Paketfilter ruši FreeBSD

Tim za razvoj slobognog Unix derivata FreeBSD izdao je četiri zakrpe za FreeBSD 6.0-RELEASE. Jedna od zakrpa popravlja kritičan propust u IP-Paketfilter ipfw, pomoću koga je napadač uz pomoć fragmentiranih IP paketa mogao da sruši kompletan sistem zajedno sa firewall-om. Stime da je svejedno da li je paket poslat samo na firewall ili na jednu od mašina koje stoje iza njega.

Srž problema leži u pogrešnom incijaliziranju jednog Pointer-a pri pokušaju da se odgovori na odredjene pakete. (TCP-Reset, ICMP-Unreachable ili Reject) Stoga se preporučuje da se na te pakete umesto mogućnosti reset, reject ili unreach stavi "deny". U svakom slučaju kada se sve stavi na deny suprotna stana neće moći da dobije nikakavu poruku u slučaju da nešto nije u redu.

Osim toga sredjen je i propust u texindex u editoru ee u svim FreeBSD verzijama, pomoću kojih su korisnici mogli sebi da daju veća prava na sistemu. Zatim zakrpljeno više rupa u cipio paketu koji se takodje nalazi u svim verzijama i na kraju sređen problem koji nije poveznan direktno sa sigurnosću sistema a to je greška u NFS klijentu koja je oktrivena jos u decembru i koja je dovodila do padanja sistema.

http://www.freebsd.org/security/