Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Em 22/09/07, Aristeu Gil Alves Jr[EMAIL PROTECTED] escreveu: Em 21/09/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 9/21/07, Giancarlo Rubio [EMAIL PROTECTED] wrote: Alexandre creio q vc esta se enganando vc deve rodar apenas uma vez o portsnap para baixar a arvore do ports #portsnap fetch extract a partir dai basta vc usar #portsnap fetch update Teste ai e vc vera como ele eh mtooo mais rapido e mto mais leve (ao menos para o cliente) Ta certoo... não vamos brigar por isso, tmtowtdi[1], eu prefiro o csup ;-) O portsnap baixa o arquivão apenas na primeira vez. Depois é só as diferenças. Alem de ser mais fácil e automatizado, contém features de segurança que impedem que alguem no meio do caminho faça vc baixar um repositório feito especialmente para vc... ;) -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Aristeu, Com o csup eu posso receber algum port envenenado? O csup não é seguro? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
On Wed, 26 Sep 2007 06:54:22 -0300 Celso Viana [EMAIL PROTECTED] wrote: Com o csup eu posso receber algum port envenenado? O csup não é seguro? O csup é uma implementação do cvsup em C, então tem o mesmo nível de segurança do cvsup. -- Ricardo Nabinger Sanchez [EMAIL PROTECTED] Powered by FreeBSD Left to themselves, things tend to go from bad to worse. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Em 26/09/07, Ricardo Nabinger Sanchez[EMAIL PROTECTED] escreveu: On Wed, 26 Sep 2007 06:54:22 -0300 Celso Viana [EMAIL PROTECTED] wrote: Com o csup eu posso receber algum port envenenado? O csup não é seguro? O csup é uma implementação do cvsup em C, então tem o mesmo nível de segurança do cvsup. -- Ricardo Nabinger Sanchez [EMAIL PROTECTED] Powered by FreeBSD Left to themselves, things tend to go from bad to worse. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ou seja? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
On Wed, 26 Sep 2007 11:57:32 -0300 Celso Viana [EMAIL PROTECTED] wrote: Ou seja? Pode ser vulnerável, visto que o problema é com o protocolo em si, e não com a aplicação (cvsup ou csup): Historically, most people have used CVSup to keep their ports tree up to date, but CVSup has a number of limitations: * CVSup is insecure. The protocol uses no encryption or signing, and any attacker who can intercept the connection can insert arbitrary data into the tree you are updating. * CVSup isn't end-to-end. Related to the previous point, this means that anyone who can compromise a CVSup mirror can feed arbitrary data to the people who are using that mirror. * CVSup isn't designed for frequent small updates. While CVSup is very good at distributing CVS trees, and is very efficient for updating a tree which has been significantly changed (eg, by a month or more of commits), it transmits a list of all the files in the tree, which makes it quite inefficient if only a few files have changed. * CVSup uses a custom protocol. This can cause problems for people behind firewalls -- outgoing connections on port 5999 need to be permitted -- and it needs a heavyweight server (cvsupd). http://www.daemonology.net/portsnap/ -- Ricardo Nabinger Sanchez [EMAIL PROTECTED] Powered by FreeBSD Left to themselves, things tend to go from bad to worse. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
2007/9/26, Ricardo Nabinger Sanchez [EMAIL PROTECTED]: On Wed, 26 Sep 2007 11:57:32 -0300 Celso Viana [EMAIL PROTECTED] wrote: Ou seja? Pode ser vulnerável, visto que o problema é com o protocolo em si, e não com a aplicação (cvsup ou csup): Historically, most people have used CVSup to keep their ports tree up to date, but CVSup has a number of limitations: * CVSup is insecure. The protocol uses no encryption or signing, and any attacker who can intercept the connection can insert arbitrary data into the tree you are updating. * CVSup isn't end-to-end. Related to the previous point, this means that anyone