Split brain condition

Не говори, сама охренела. Была УВЕРЕНА, что закрыт. Еле челюсть поймала.

From:

А почему, собственно? вот объясните мне -- зачем жалеть идиотов, которые после установки системы не:
(1) посмотрели sockstat
(2) посмотрели ps -ax
(3) настроили файрволл с открытымитеми и только теми портами, которые НУЖНЫ.

Я вот очень хорошо знаю, что и как открыто у FreeBSD (my server system of choice), но всё равно после каждего апдейта и на каждой новой системе я проверяю -- не запущено и не открыто ли чего-нибудь неожиданного для меня.

Нет, спору нет, бага позорнейшая и дыра ужаснейшая. Но мне вот жалко только тех, кому приходится НАМЕРЕННО и ОСОЗНАННО держать telnet открытым и включённым. Но мне их жалко даже безотносительно этой дыры :). А для остальных -- нормальный дарвиновский отбор, так и надо.

Хотя отмываться мы от PR-последствий этой дыры бцдем еще оооочень долго.

From:

Лев, она позиционируется как готовая серверная система. И с открытым нешифрованным телнетом, да еще с таким багом. ква :(

From:

она позиционируется как готовая серверная система.
Что такое ``готовая серверная система''? Какие задачи заказчика Solaris решает out of box, вообще без настройки, без единого кастомного байта в конфигах? Или там и пароль рута устанавливать не надо, IP-адреса прописывать и пользователей нужных добавлять?
Надо ведь сменить пароль рута, так? Надо настроить IP? И надо добавть апач там или NFS експорты настроить или в bind зоны прописать или еще что сделать -- в зависимости от задачи, так? И это не противоречит понятию ``готовая серверная система''? Так почему бы еще и не выключить то, что для задачи не нужно? Почему вот настройка апача не противоречит позиционированию, а настройка inetd -- противоречит?

From:

Апач добавлять не надо, апач есть, еще с девятки начиная. И апач или бинд - это настройка приложений, а не серверной среды. Позиционирование соляриса - поставил и работай. Кстати, мало кто знает почему-то (в смысле, как-то не очень все-таки информация поставлена), что десятка идет с несколькими шаблонами SMF под разные задачи - под веб-сервер, под почтовый сервер, существует шаблон с минимумом служб вообще и там, конечно, никакого телнета.

Не стоит убеждать меня в том ,что в принципе открытый телнет - это дыра дыр. Я согласна, тут нет повода для спора. Я говорю о том, что по умолчанию открытый телнет на серверной системе "поставь и работай" - это 3,14-понятно что. Никакой линукс уже, по-моему, не оставляет по умолчанию включенным телнет. Это из тех вещей, которые просто дурной тон, понимаешь? Можно сколько угодно говорить, что каждый сам себе злобный буратино, что не умеешь - не звони, все равно не попадешь, и все это будет верно, что не отменяет простого факта: предустановленный рабочий телнет-демон на unix-системе - это все равно что... не знаю, ветры пускать в обществе или громко рыгать. Более всего от этой дыры пострадает Сан и именно в плане PR (именно потому что систем наружу с открытым телнетом еще поискать), и этого очень жаль, потому что я как считала, что система хороша, так и считаю.

From:

Вообще, тут начинаются терминологические тонкости -- что еще серверная среда, а что уже приложения :)

Да фигово всё, фигово, кто же спорит... Именно что в PR-смысле фигово...

From:

Да, point мой не в том, что дыра нестрашная. Дыра ужасная.
Point мой в том, что к страшности этой дыры запущенность in.telnetd по-умолчанию НИЧЕГО не добавляет, потому что админ сервера, выставленного без файрволла и без проверки открытых портов в недружественную среду, и так представляет собой дыру. Он с таким же успехом может для удобства сделать PermitRootLogin Yes в sshd_config, завести пользователей с паролями равными логинам и сделать массу подобных глупостей, потому что его НЕ ВОЛНУЕТ безопасность.

