‘ BSD ’ category archive

OpenBSD 3.8

Octubre 31, 05 by admin

Como suele ser habitual, cada semestre el equipo de OpenBSD lanza una nueva versión de la rama estable de este sistema operativo que tiene como premisa principal la seguridad, y que es considerado por muchos como el sistema operativo más seguro por defecto (en la web oficial anuncian orgullosos que sólo han tenido un agujero de seguridad en su instalación por defecto). Obviamente, la labor del administrador resulta fundamental para que esta premisa se continúe llevando a cabo una vez el servidor se encuentra en producción.

En esta nueva versión 3.8 se incluyen algunas mejoras y nuevas herramientas, pero sobre todo destaca en el plano de la seguridad la inclusión de OpenSSH 4.2, que corrige diversos problemas de seguridad que acontecían en versiones anteriores, así como algunas características nuevas como por ejemplo una nueva compresión que retarda la inicialización de las librerías zlib hasta después de haberse autenticado el usuario.

OpenBSD, versión 3.6

Octubre 30, 04 by admin

Como es habitual en esta distribución de BSD catalogada como el sistema operativo de tipo unix más seguro por defecto, ha lanzado su nueva versión 6 meses después de su predecesor. OpenBSD 3.6 ( http://www.openbsd.org/es/36.html ) estaba previsto que apareciera el 1 de Noviembre, pero se ha adelantado un par de días y ya es posible realizar los pedidos de cd’s o bien descargarlo de forma gratuita desde su ftp (ftp.openbsd.org). Os mostramos los principales cambios de esta versión:

# Nueva plataforma:

* OpenBSD/luna88k
Se amplió el esfuerzo para portar mvme88k mediant el soporte de la línea de Omron de estaciones de trabajo basadas en 88100

# Soporte de SMP en las plataformas OpenBSD/i386 y OpenBSD/amd64 platforms.

# Nueva funcionalidad:

* Una nueva implementación depurada del servidor y del cliente DHCP, ahora con separación de privilegios y opciones por omisión seguras.
* Un demonio NTP nuevo, escrito desde cero, que cubrirá las necesidades de la mayoría de los usuarios de NTP.
* pfctl(8) proporciona ahora un optimizador de reglas que ayuda a mejorar la velocidad de filtrado.
* El filtro de paquetes pf(4) ahora soporta anclajes anidados.
* tcpdrop(8), una instrucción para cancelar conexiones TCP.
* La opción NMBCLUSTERS ha sido eliminada, reemplazada por una variable de sysctl con valores por omisión más altos en muchas plataformas.
* Soporte para cksum (tres tipos), md4, sha256, sha384 and sha512 añadido a la instrucción md5(1).
* Los sistemas de archivos en memoria creados con la instrucción mount_mfs(8) ahora pueden ser poblados inmediatamente después de crearlos.
* Nuevo demonio hotplugd(8) y dispositivo hotplug(4) que vigila la conexión de nuevos dispositivos. más precisa.
* isakmpd(8) ahora soporta NAT-traversal y Dead Peer Detection (RFC 3706).
* strtonum(3), una función sencilla, robusta y por lo tanto segura, para convertir cadenas en números, ha sido añadida.
* En la plataforma OpenBSD/sparc, la protección StackGhost contra abusos de desbordamiento de memoria intermedia ha sido añadida.
* Un framework IEEE 802.11 genérico ha sido añadido.

# Soporte mejorado de hardware, incluyendo:

* Tarjetas Sangoma T1 y E1 (san(4))
* Los Jumbo frames funcionan confiablemente ahora en los adaptadores em(4), sk(4) y ti(4).
* Controladores USB 2.0 (ehci(4)).
* Adaptadores Ultra320 SCSI basados en AIC79xx, tales como Adaptec 29320 y 39320 (ahd(4))
* El código del cargador del arranque del CD de i386 y amd64 ya no emula más un disco flexible lo que mejora las oportunidades de arrancar en máquinas más nuevas.
* Nuevo controlador atw(4) para adaptadores inalámbricos de ADMtek ADM8211 802.11b.
* Nuevo controlador axe(4) para adaptadores ethernet USB AX88172 de ASIX Electronics.
* Nuevo controlador cdce(4) para puentes ethernet sobre USB.
* Nuevo controlador ichpcib(4) para puentes PCI-ISA ICHx/ICHx-M LPC de Intel.
* Nuevo controlador gscpcib(4) para puentes PCI-ISA Geode SC1100 de National Semiconductor.
* Nuevo controlador iic(4) para buses maestro/esclavo Inter IC (I2C).
* Nuevo controlador lmtemp(4) para sensores de temperatura LM75/LM77 de National Semiconductor.
* Nuevo controlador gscsio(4) para chips Geode SC1100 Super I/O de National Semiconductor.
* Nuevo controlador gpio(4) y su correspondiente utilería gpioctl(8) para el soporte de General Purpose Input/Output.
* Nuevo controlador mediabay(4) para macppc para el controlador de disco duro ATA33 sobre CD extraíble.
* Controlador re(4) nuevo para los adaptadores ethernet PCI 8169/8169S/8110S de Realtek.
* Opciones en hw.setperf para PowerNow en procesadores AMD K6 y K7.