who can compromise a CVSup mirror can feed arbitrary data to the people who are using that mirror. * CVSup isn't designed for frequent small updates. While CVSup is very good at distributing CVS trees, and is very efficient for updating a tree which has been significantly changed (eg, by a month or more of commits), it transmits a list of all the files in the tree, which makes it quite inefficient if only a few files have changed. * CVSup uses a custom protocol. This can cause problems for people behind firewalls -- outgoing connections on port 5999 need to be permitted -- and it needs a heavyweight server (cvsupd). http://www.daemonology.net/portsnap/ -- Ricardo Nabinger Sanchez [EMAIL PROTECTED] Powered by FreeBSD Left to themselves, things tend to go from bad to worse. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ricardo, Valews pela explicação; gosto mais do cvsup/csup porque ele pega as atualizações quando elas são feitas, né? parece que com o portsnap é feita uma compilação por dia; me corrija se estiver errado; outra coisa: já é possível ter um mirror para a rede local do portsnap, assim como o cvsup? Obrigado -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Em 21/09/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 9/21/07, Giancarlo Rubio [EMAIL PROTECTED] wrote: Alexandre creio q vc esta se enganando vc deve rodar apenas uma vez o portsnap para baixar a arvore do ports #portsnap fetch extract a partir dai basta vc usar #portsnap fetch update Teste ai e vc vera como ele eh mtooo mais rapido e mto mais leve (ao menos para o cliente) Ta certoo... não vamos brigar por isso, tmtowtdi[1], eu prefiro o csup ;-) O portsnap baixa o arquivão apenas na primeira vez. Depois é só as diferenças. Alem de ser mais fácil e automatizado, contém features de segurança que impedem que alguem no meio do caminho faça vc baixar um repositório feito especialmente para vc... ;) -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Procedimento para atualizar PORT vulner ável
Senhores, Rodei agora pouco um portaudit -Fda e detectou alguns ports com vulnerabilidades... inclusive o apache20... fiz o procedimento abaixo e gostaria de confirmar com vocês se é o mais correto, ou se tem algo mais prático. # primeiro atualizei o ports - portsnap fetch update # depois desinstalei o apache20 - cd /usr/ports/www/apache20 - make deinstall # depois instalei novamente - make install clean # Reiniciei o serviço - apachectl restart # verifiquei versão - httpd -v Tudo certo... rodei novamente o portaudit -Fda... blz, o apache sumiu da lista, agora aparece php... estou fazendo a mesma coisa... desinstala, instala novamente... (espero que ele não faça m... pois o apache sobrescreveu meu index.html... tudo bem eu tinha backup)... (detalhe: percebi que no final das mensagens de instalação do apache ele falou que o libapr também estava vulnerável... e usa ele para carregar o apache... nossa estou ferrado). É esse procedimento que vocês usam? Abraço e bom fim de semana pra todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
On 9/21/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Rodei agora pouco um portaudit -Fda e detectou alguns ports com vulnerabilidades... inclusive o apache20... fiz o procedimento abaixo e gostaria de confirmar com vocês se é o mais correto, ou se tem algo mais prático. Para atualizar a estrutura dos ports, eu acho melhor usar o csup (instalado por padrão a partir do 6.2 se não me engano) que ao invés de baixar toda a estrutura dos ports, atualiza apenas o que for necessário. Segue um exemplo do ports-supfile que uso: === ports-supfile == *default host=cvsup12.freebsd.org *default base=/var/db *default prefix=/usr *default release=cvs tag=. *default delete use-rel-suffix *default compress ports-all === ports-supfile == ai é só executar: # csup ports-supfile que vai sincronizar o seu /usr/ports com o repositório central, da mesma forma que se faz com o /usr/src antes de atualizar