Уязвимость нулевого дня в FreeBSD

image

Теги: уязвимость, zero-day, FreeBSD

Разработчики платформы рекомендуют пользователям отключить протокол передачи данных Telnet.

В пятницу, 23 декабря группа разработчиков FreeBSD опубликовала 5 уведомлений безопасности к своей платформе. Одно из уведомлений описывает уязвимость нулевого дня, существующую в telnetd. Также было выпущено исправление к уязвимости отказа в обслуживании в DNS сервере ICS BIND, две уязвимости обхода ограничений безопасности и одна уязвимость повышения привилегий на системе.

«Обычно мы стараемся выпускать уведомления по средам для того, чтобы охватить максимальное количество системных администраторов, которые в это время на работе; и мы очень сильно стараемся избегать публикацию уведомлений накануне праздников по этим же причинам. Начало Рождественской недели, а в некоторых странах уже суббота, однозначно не то время, когда мы хотели выпустить уведомления безопасности», - прокомментировал выпуск уведомлений сотрудник отдела безопасности группы разработчиков FreeBSD Колин Персиваль (Colin Percival) в официальном пояснении к уведомлениям безопасности.

В уведомлении к уязвимости CVE-2011-4862 говорится, что telnetd не используется в FreeBSD по умолчанию еще с августа 2001 года, и, по причине низкой криптографической безопасности, вместо него применяется SSH. Разработчики FreeBSD рекомендуют всем пользователям и сетевым администраторам переключиться на SSH-протокол для обеспечения более высокого уровня защищенности данных. С описанием уязвимости нулевого дня в FreeBSD можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/413004.php

или введите имя

CAPTCHA
26036
26-12-2011 16:49:37
Не отключить телнет разработчики предлагают, а не использовать telnet демон вообще. Даже не знаю есть он щас по дефолту после установки или нужно отдельно доставлять. Причем его походу не кто и не использует уже давно.
0 |
26-12-2011 16:50:45
Он по дефолту стартовал через inetd. Отключили его только в августе текущего кода.
0 |
Гость
26-12-2011 17:41:08
Вовсе не текущего, а 2001 года.
0 |
26-12-2011 19:23:49
Что-то я цифрой промахнулся, когда читал уведомление. Все верно, в агусте 2001 года.
0 |
Humanoid
26-12-2011 17:45:46
Хотя бы успели найти до релиза 9-ой версии.
0 |
sergv
26-12-2011 17:58:56
Самый прикол в первых строках письма: No, the Grinch didn't steal the FreeBSD security officer GPG key, and your eyes aren't deceiving you: We really did just send out 5 security advisories.
0 |