# Nueva funcionalidad para bgpd(8), el Border Gateway Protocol Daemon:

* Mejoras en la administración de memoria del núcleo permiten ahora mantener en memoria la tabla de enrutamiento completa, sin necesidad de hacer cambios ni optimizar.
* Soporte para la adición de prefijos recibidos para una tabla de pf(4).
* Soporte para IPsec, tanto tecleado manualmente como mediante IKE.
* Soporte para configurar comunidades BGP (RFC1997) en ACTUALIZACIONES entrantes y salientes.
* Soporte para la comunidad NOPEER (RFC3765).
* Soporte parcial para RFC2858 Multiprotocol Capabilities, por el momento sólo IPv4-unicast es anunciado.
* Soporte para Route Reflection (RFC2796).
* Soporte para anuncios dinámicos de red.
* Soporte para Route Refresh Capability (RFC2918).

# Rendimiento y confiabilidad mejoradas en NFS.

# Bibliotecas compartidas y GCC 3.3.2 en OpenBSD/hppa.

# Separación o revocación de privilegios para los siguientes programas:

* afsd(8)
* mopd(8)
* pppoe(8)
* rbootd(8)
* dhcrelay(8), dhclient(8), y dhcpd(8)

# Más de 2700 portes, 2500 paquetes preconstruidos.

# Muchas mejoras de seguridad y fiabilidad (siga el texto en rojo en el informe completo de cambios).

# Como siempre, muchas mejoras en las páginas del manual y otros documentos.

# OpenSSH 3.9:

* sshd(8) ahora se re-ejecuta a sí mismo al aceptar nuevas conexiones. Esta medida de seguridad asegura que todas las aleatorizaciones en tiempo de ejecución son aplicadas de nuevo por cada conexión en lugar de una sola vez, durante el tiempo de vida del proceso maestro. Esto incluye el mapeo de mmap y malloc, el direccionamiento de bibliotecas compartidas, el orden del mapeo las bibliotecas compartidas, ProPolice y cookies de StackGhost en las arquitecturas que tienen soporte para esto.
* Ahora puede seleccionar las variables de entorno que serán intercambiadas entre el cliente y el servidor.
* Multiplexión de sesiones: múltiples instrucciones/logins/transferencias de archivos ahora pueden ser realizados en una sola conexión SSH.

# El sistema incluye los siguientes componentes principales de surtidores externos:

* XFree86 4.4.0 sin estorbos (más parches; i386 contiene también los servidores 3.3.6 (más parches) para los chipsets heredados que no son soportados por 4.4)
* GCC 2.95.3 (más parches) y 3.3.2 (más parches)
* Perl 5.8.5 (más parches)
* Apache 1.3.29, mod_ssl 2.8.16, con soporte para DSO (más parches)
* OpenSSL 0.9.7d (más parches)
* Groff 1.15
* Sendmail 8.13.0, con libmilter
* BIND 9.2.3 (más parches)
* Lynx 2.8.5rel.2 con soporte para HTTPS e IPv6 (más patches)
* Sudo 1.6.7p5
* Ncurses 5.2
* KAME IPv6 más reciente
* Heimdal 0.6rc1 (más patches)
* Arla 0.35.7
* Binutils 2.14
* Gdb 6.1

Versión 3.5 de OpenBSD

Mayo 01, 04 by admin

Hoy 1 de Mayo era el día previsto para el lanzamiento de la nueva versión de OpenBSD, el que afirman sus creadores es el sistema operativo unix más seguro en su instalación por defecto (aunque a esto tendríamos que añadirle que la seguridad viene determinada después por el administrador)

OpenBSD 3.5 no trae tantos cambios como la versión 3.4, aunque destacamos el soporte nativo para microprocesadores AMD64 bits, aprovechando todo el rendimiento. También cabe destacar la herramienta CARP (the Common Address Redundancy Protocol), que permite que varias máquinas de una misma red local puedan compartir la IP mediante el uso de hosts virtuales en cada máquina.

La lista al completo de cambios la podeis encontrar en http://www.openbsd.org/35.html y si deseais usar este magnífico sistema operativo, podeis descargarlo como siempre del ftp de OpenBSD de forma gratuita ( ftp.openbsd.org )

Denegación de servicio en FreeBSD por desbordamiento de paquetes TCP

Marzo 22, 04 by admin

Existe un problema en sistemas operativos FreeBSD ( http://www.freebsd.org/ ) que podría permitir a un atacante el consumo masivo de la conexión a Internet de un equipo con FreeBSD o llegar a producirle una denegación de servicio, provocada por un colapso en el tráfico TCP.