o sistema para -STABLE. Para atualizar os ports, geralmente eu uso o portupgrade (/usr/ports/ports-mgmt/portupgrade-devel) que faz tudo isso (na maioria da vezes) automaticamente. # portupgrade www/apache20 Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Obrigado Alexandre e Giancarlo! Eu já tinha feito uns testes no portupgrade a uns tempos atrás... se não me engano não usei mais ele porque eu forçava a atualização de um port, mas o portversion sempre dizia que o port ainda estava desatualizado, algo assim... realmente não me lembro... não sei se tem algum bug no portversion ou portupgrade... (ou foi bobeira minha). Usava assim: # checa ports portversion -vL= # atualiza TUDO portupgrade -a Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Giancarlo Rubio [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, September 21, 2007 7:34 PM Subject: Re: [FUG-BR]Procedimento para atualizar PORT vulnerável Em 21/09/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 9/21/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Rodei agora pouco um portaudit -Fda e detectou alguns ports com vulnerabilidades... inclusive o apache20... fiz o procedimento abaixo e gostaria de confirmar com vocês se é o mais correto, ou se tem algo mais prático. Para atualizar a estrutura dos ports, eu acho melhor usar o csup (instalado por padrão a partir do 6.2 se não me engano) que ao invés de baixar toda a estrutura dos ports, atualiza apenas o que for necessário. Segue um exemplo do ports-supfile que uso: === ports-supfile == *default host=cvsup12.freebsd.org *default base=/var/db *default prefix=/usr *default release=cvs tag=. *default delete use-rel-suffix *default compress ports-all === ports-supfile == ai é só executar: # csup ports-supfile E o contrario Alexandre o csup compara arquivo por arquivo com o servidor, ao invez do csup vc deve usar o portsnap(8) . No caso do Welkson seria melhor ele rodar o portupgrade em vez de usar make (install|deinstall), a nao ser em caso especificos que necessite passar parametros na compilacao. Eu rodaria assim #portupgrade -Pvr apache\* -P tenta pegar pacote ja compilado -v verbose -r recursivo que vai sincronizar o seu /usr/ports com o repositório central, da mesma forma que se faz com o /usr/src antes de atualizar o sistema para -STABLE. Para atualizar os ports, geralmente eu uso o portupgrade (/usr/ports/ports-mgmt/portupgrade-devel) que faz tudo isso (na maioria da vezes) automaticamente. # portupgrade www/apache20 Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
E o contrario Alexandre o csup compara arquivo por arquivo com o servidor, ao invez do csup vc deve usar o portsnap(8) . Exatamente... ao invés de baixar um arquivo de 49MB TODA a vez que for atualizar os ports, eu prefiro rodar periodicamente o csup que é mais rápido e leve, baixando apenas oque mudou ;-) No caso do Welkson seria melhor ele rodar o portupgrade em vez de usar make (install|deinstall), a nao ser em caso especificos que necessite passar parametros na compilacao. Eu rodaria assim #portupgrade -Pvr apache\* -P tenta pegar pacote ja compilado -v verbose -r recursivo Você pode especificar os parametros de compilação que o portupgrade irá utilizar com um -m. Se você tiver compilado o pacote anteriormente pelos ports as opções de compilação ficam em /var/db/ports/portname e são utilizadas pelo portupgrade caso você não especifique o -P. Apenas lembrando para tomar cuidado com o -r, recursivo quer diver que ele irá atualizar todas as dependências do apache, que no caso de uma máquina com muitos pacotes pode não ser oque você quer fazer. Pode gerar conflitos além de ser algo demorado em alguns casos. Mas é claro, se você souber oque está fazendo, sem problemas ;-) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
