientengevolgen onveilig vind, en hetzelfde geld geloof ik voor het SMB protocol). Men heeft dus andere prioriteiten.

Bij OpenBSD struinen de 60 core-developers doorgaand door programmacode om 'unsigned int' om te zetten in 'signed int', iets wat veel bufferoverflows voorkomt. Bij de meeste andere besturingssystemen wordt dit pas gefixt nadat bekend is dat er een exploit is.

Stel dat dat die 3de partij crackers de code van de software van Windows zouden hebben, dan zou het veel gemakkelijker worden om exploits te maken, en zou de hel pas echt los breken.

Een bug in OpenBSD vinden is echter veel prestigieuzer dan een bug in Windows vinden. Doe je het voor de eer, dan is OpenBSD dus een veel en veel interessanter doelwit dan Windows. Doe je het voor het geld (creditcardnumers), dan is OpenBSD inderdaad volstrekt oninteressant.
99 van de 100 "hackers" (of hoe de mensen die exploits zoeken ook heten, wil geen discussie hier) richt zijn pijlen toch op Windows.
Ja, maar het kost ook 100 x zo veel hacking tijd om een bug te vinden als je de source code niet hebt.
99 van de 100 "hackers" (of hoe de mensen die exploits zoeken ook heten, wil geen discussie hier)
Onzin genoeg hackers zijn bezig met Linux/BSD varianten, enerzijds omdat de broncode beschikbaar is, wat zoeken makkelijker maakt, anderzijds omdat veel servers Linux/BSD draaien en servers hacken is toch interessanter dan desktops hacken...
I
Tja, zat blijkbaar fout. Wist ik niet, weer iets nieuws geleerd. Openbsd is veilig omdat er slechts 2 fouten zijn gevonden in 10 jaar.
Geef a.u.b. ff aan hoe je aan deze berekening komt. Ik neem aan dat je hier genoeg onderzoek naar hebt gedaan alvorens deze info naar buiten te brengen
Hoewel Darx mischien een beetje in het rond strooit met getallen. Lijkt het mij wel overduidelijk dat het Windows platform vele malen intresanter is voor hackers dan OpenBSD.

Dat neemt uiteraard niet weg dat OpenBSD echter wel vrij veilig is.

En niet te vergeten dat Windows Vista is geschreven uit ong. 56 miljoen regels code. Enorm veel om natuurlijk lek-vrij te krijgen. OpenBSD bestaat uit 800k* regels. Eigenlijk kun je het dus niet met elkaar vergelijken.

Een fiets is immers makkelijker te repareren maken dan een verbrandings motor.

*Bedankt CTvirus. :)
Het aantal regels zegt vrij weinig, dat MS ervoor kiest om alles in de core te gooien en zodoende een onveilige architectuur ontwikkeld zegt genoeg over de kwaliteit waarmee MS werkt. FreeBSD & Varianten kiezen ervoor om 1 core te bouwen en daar haakt de rest los ervan op in, dit is veel veiliger wat dan ook wel duidelijk mag zijn uit dit nieuwsbericht.
Tevens de vergelijking fiets/verbrandings motor gaat absoluut niet op. BSD doet als server os absoluut niet onder w2k/w2k3 enz. Functioneel doet ie het net zo goed, indien niet beter en zeker effecienter.
FreeBSD bijvoorbeeld bestaat uit 800,000 regels code, wat vergelijkbaar is met openBSD.
@ n3m4l355

Fiets/Verbrandings motor was bedoeld om de regels code met elkaar te vergelijken. Niet de prestaties. :-)
heb je de servers meegeteld?
heel mooi natuurlijk dat het nog maar de 2de keer is in 10 jaar tijd, maar langs de andere kant, openBSD heeft natuurlijk niet zo'n uitgebreide userbase als windows of zelfs als linux.
logisch dan dat er minder naar fouten gezocht wordt en dus minder fouten zullen gevonden worden.
Fout. Er wordt in OpenBSD net meer en harder naar fouten gezocht. Niet alleen omdat iedereen wel eens wil proberen om OpenBSD te 0wn3n, maar vooral door de OpenBSD developers zelf. Het gebeurt heel dikwijls dat zij het zijn die als eerste fouten opmerken in andere programma's (X.org bijvoorbeeld).
Die stelling is al lang achterhaalt.
Mac OS X heeft ook maar een fractie van de userbase van Windows, maar toch komen er maandelijks een heleboel security fixes uit.
OpenBSD draagt net code auditing hoog in het vaandel!
Daar gaan we weer:
Unix is al heel wat ouder dan MS Windows en BSD is in feite een Unix variant. Unix wordt zeer veel gebruikt, er draaien ook veel meer (web)server op Unix-varianten dan op MS Windows. De vlieger over een relatie tussen het aantal bugs en de userbase gaat echt niet op in dit soort discussies.
Het Mac OS X OS werkt met of is gebaseerd op FreeBSD.
Of is dat nu zo anders dan OpenBSD ?
Zien we daar, in os x, diezelfde exploit dan terug ?

veronderstel dat het gros van de code toch hetzelfde is en dat verschillende BSD varianten er gevoelig aan zijn, kan toch ? Ze komen nl alle 2 van de standaard BSD: zie-> http://upload.wikimedia.o...55px-Unix_history.svg.png
FreeBSD en OpenBSD zijn heel verschillend. Mac OS X en OpenBSD zijn nog veel verschillender. Niks aan de hand dus :)
De BSD's lenen elkaars code bij het leven. Het is dus best waarschijnlijk dat deze bug ook in FreeBSD en NetBSD zit. Vooral omdat al deze OS'en hun IPv6-code van het KAME-project hebben.
Nee, als je het bronartikel leest zie je dat het de specifieke implementatie van mbuf betreft die uitsluitend in OpenBSD gebruikt wordt. NetBSD, FreeBSD en MAC OS X zijn dus gevrijwaard van deze bug.
Ed: Sorry, dat was een dubbelpost...
wikipedia
Darwin is built around XNU, a hybrid kernel that combines the Mach 3 microkernel, various elements of FreeBSD 5 (including the process model, network stack, and virtual file system), and an object-oriented device driver API called I/O Kit.
Mach was initially hosted as additional code written directly into the existing 4.2BSD kernel, allowing the team to work on the system long before it was complete. Work started with the already functional Accent IPC/port system, and moved on to the other key portions of the OS, tasks and threads and virtual memory. As portions were completed various parts of the BSD system were re-written to call into Mach, and a change to 4.3BSD was also made during this process.
OpenBSD (geforked uit NetBSD 1.0) en FreeBSD stammen af van dezelfde code de 4.4BSD-lite release. Maar veel van deze code is ondertussen al herschreven!

Ik durf hierdoor wel te beweren dat osX zonder gui en openBSD ongeveer evenveel op FreeBSD lijken.
Het is al door het openbsd team aangegeven dat de vulnerability exclusief is voor OpenBSD.

Te vinden in de 'release notes' van deze vulnerability, door Core technologies:
(http://www.coresecurity.c...ntMod&action=item&id=1703)

Hoewel de BSD's inderdaad een gemeenschappelijke basis hebben ontwikkelen ze natuurlijk wel een hoop dingen zelf, waardoor niet elke FreeBSD bug ook in OpenBSD zit of omgekeerd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True