Предупреждение CERT: уязвимость сервера NFS Комментарий редактора. По данным Координационного центра CERT, некоторые серверы NFS с определенными реализациями Mountd (главным образом, системы Linux) уязвимы для удаленных атак. Это, в частности, касается систем Caldera и Red Hat Software. Заплаты можно найти на серверах производителей - Caldera (ftp://ftp.caldera.com/pub/OpenLinux/updates/1.2/013/) и Red Hat Software (http://www.redhat.com/support/docs/errata.html). Другую информацию, в том числе по конкретным поставщикам, можно найти по адресу: http://www.cert.org/advisories/CA-98.12.mountd.html. Следующая заметка является кратким изложением содержания CERT Advisory CA-98.12. LНазначение NFS состоит в совместном использовании файлов различными компьютерами в сети в соответствии с парадигмой клиент-сервер. Если клиентскому компьютеру NFS необходим доступ к файлам на сервере NFS, то он вначале подает запрос на монтирование файловой системы. Именно эта процедура оказалась уязвимой для атак вследствие некорректной реализации программного обеспечения, обрабатывающего запросы на монтирование NFS (программа Mountd). Злоумышленник может вызвать переполнение буфера в области кода, ответственного за протоколирование событий NFS. CERT получил сообщения, указывающие, что злоумышленники активно используют указанную дыру для атаки на системы и проводят крупномасштабные сканирования в поисках уязвимых систем. В некоторых системах уязвимый сервер NFS активизируется по умолчанию. Вызвав переполнение буфера, удаленный злоумышленник может использовать возникшее состояние для выполнения произвольного кода с привилегиями root. NFS лучше блокировать до тех пор, пока вы не установите заплату. В частности, поскольку в некоторых системах уязвимые версии Mountd устанавливаются и активизируются по умолчанию, CERT рекомендует блокировать Mountd в этих системах, если только вы не собираетесь активно использовать их в качестве серверов NFS. Ответный удар по спаму Комментарий редактора. Что делать, если рассыльщики сорной почты продолжают бомбардировать вашу организацию своими посланиями несмотря на то, что вы установили новейший фильтр электронной почты? Здравые советы о мерах противодействия можно найти в статье Дж. Риварда LКак бороться с сорной электронной почтой (Руководство для жертв)¦ по адресу: http://www.mcs.com/~jcr/junkemaildeal.html. Ривард рекомендует собрать как можно более полную информацию о том, кто на самом деле является рассыльщиком сорной почты, а затем нанести удар возмездия! Он подчеркивает, однако, что ответная ругань редко достигает желаемой цели, в каком бы виде она не передавалась - по телефону, факсу, обычной или электронной почте. Вместо этого Ривард предлагает холодные, взвешенные действия, направленные против хоста рассыльщика, кто бы он ни был. Ввиду того, что определить реального рассыльщика сорной почты далеко не просто, Ривард описывает увлекательное детективное расследование по обнаружению реального отправителя сообщения (см. LЗаголовок сорной электронной почты¦). Пример заголовка и комментарий Риварда взяты с его сервера Web. Машина, с которой сообщение было отправлено (т. е. открывшая соединение SMTP), имеет адрес 204.116.127.57 и называется newimage.bizimage.com. Важное замечание: имя хоста (после From) предоставляется входящим соединением и не проверяется почтовой машиной SMTP. Его очень легко подделать; отправители могут указать в этом поле практически все что угодно, например whitehouse.gov или fbi.gov. ............