lunes, 27 de diciembre de 2004

Seguridad arbol de ports FreeBSD

Me gusta tener el árbol de ports (y paquetes instalados) al día. No por 'fardar' de nueva release, que probablemente no sepa qué trae de nuevo, sino por estar seguro que no tenemos fallos de seguridad. Internet es una selva y los 'defaces' (o cosas peores) están a la orden del día.
Una maravilla que hace poco que descubrí es portaudit (security/portaudit). Se trata de una pequeña aplicación que haciendo uso de VuXML Database muestra las vulnerabilidades de las aplicaciones que tenemos instaladas en el sistema. Veamos una sesión con portaudit:



krypton# portaudit -Fda

Receiving auditfile.tbz (17217 bytes): 100%

17217 bytes transferred in 0.2 seconds (86.66 kBps)

database installed.



Affected package: ruby-1.8.2.p2_1

Type of problem: ruby -- CGI DoS.

Reference: http://www.FreeBSD.org/ports/portaudit/d656296b-33ff-11d9-a9e7-0001020eed82.html



Affected package: FreeBSD-502010


Type of problem: multiple vulnerabilities in the cvs server code.

Reference: http://www.FreeBSD.org/ports/portaudit/d2102505-f03d-11d8-81b0-000347a4fa7d.html

Note: To disable this check add the uuid to `portaudit_fixed' in /usr/local/etc/portaudit.conf



1 problem(s) in your installed packages found.



You are advised to update or deinstall the affected package(s) immediately.





Vemos como ha descubierto 2 vulnerabilidades, aunque en realidad ahora veremos que es sólo una. En primer lugar nos avisa que actualicemos ruby (necesario para portupgrade) ya que la versión que tenemos instalada es vulnerable a un ataque DoS. Por otra parte se nos avisa que el CVS server posee un error. Sin embargo estoy seguro que esto ya está solventado (yo mismo lo actualicé a mano) así que edito el fichero /usr/local/etc/portaudit.conf añadiendo:


portaudit_fixed="d2102505-f03d-11d8-81b0-000347a4fa7d"


Una vez actualizado todo volvemos a lanzar portaudit:


krypton# portaudit -Fda


New database installed.

0 problem(s) in your installed packages found.



Por último, si queremos que portaudit trabaje antes de instalar cualquier aplicación vulnerable, podemos usar sysutils/pkg_install-devel. Por ejemplo, problemos a instalar mysql-client en nuestro árbol de ports:


neely:/usr/ports/databases/mysql40-client$ make

===> mysql-client-4.0.18_1 has known vulnerabilities:


>> MySQL insecure temporary file creation (mysqlbug).



>> Please update your ports tree and try again.




Si lo que nos gusta es el masoquismo podemos obligar a que, aún sabiendo que la aplicación tiene vulnerabilidades, lo instale mediante make -DDISABLE_VULNERABILITIES

Parece que (por hoy) podemos dormir un poco mejor :-)
Publicado por Alvaro en 18:11
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)