Only two remote holes in the default install

Wenn man IPv6 im kernel deaktiviert hat, dann ist man doch nicht betroffen.
Seh' ich das so richtig?

Das würde dann beweisen, dass das deaktivieren von nicht benötigten Features in OpenBSD doch Sinn macht :)

Vielleicht sollten wir Spenden für die psychologische Betreuung der OpenBSDler in der nächsten Zeit sammeln. Nicht, dass sich die Leute von der Brücke stürzen. SCNR
 
Ist doch alles nur Spaß :)
Die meisten hier sind wohl so erwachsen und nehmen das hoffentlich nicht persönlich.
Ist ja gut, dass sie den Fehler gefunden haben. Viel besser, als er wäre noch drin!

Die Frage mit dem IPv6 im Kernel deaktivieren war übrigens ernst gemeint oder ist tiefer drin oder woanders dabei?

Bei den Lösungsvorschlägen dazu habe ich nichts gefunden. Ist ja auch nicht gerade eine Lösung.

Athaba, weiß, dass Sicherheit kein Produkt ist und auch OpenBSDler sich irren können
 
Zuletzt bearbeitet:
IPv6 im kernel deaktivieren (nicht einen eigenen kernel ohne bauen, sondern config(8) benutzen), würde diese lücke wahrscheinlich schließen. Dies ist jedoch nicht ganz sicher.
außerdem bist du nicht betroffen, wenn dein ISP kein IPv6 unterstützt (wahrscheinlich wie 99% aller deutschen ISPs). Dann könnte nur noch jemand in deinem LAN die Lücke nutzen.
ein 'block all quick inet6' in der pf.conf wird das allerdings auch verhindern.

auf bald
oenone
 
localhost wird auf ::1 aufgelöst.

Du solltest nur auf den externen, nicht-vertrauenswürdigen Interfaces IPv6 blockieren.

aber nur, wenn ::1 als erster eintrag in der /etc/hosts steht. wenn du dort die ipv6 einträge rausnimmst, wird es auch nicht als ::1 aufgelöst.

wenn du auf lo ipv6 zulässt, könnte evtl. jemand mit zugang auf deinen rechner ein manipuliertes paket auf localhost abschicken...

auf bald
oenone
 
localhost wird auf ::1 aufgelöst.

Du solltest nur auf den externen, nicht-vertrauenswürdigen Interfaces IPv6 blockieren.

Prima, ich hab momentan eh nur ein Interface (lo ausser Betracht) in Betrieb, und das ist natürlich extern und nicht-vertrauenswürdig.

Sehr merkwürdig - warum klappt der Tip von oben also nicht?

Gruß :cool:
 
So viele Posts wie zu diesem Thema gabs noch nie bei Heise wenn was von OpenBSD berichtet wurde...

Und dabei ist der Artikel großer Schrott.

Gruß
Baseballbatboy
 
2. Patch

Von dem Patch den es zu dem Problem gibt, scheint es eine 2. Version zu geben. Ich habe eine Mail von der OpenBSD Security-Mailingliste bekommen, in der es unter anderem heißt:

A second revision of the patch fixing incorrect mbuf handling for ICMP6
packets has been created.
...
Please make sure you get the second revision of the patch, as noted in
the patch files.

Ich habe aber bereits den ersten patch angewendet und nun will der 2. nicht mehr. Was nun? Warum gibt es für das gleiche Problem eigentlich einen 2. Patch?

Gruß
Reks30
 
Von dem Patch den es zu dem Problem gibt, scheint es eine 2. Version zu geben. Ich habe eine Mail von der OpenBSD Security-Mailingliste bekommen, in der es unter anderem heißt:

[...]

Ich habe aber bereits den ersten patch angewendet und nun will der 2. nicht mehr. Was nun? Warum gibt es für das gleiche Problem eigentlich einen 2. Patch?

Die zweite Version soll anstelle der ersten Version benutzt werden.

soweit ich das beurteilen kann, steht in dem Patch genau das selbe, nur dass der neue zwei zusätzliche zeilen enthält:
Code:
+		if (n == NULL)
+			return (NULL);

also: entweder vorherigen patch rückgängig machen oder die zwei zeilen von hand einfügen.

auf bald
oenone
 
Code:
# cd /usr/src/sys/kern
# cp uipc_mbuf2.c.orig uipc_mbuf2.c

Hmm, irgendwie funktioniert das aber auch nicht so wie sonst. Wenn ich das mache, dann werde ich nach der zu patchenden Datei gefragt. Sonst findet die patch doch auch einfach so. Ich habe es auch mal mit -p1 und -p2 probiert, falls der Herausgeben des patches den vielleicht im falschen Pfad erzeugt hat, aber mit gleichen Ergebnis.

Ich habe jetzt extra mal /usr/src/sys gelöscht und den sys-Tarball vom 4.0 Release erneut ausgepackt. Dann noch mal alle Kernel-Patches angewandt, doch beim 010_m_dup1.patch wieder dasselbe: Ich werde nach der zu patchenden Datei gefragt.
 
Eigenartig!?

Unter http://www.openbsd.org/ steht noch:

Only one remote hole in the default install, in more than 10 years!

Aber unter http://www.openbsd.org/index.html steht:

Only two remote holes in the default install, in more than 10 years!

Was denn nun?

Gruß
Frank

Nachtrag!!!
Muss wohl am Firmen-Proxy liegen, mit dem Firefox wird jetzt die neue Seite dargestellt, aber die zwangsgepatchten IEs zeigen noch die alte Seite...

Versteh einer die Welt!
 
jepp, ein set skip on lo steht bei mir auch drin
obwohl es auch sinn machen kann auf lo zu filtern. aber fuer die meisten ist es wurscht.
 
Zurück
Oben