electric.larry
\''; DROP TABLE user; --
Heute war ja großer Patch-Tag wegen des glibc getaddrinfo Buffer Overflows (
Auf älteren Systemen (z. B. Ubuntu 10.04.4 oder Router mit irgendeiner alten Firmware) sieht es mit Updates dazu aber nicht so rosig aus. In verschiedenen Foren wurde drüber diskutiert, dass z. B. durch iptables Regeln das Problem eingeschränkt werden kann, aber das ganze auch unerwünschte Nebenwirkungen hat (zB
[src=bash]iptables -A INPUT -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -t filter -A INPUT -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A OUTPUT -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A OUTPUT -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A FORWARD -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A FORWARD -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP[/src]
Frage: Was haltet ihr von dieser Übergangslösung bis es notwendige Patches für ältere Systeme gibt? Welche "Nebenwirkungen" könnte das aus eurer Sicht haben?
You do not have permission to view link please Anmelden or Registrieren
).Auf älteren Systemen (z. B. Ubuntu 10.04.4 oder Router mit irgendeiner alten Firmware) sieht es mit Updates dazu aber nicht so rosig aus. In verschiedenen Foren wurde drüber diskutiert, dass z. B. durch iptables Regeln das Problem eingeschränkt werden kann, aber das ganze auch unerwünschte Nebenwirkungen hat (zB
You do not have permission to view link please Anmelden or Registrieren
,
You do not have permission to view link please Anmelden or Registrieren
).
You do not have permission to view link please Anmelden or Registrieren
wurden zB diese iptables Regeln beschrieben:[src=bash]iptables -A INPUT -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -t filter -A INPUT -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A OUTPUT -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A OUTPUT -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A FORWARD -p udp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP
iptables -A FORWARD -p tcp --sport 53 -m connbytes --connbytes 512: --connbytes-dir reply --connbytes-mode bytes -j DROP[/src]
You do not have permission to view link please Anmelden or Registrieren
schreibt einer zu diesem Problem:Frage: Was haltet ihr von dieser Übergangslösung bis es notwendige Patches für ältere Systeme gibt? Welche "Nebenwirkungen" könnte das aus eurer Sicht haben?