Só uma observação: alguém aqui da lista já percebeu o quanto o tal do SAMBA é vulnerável? já atualizei esse treco umas 200x e de vez em quando aparece falha nova... acho que tem mais falha que o próprio SMB da Micro$oft :-) flaves /dev/null (falando nisso, cadê o IRADO?) Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, September 21, 2007 7:40 PM Subject: Re: [FUG-BR]Procedimento para atualizar PORT vulnerável Obrigado Alexandre e Giancarlo! Eu já tinha feito uns testes no portupgrade a uns tempos atrás... se não me engano não usei mais ele porque eu forçava a atualização de um port, mas o portversion sempre dizia que o port ainda estava desatualizado, algo assim... realmente não me lembro... não sei se tem algum bug no portversion ou portupgrade... (ou foi bobeira minha). Usava assim: # checa ports portversion -vL= # atualiza TUDO portupgrade -a Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Giancarlo Rubio [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, September 21, 2007 7:34 PM Subject: Re: [FUG-BR]Procedimento para atualizar PORT vulnerável Em 21/09/07, Alexandre Biancalana[EMAIL PROTECTED] escreveu: On 9/21/07, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Senhores, Rodei agora pouco um portaudit -Fda e detectou alguns ports com vulnerabilidades... inclusive o apache20... fiz o procedimento abaixo e gostaria de confirmar com vocês se é o mais correto, ou se tem algo mais prático. Para atualizar a estrutura dos ports, eu acho melhor usar o csup (instalado por padrão a partir do 6.2 se não me engano) que ao invés de baixar toda a estrutura dos ports, atualiza apenas o que for necessário. Segue um exemplo do ports-supfile que uso: === ports-supfile == *default host=cvsup12.freebsd.org *default base=/var/db *default prefix=/usr *default release=cvs tag=. *default delete use-rel-suffix *default compress ports-all === ports-supfile == ai é só executar: # csup ports-supfile E o contrario Alexandre o csup compara arquivo por arquivo com o servidor, ao invez do csup vc deve usar o portsnap(8) . No caso do Welkson seria melhor ele rodar o portupgrade em vez de usar make (install|deinstall), a nao ser em caso especificos que necessite passar parametros na compilacao. Eu rodaria assim #portupgrade -Pvr apache\* -P tenta pegar pacote ja compilado -v verbose -r recursivo que vai sincronizar o seu /usr/ports com o repositório central, da mesma forma que se faz com o /usr/src antes de atualizar o sistema para -STABLE. Para atualizar os ports, geralmente eu uso o portupgrade (/usr/ports/ports-mgmt/portupgrade-devel) que faz tudo isso (na maioria da vezes) automaticamente. # portupgrade www/apache20 Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
On 9/21/07, Alexandre Biancalana [EMAIL PROTECTED] wrote: E o contrario Alexandre o csup compara arquivo por arquivo com o servidor, ao invez do csup vc deve usar o portsnap(8) . Exatamente... ao invés de baixar um arquivo de 49MB TODA a vez que for atualizar os ports, eu prefiro rodar periodicamente o csup que é mais rápido e leve, baixando apenas oque mudou ;-) quando executa o: #portsnap fetch extract ele baixa um arquivão (46MB) mas nas outras vezes eu executo #portsnap fetch update e o que me parece é que ele não baixa os 46MB de novo.. e sim uns patches para o 'arquivão', dando a impressão que só baixa o que foi alterado desde o último 'portsnap fetch extract' ou 'portsnap fetch update' é isso, não é? ou eu estou marcando? -- Marcelo Rossi This e-mail is provided AS IS with no warranties, and confers no rights. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Procedimento para atualizar PORT vulner ável
On 9/21/07, Giancarlo Rubio [EMAIL PROTECTED] wrote: Alexandre creio q vc esta se enganando vc deve rodar apenas uma vez o portsnap para baixar a arvore do ports #portsnap fetch extract a partir dai basta vc usar #portsnap fetch update Teste ai e vc vera como ele eh mtooo mais rapido e mto mais leve (ao menos para o cliente) Ta certoo... não vamos brigar por isso, tmtowtdi[1], eu prefiro o csup ;-) Att, [1]. http://en.wiktionary.org/wiki/TMTOWTDI - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd