FreeBSD-systemen via wifi-aanval volledig over te nemen
Een kwetsbaarheid in FreeBSD maakt het mogelijk voor aanvallers om systemen via wifi volledig over te nemen en willekeurige code in de kernel uit te voeren. Daarbij is er geen enkele interactie van gebruikers vereist. FreeBSD kwam afgelopen april met een beveiligingsupdate. Details over de kwetsbaarheid (CVE-2022-23088) alsmede een proof-of-concept exploit zijn nu openbaar gemaakt.
Bij het scannen van beschikbare wifi-netwerken luistert een systeem naar managementframes die door het wifi-accesspoint in de buurt worden uitgezonden. Er zijn verschillende soorten managementframes. Bij één van deze types, het beacon frame, werd de optielengte niet goed door de wifi-stack van FreeBSD gecontroleerd. Door het versturen van een beacon frame met een "oversized" optielengte is het mogelijk om een kernel heap overflow te veroorzaken en zo code in de kernel uit te voeren.
Een aanvaller kan op deze manier een kernelbackdoor creëren die via het versturen van wifi-frames is te gebruiken, zo laat de onderzoeker weten die het probleem ontdekte. De kwetsbaarheid was al dertien jaar in de wifi-stack van FreeBSD aanwezig, zo meldt het Zero Day Initiative dat de bugmelding ontving en doorzette naar FreeBSD.
Er heeft weer iemand een blik met trollen open getrokken.
Er heeft weer iemand een blik met trollen open getrokken.
*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
Er heeft weer iemand een blik met trollen open getrokken.
Zoals Anoniem 12:43 al zei, BSD is GEEN Linux
*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
Linux is not Unix. De naam Linux (acroniem) zegt het al. Verdiep er eens in voordat je roeptoetert (want dat doe je).
*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
*Proest* FreeBSD is geen Linux en heeft er helemaal NIETS mee te maken. Inderdaad weer een blik trollen opengetrokken.
Ieder OS heeft kwetsbaarheden. Wie zegt dat FreeBSD een veilig gewaand OS is?
Het maakt nogal wat uit dat het bij het ene besturingssysteem vrijwel wekelijks raak is, terwijl dat bij het ander zeldzaam is. Wat ook erg veel uitmaakt, is of de oplossing binnen luttele uren beschikbaar is, of dat men een maand of langer moet wachten tot er misschien een verbetering voorhanden is. Dit is ervaring uit de praktijk.
Het maakt nogal wat uit dat het bij het ene besturingssysteem vrijwel wekelijks raak is, terwijl dat bij het ander zeldzaam is. Wat ook erg veel uitmaakt, is of de oplossing binnen luttele uren beschikbaar is, of dat men een maand of langer moet wachten tot er misschien een verbetering voorhanden is. Dit is ervaring uit de praktijk.
Die luttele uren is ook een foute geachte. Het zijn luttele uren, NADAT een update beschikbaar is voor het probleem. Het zegt niets over de tijd van melden en de tijd van de update
Wel idioot dat de meeste reacties hier gericht zijn op een windows troll met nep nieuws.
FreeBSD is doorontwikkeld vanuit de broncode van BSD, een officiële Unix-variant, en Linux (de kernel en de GNU-tools eromheen) zijn van scratch af aan ontwikkeld zonder dat daar Unix-broncode aan ten grondslag heeft gelegen.
Een kwetsbaarheid in FreeBSD zit echt niet automagisch ook in Linux. Een kwetsbaarheid in Linux zit echt niet automagisch ook in FreeBSD. Je slaat de plank stevig mis als je denkt dat het wel hetzelfde is.
Ben blij dat ik geen FreeBSD meer gebruik sinds 2004, toen was het hot.
Die security toko die het nog in 2015 gebruikte, liep een beetje achter.
Lang leve Ubuntu/Red Hat / Alma
Er heeft weer iemand een blik met trollen open getrokken.
Ik vraag me wel eens af of 'ze' geen opensource mensen recruteren, bijv die naar al die congressen gaan, en die dan volunteering doen bij allerlei projecten... en dan een update doorvoeren en per ongeluk vergeten een stukje controle door te voeren in de code.
Buffer overflows zijn zo klassiek... bagger programmeertaal. Je zou haast denken dat met canaries en sandbox compilaties je de ergste attacks wel kan mitigeren.
Niets is veilig. Waarschijnlijk je Linux met veel meer code ook niet. FreeBSD staat bekend om de redelijk goede kernel programmers die wel weten wat ze doen.
"De Unix community" kon nog amper beginnen met inhoudelijk te reageren op jouw tirade.
Maar desgewenst, als Linux hater: dit is best wel een bizarre bug in alle 24 jaren dat ik FreeBSD gebruik.
Maarre, wel fijn dat er transparant over gecommuniceerd wordt, en het niet onder het tapijt geveegd wordt, nietwaar?
Er heeft weer iemand een blik met trollen open getrokken.
Ik vraag me wel eens af of 'ze' geen opensource mensen recruteren, bijv die naar al die congressen gaan, en die dan volunteering doen bij allerlei projecten... en dan een update doorvoeren en per ongeluk vergeten een stukje controle door te voeren in de code.
Buffer overflows zijn zo klassiek... bagger programmeertaal. Je zou haast denken dat met canaries en sandbox compilaties je de ergste attacks wel kan mitigeren.
Niets is veilig. Waarschijnlijk je Linux met veel meer code ook niet. FreeBSD staat bekend om de redelijk goede kernel programmers die wel weten wat ze doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.