image

Audit NetBSD-netwerkcode levert honderden patches op

maandag 28 mei 2018, 13:47 door Redactie, 8 reacties

Een security-audit van de netwerkcode van NetBSD heeft honderden patches opgeleverd. Ook zijn er tientallen kwetsbaarheden verholpen, waarvan een aardig aantal op afstand kon worden aangevallen, zo stelt Maxime Villard, die de audit uitvoert. NetBSD is een Unix-achtig besturingssysteem.

Het is van BSD afgeleid en ondersteunt een groot aantal hardwareplatformen. Op verzoek van The NetBSD Foundation is Villard met de audit bezig. Hoewel de audit nog niet is afgelopen heeft hij besloten om al wat resultaten openbaar te maken, waaronder verschillende gevonden kwetsbaarheden. Het gaat onder andere om een IPv6-bufferoverflow waardoor het mogelijk was om een "zeer vervelende" denial of service te veroorzaken.

Ook verschillende van BSD afgeleide besturingssysteem bleken met dit probleem te maken hebben, dat inmiddels is gepatcht. Hoewel de audit op NetBSD is gericht, dient die alle BSD-besturingssystemen. Het werk van Villard heeft dan ook verschillende patches voor FreeBSD en OpenBSD opgeleverd. De onderzoeker merkt op dat vanwege tijdbeperkingen niet alle protocollen en lagen van de netwerkcode zijn doorgelicht. Mogelijk zal dit later dit jaar worden opgepakt. The NetBSD Foundation is een non-profitorganisatie en afhankelijk van donaties om dergelijke audits uit te laten voeren. Het is dan ook nog niet bekend of er een volgende audit komt.

Reacties (8)
28-05-2018, 13:49 door Anoniem
Altijd mooi zo een open transparante audit met rapportage - wordt iedereen beter van!
28-05-2018, 14:49 door Anoniem
"honderden patches" klinkt als enorme gatenkaas.
Voor FreeBSD zijn het er twee (dus net voldoende om ze in meervoud te noemen...)
Daarnaast, aldus SA-18:01.ipsec: "systems not using IPsec are not vulnerable."
28-05-2018, 16:43 door Anoniem
NetBSD is dan ook niet bekend om de veilige code, wel om de hoeveelheid platformen waar het op draait.
28-05-2018, 17:58 door Anoniem
Door Anoniem: "honderden patches" klinkt als enorme gatenkaas.
Voor FreeBSD zijn het er twee (dus net voldoende om ze in meervoud te noemen...)
Daarnaast, aldus SA-18:01.ipsec: "systems not using IPsec are not vulnerable."
"honderden patches"
"Ook zijn er tientallen kwetsbaarheden verholpen"
Dus 'honderden patches' slaat niet op honderden 'gaten', dit kunnen gewoon normale bugs zijn die errors terug geven in uitzonderlijke gevallen.
Leren lezen is ook een vak.
29-05-2018, 10:51 door Anoniem
Leren lezen is ook een vak.
Waar stel ik dat elke patch een critical is?
En, tientallen is dus geen honderden.

Dank je voor je enorm positieve hulpvaardigheid met ultra lieve intenties, je verteld -zoals je zelf goed weet- dus niks nieuws.
Misschien maar een leest zoeken? Of liftmonteur, kun je je de hele dag boven anderen verheffen.
29-05-2018, 17:55 door Anoniem
Door Anoniem:
Leren lezen is ook een vak.
Waar stel ik dat elke patch een critical is?
En, tientallen is dus geen honderden.

Dank je voor je enorm positieve hulpvaardigheid met ultra lieve intenties, je verteld -zoals je zelf goed weet- dus niks nieuws.
Misschien maar een leest zoeken? Of liftmonteur, kun je je de hele dag boven anderen verheffen.
"honderden patches" klinkt als enorme gatenkaas.
Mijn excuses, ik bedoelde niet 'leren lezen', maar 'leren schrijven'.
30-05-2018, 08:56 door karma4
Door Anoniem:
"honderden patches" klinkt als enorme gatenkaas.
Mijn excuses, ik bedoelde niet 'leren lezen', maar 'leren schrijven'.
Veilige code schrijven is inderdaad een probleem.
Het maakt niet uit of iedereen code kan zien daar wordt het niet beter van. Een echte audit is anders.
30-05-2018, 21:45 door Anoniem
Door karma4:
Door Anoniem:
"honderden patches" klinkt als enorme gatenkaas.
Mijn excuses, ik bedoelde niet 'leren lezen', maar 'leren schrijven'.
Veilige code schrijven is inderdaad een probleem.
Het maakt niet uit of iedereen code kan zien daar wordt het niet beter van. Een echte audit is anders.
Je slaat de plank mis karma4.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.