El problema radica en que FreeBSD reordena los paquetes TCP de forma secuencial (según el estandar TCP), esperando a que lleguen los paquetes para poder reconstruir la cadena TCP. Pero si contínua almacenando paquetes sin que llegue alguno de los paquetes esperados, provocará que los búferes de memoria se llenen. Lo normal es que descartara los paquetes pasado un espacio de tiempo, pero FreeBSD no los descarta hasta que llegan los paquetes esperados o hasta que se cierre la aplicación.

Para solucionar esto FreeBSD ha lanzado actualizaciones para sus sistemas. Podeis encontrarlas, así como una descripción detallada del problema en la siguiente dirección:

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:04.tcp.asc

Posteriormente también ha salido una actualización para OpenSSL (aunque esto afecta a más sistemas operativos, ya que es un problema de OpenSSL en sí y no de FreeBSD en concreto):

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:05.openssl.asc

Sistemas basados en BSD se muestran como los más seguros actualmente

Febrero 22, 04 by admin

Un reciente estudio realizado por http://www.mi2g.net revela que ls familia de sistemas operativos de código abierto basados en BSD (como NetBSD, FreeBSD, OpenBSD) son junto con MacOS X basado en Darwin (que también tiene una procedencia BSD) son en la actualidad los que mayor fiabilidad frente a ataques muestran.

Los ataques con éxito contra servidores basados en Microsoft Windows parecen haber descendido en los últimos meses y los sistemas que más ataques con éxito han tenido son aquellos basados en Linux (todo esto basándonos en el estudio realizado por mi2g).

Frente a esto habría que apreciar la proporción de servidores con cada sistema operativo, ya que el estudio habla sobre la totalidad de ataques, NO sobre la proporción (que es lo que realmente indicaría cuál es más seguro). También influiría la disponibilidad del código fuente de los sistemas y por supuesto la administración de esos sistemas (parte fundamental para la seguridad).

Parece ser que el estudio tampoco tiene en cuenta virus, ni gusanos, puntos de flaqueza fundamentales de sistemas Windows. Así pues, este informe se muestra como algo con más parte de anécdota que de rigor, aunque _probablemente_, los sistemas basados en BSD se muestran hoy en día como los más fiables realmente.

Enlaces relacionados:

- The World’s safest Operating System

http://www.mi2g.net/cgi/mi2g/press/190204_2.php

- El sistema operativo más seguro (Barrapunto)

http://barrapunto.com/articles/04/02/22/1316238.shtml

Vulnerabilidad en OpenBSD 3.3 y 3.4

Noviembre 19, 03 by admin

Ha aparecido una nueva vulnerabilidad en el kernel del sistema operativo OpenBSD, la cual afecta a las versiones 3.3 y 3.4 en distinta medida. El fallo está provocado por un stack overrun en la emulación iBCS2 del kernel, al no comprobar ciertos valores.

- Versión 3.3: puede causar la ejecución de código arbitrario por parte de un usuario local y la posibilidad de escalación de privilegios.

- Versión 3.4: denegación de servicio y posibilidad de escalación de privilegios.

Esta vulnerabilidad sólo afecta a las arquitecturas i386.

Los parches están disponibles en las siguientes direcciones:

3.4: ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/i386/006_ibcs2.patch

3.3: ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/i386/011_ibcs2.patch

Vulnerabilidad en la función “realpath()” de sistemas operativos *BSD

Agosto 06, 03 by admin

Recientemente ha aparecido una vulnerabilidad que afecta a distintos sistemas operativos, como OpenBSD, FreeBSD y NetBSD (desconozco si afecta a otros).

El problema radica en la función "realpath()", el cual puede ser explotado al insertar como parámetro de esta función un path resuelto de una longitud de 1024 caracteres. Esta vulnerabilidad es del tipo "off-by-one".

Esta vulnerabilidad puede provocar un desbordamiento de búfer en los sistemas afectados, con posibilidad de escalación de privilegios y acceso al sistema, por lo que puede comprometer seriamente un sistema.

Recomendamos solucionar esta vulnerabilidad lo antes posible:

OpenBSD
——–

Patch para OpenBSD 3.3:
ftp://ftp.OpenBSD.org/pub/OpenBSD/patches/3.3/common/001_realpath.patch

Patch para OpenBSD 3.2:
ftp://ftp.OpenBSD.org/pub/OpenBSD/patches/3.2/common/015_realpath.patch

Usuarios de la versión anterior a la 3.2 pueden hacer un rebuild e instalar libc con la última revisión de "realpath.c":
ftp://ftp.OpenBSD.org/pub/OpenBSD/src/lib/libc/stdlib/realpath.c

Más info: http://www.openbsd.org/errata.html#realpath

FreeBSD
——–
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:08/realpath.patch

Más información: http://www.kb.cert.org/vuls/id/743092

NetBSD
——-
ftp://ftp.netbsd.org/pub/NetBSD/security/patches/SA2003-011-realpath.patch

Más información: http://www.secunia.com/advisories/9446/