Кстати, замечание о среде тут не зря -- потому как вот у нас на работе дыра стала страшнее от невыключенных in.telnetd? Да нифига не стала -- и так у любого сотрудника есть 10000000 возможностей напакостить, причём даже не особо задумываясь (то же неотрезание '/' солярковским Tar'ом из путей и массовые автоманутеры -- заааамечательная возиожность снести что-нибуть к чертям просто по невнимательности). Т.е. среда у нас в сети преполагается дружественная, потому и дыра не важна. И я уверен на 100%, что у серверов, смотрящих во внешний мир 23-ий порт просто закрыт файрволлом на киске :)

From:

Жень, а это на всех 10-ках проявляется? Я попробовал на паре машин, не проходит ни с существующим юзверем, ни с "левым"...

From:

Упс. Я, оказывается, на девятку лез, а на десятке все заработало :) Стас посмотрел сорцы, говорит, что там break забыли один поставить ;)

From:

Девятке пох, а в неваде опущен телнет.

From:

Жень! ну какой же это нафиг баг? это типичная фича. ;-)
case - это не ошибка, такое случайно написать невозможно. Если покопаться (а этим наверняка сейчас кто-то у вас занимается), то выяснится, что какой-то особо тупой тестер отвечал за тестирование телнета и не мог запомнить пароль. Вот под него и добавили кусок кода. И кто-то даже записал себе на клочке бумажки, что перед релизом - убрать! Но потом он уехал кататься на лыжах и сломал ногу. Поэтому релиз делали без него. Ну и... :-)

из чистого любопытства (ты же знаешь, я не очень в юниховых командах) - юзверь уже должен существовать, прежде чем будет запущен эксплоит? или он на ходу создается?

From:

Нет, не должен. Любой юзверь.

В основе действительно фича, можешь поискать про флаг -f, лень объяснять. Основной абзац в том, что серверная система выпускается с поднятым по умолчанию телнетом. Этого в самом распоследнем линуксе нет.

Акции моментально пошли вниз. Это в первую очередь PR-прокол.

From:

эту твою идею насчет серверной системы я уловил. и абсолютно согласен.
меня именно техническая сторона интересовала, а рассматривать сишный код, не зная ключей, - сложно.
а акции не так чтобы сильно уехали. Наверное в непрофессиональных кругах пока еще мало распространилась эта инфа. :-)

From:

26 центов с понедельника. При стоимости чуть больше 6 баксов это недурной такой флоп.

From:

26 / 600 = 0,04(3)
хотя конечно четыре процента - тоже довольно неприятно. Ну ничо, ваш пиар-отдел напряжется, сгенерирует пару success messages и все опять выравняется. :-)
Тем более, что рынок уже привык на примере от мелкософта, что у всех всё время находятся ошибки. ;-)

From:

жаль ты по-немецки не очень читаешь. обсуждение еще из 2001-го года - все тот же login -f , только под дебианом. Может я чего-то недопонимаю, но уж очень похоже.

From:

case там честный, но внутри него if, в котором по логике должен быть break, а его нет :)

From:

я это место в коде по женькиной ссылке уже полчаса рассматриваю. :-)
вы имеете в виду строку 1408? т.е. login_exit(1) не завершает программу и код в точке вызова продолжает работать? Тогда это таки баг.

1399 case 'f':
1400 /*
1401 * Must be root to bypass authentication
1402 * otherwise we exit() as punishment for trying.
1403 */
1404 if (getuid() != 0 || geteuid() != 0) {
1405 audit_error = ADT_FAIL_VALUE_AUTH_BYPASS;
1406
1407 login_exit(1); /* sigh */
1408 /*NOTREACHED*/
1409 }
1410 /* save fflag user name for future use */
1411 SCPYL(user_name, optarg);
1412 fflag = B_TRUE;

From:

Порылся по сорцам, понял, что меня злостно обманули. Конечно, login_exit должен выходить (там тупо exit() вызывается). Похоже проблема в лени авторов in.telnetd - когда они понимают, что авторизация без всяких Керберов идет, они тупо просят все сделать login, но при этом демон-то под id 0 запущен, соответсвенно в этот if мы и не попадаем...

From:

а. теперь понял. вот почему имя любое может быть, главное чтобы с -f начиналось. гадостная ошибка.
счас небось начались крики от верхнего менеджмента и отчаянное перепихивание вины между писателями логина и телнета. не завидую ни тем, ни другим. :-(

From:

Вины логина здесь вроде нету. Вина целиком на телнете, ибо нефиг отдавать авторизацию в логин не проверяя никак юзернейм. :)

From: