Трансплантация IP адресов с сервера на сервер

Допустим, есть задача присутствия удаленных сервисов в каком-то локальном сегменте Internet. Или наоборот — задача присутствия локальных сервисов в удаленном сегменте Internet — как кому нравится.Блоками IP мы не рулим, с BGP заморачиваться не охота.

То есть нам надо предоставить IP адрес IP1_2 сервера SERVER1 как один из действующих IP адресов сервера SERVER2. Ну и тоже самое — для IP1_3 и SERVER3.

Сами сервера могут быть расположены где угодно по отношению друг к другу. Локальные айпишники IP1_1, IP2_1, IP2_2, IP3_1, IP3_2 должны работать и отвечать как ни в чем ни бывало.

Мы просто добавим на сервера SERVER2 и SERVER3 по одному айпишнику с сервера SERVER1. В добавок еще и тоннель зашифруем.

Повышение привилегий в Linux >=2.6.39

После того, как Линус запатчил ядро 17 января, опубликовано подробное описание уязвимости с повышением привилегий через /proc/pid/mem в suid. Это довольно умный хак, который применим для всех версий ядра >=2.6.39. Можете проверить у себя или на каком-нибудь непропатченном удалённом сервере.

Автор описания уязвимости первоначально не выкладывал готовый код, но поскольку на основе его поста в блоге такие эксплойты всё-таки появились в открытом доступе, то он тоже выложил свой эксплойт Mempodipper. Вот также шелл-код для 32-битной и 64-битной версий. Здесь видео SaveFrom.net с демонстрацией хака.

Появление уязвимости стало возможным благодаря тому, что в ядре 2.6.39 было решено убрать «избыточную» защиту #ifdef.

Источник: Повышение привилегий в Linux >=2.6.39 / Информационная безопасность / Хабрахабр.

В Apache 2.2.21 устранено уязвимости

Доступен корректирующий релиз http-сервера Apache 2.2.21 в котором устранена одна уязвимость и исправлено 8 ошибок. Исправленная проблема безопасности связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp, что может привести к DoS-атаке в конфигурациях, использующих mod_proxy_ajp в сочетании с mod_proxy_balancer.

Некоторые изменения:

  • Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20;
  • В mod_filter, вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE, его значение теперь устанавливается в “none”;
  • В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;
  • В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даже если отключен RewriteEngine, что позволяет избежать краха при ссылках на несуществующий “int: map” в процессе работы;
  • Возможность указания в директиве MaxRanges значений none|unlimited|default и установки ‘Accept-Ranges: none’ в ситуации, когда игнорируется заголовок Ranges при указании “MaxRanges none”.

Шифруем на bash

В рамках проекта Skein-Bash создана реализация алгоритма хэширования Skein 512-512, выполненная полностью на языке командного интерпретатора Bash. Код уложился в около 500 строк.

Skein отличается неплохой производительностью, например, на 64-разрядных платформах эталонная реализация Skein опережает по скорости SHA-512 примерно в два раза. В отличие от вариантов, оптимизированных для современных CPU, версия на Bash работает очень медленно – на расчет одного хэша тратится около 10 секунд. Работа выполнена с целью популяризации алгоритма Skein, который в следующем году будет бороться за звание стандарта SHA-3. В частности, было показано, что Skein может быть легко реализован с использованием различных языков программирования.

Релиз Linux-дистрибутива CentOS 5.7

Увидел свет релиз Linux-дистрибутива CentOS 5.7, основанного на пакетной базе продукта Red Hat Enterprise Linux 5.7 и на 100% бинарно совместимого с ним. В отличие от RHEL в CentOS, пакеты из серверной и из десктоп редакции RHEL объединены в единый репозиторий пакетов и в один установочный комплект. CentOS 5.7 поставляется для платформ i386 и x86_64 в сборках: DVD (2 диска), CD (8 дисков) и сокращенный netinstall.iso (12 Мб) образ для установки по сети. Пакеты srpm и debuginfo пока недоступны для загрузки, они будут опубликованы 20 сентября. Задерживается также выпуск LiveCD.

Несмотря на то, что релиз вышел почти на два месяца позднее RHEL 5.7, выпуск штатных обновлений для ветки CentOS 5.6 был возобновлен месяц назад благодаря созданию непрерывно обновляемого репозитория (CR – Continuous Release), в рамках которого для CentOS 5.6 выполнялась перепаковка связанных с безопасностью исправлений, выпускаемых для уже вышедшего релиза RHEL 5.7. Напомним, что в начале года отставание релиза CentOS 5.6 от RHEL 5.6 составило 82 дня, все это время пользователи оставались без обновлений с исправлением проблем безопасности. Пользователи CR-репозитория для CentOS 5.6 могут обновить свои системы до CentOS 5.7 обычным способом, выполнив ‘yum update’, при этом число устанавливаемых пакетов будет минимально – так как все обновления уже установлены, будут добавлены только новые и связанные с обновлением номера версии пакеты (centos-release ).

С новшествами, заимствованными из RHEL, можно познакомиться в анонсе RHEL 5.7 (новшества в основном касаются поддержки SCAP (Security Content Automation Protocol) и улучшения поддержки систем виртуализации KVM и Xen). Из оригинальных улучшений внесенных в CentOS 5.7 можно отметить:

  • Проведена работа по унификации состава установочных дисков для архитектур i386 и x86_64. Добавлен восьмой CD для архитектуры i386, который не содержит RPM-файлов и не требуется для установки. Приведен к единому виду состав второго DVD-диска, на котором поставляются языковые пакеты для Openoffice.org для языков, отличных от английского;
  • По сравнению с прошлой версией добавлен 31 новый пакет, среди которых: cmake, jline, libcxgb4, openldap24-libs, openscap, perl-NetAddr-IP, python-ethtool, python-rhsm, python-simplejson, python-suds, rhino, sssd-tools, subscription-manager, tcsh617 и virt-what;
  • По сравнению с RHEL внесены изменения в содержимое 230 пакетов. Большинство изменений сводятся к ребрендингу, так как использование бренда Red Hat в производных дистрибутивах запрещено. Например: anacron, basesystem, bluez-utils, busybox, cluster-cim, cluster-snmp, compiz, crash, desktop-backgrounds-basic, eclipse, etherboot, filesystem, firefox, firstboot, gdm, gnome-desktop, gzip, httpd, initscripts, kde, kmod-gfs, kmod-gfs-xen, kmod-gnbd, kmod-gnbd-xen, kmod-kvm, kudzu, kvm, modcluster, mod_ssl, nautilus-sendto, ntp, oprofile, pango, pm-utils, procmail, rgmanager, rhgb, ricci, setuptool, specspo, squirrelmail, tftp, thunderbird, virt-manager, yum;
  • По сравнению с RHEL удалено 11 пакетов: redhat-release-5Client, redhat-release-5Server, redhat-release-notes, rhel-instnum, rhn-check rhn-client-tools, rhnlib, rhnsd, rhn-setup, rhn-setup-gnome, yum-rhn-plugin;

Из известных проблем отмечается усложнение процесса локальной установки с DVD при необходимости использования языковых пакетов для OpenOffice.org со второго диска. Если раньше можно было примонтировать через loop-устройство DVD и запустить инсталлятор, то теперь нужно предварительно скопировать в отдельное место содержимое двух дисков и пересоздать мета-данные для сделанной копии, или отложить установку языковых пакетов и инсталлировать их отдельным шагом после завершения установки основной системы.

Open Cloud Initiative – инициатива по продвижению открытых облачных технологий

На конференции OSCON (О’Reilly Open Source Convention) объявлено о создании новой некоммерческой организации Open Cloud Initiative, которая займется продвижением открытых стандартов, технологий и продуктов в областях, связанных с построением облачных систем. Целью организации является подготовка правовой доктрины, определяющей набор требований к открытой облачной среде (Open Cloud), которые будут подготовлены с учетом мнения пользователей и поставщиков облачных вычислений. Применение требований к готовым продуктам и сервисам также будет проводиться только после достижения консенсуса между всеми представителями сообщества. Continue reading »

1 2 3