Woei, redhat draait !

Red Carpet? Die heeft ook een RedHat-7.3 kanaal waar je alle RedHat-7.3 updates kunt downloaden...

Ennuh, welkom in linux-land. .

Wachten tot een rustiger tijdstip in Amerika (i.e. voor 2 uur 's middags)?

Of een mirror opzoeken (als RedHat daar aan doet).

Die server is altijd druk bezet.

Heb redhat 7.3 gedownload en geinstalleerd..

Nou zijn er waarschijnlijk al heel wat bugfixes en updates beschikbaar; waar vind ik die en hoe installeer ik ze?

* OxiMoron is nogal een linux n00b


Ik heb hier wel dat redhet update tooltje, maar die doet het nu niet omdat de server te druk bezet is en mensen die betalen dus voorrang hebben :([/quote]

rhn_register draaien en registreren
dan up2date draaien als het druk bezet is dan ff wachten of een paar keer proberen

even een HINT ga niet internetten als ROOT dat is nl DOM STOM en GEVAARLIJK
http://www.euronet.nl/users/erhnam/linux/
kijk hier eens deze dude heeft het een en ander op het web gezet en het klopt aardig

cya

OxiMoron schreef op 19 september 2002 @ 21:52:
Yeah baby !!!


ik geloof dat het werkt.

Heb redhat 7.3 gedownload en geinstalleerd..

Nou zijn er waarschijnlijk al heel wat bugfixes en updates beschikbaar; waar vind ik die en hoe installeer ik ze?

* OxiMoron is nogal een linux n00b


Ik heb hier wel dat redhet update tooltje, maar die doet het nu niet omdat de server te druk bezet is en mensen die betalen dus voorrang hebben

Ik heb debian geinstalleerd (voor de 2e keer of zo ) en ik kan supersnel & overal updaten

Vreemd, hier springt hij

OxiMoron schreef op 19 september 2002 @ 22:06:
HMm ja.. debian had ik dus eerst geprobeerd..

resultaat was dat ik tegen prompt aan zat te staren..

startx enzo hielp niet, vandaar redhat

*hint* xinitrc

of je Free86 updaten/installeren/whatever met KDE enzo erbij

dat moet een debian freak pijn doen :-)>

Maar niet om een dist oorlog te beginnen maar voor een n00b is RH beter.

persoonlijk gebruik ik het ook in bedrijven maar dat heeft andere redenen.

Verwijderd schreef op 19 september 2002 @ 22:00:

even een HINT ga niet internetten als ROOT dat is nl DOM STOM en GEVAARLIJK

Verklaar jezelf.

Als je geen services draait verder en met Mozilla een beetje aan het browsen bent?

Niet dat ik het doe, maar ik zie niet in welk kwaad het verder kan.

Lethalis schreef op 19 september 2002 @ 22:10:
[...]

Verklaar jezelf.

Als je geen services draait verder en met Mozilla een beetje aan het browsen bent?

Niet dat ik het doe, maar ik zie niet in welk kwaad het verder kan.

ehum OK als ROOT gaan internetten is dom omdat :

koekies !!! onder x gevaarlijk zijn en een standaard gebruiker en of n00b deze meestal accepteerd.

via een cookie kan je ook dingen executeren ....

need I say more

Lethalis schreef op 19 september 2002 @ 22:10:
[...]

Als je geen services draait verder en met Mozilla een beetje aan het browsen bent?

Niet dat ik het doe, maar ik zie niet in welk kwaad het verder kan.

offtopic, maar dat kan het dus wel. Je Mozilla draait dan dus als root. Een (1) enkel bugje in Mozilla is dan voldoende om als root-user toegang tot jouw computer te krijgen.

En trust me, in zo'n groot pakket als Mozilla zitten zeer zeker wel security flaws (er staan wel de nodige fixed en unfixed security bugs in bugzilla).

Is inderdaad vrij dom om te doen dus.

tnx

Verwijderd schreef op 19 september 2002 @ 22:12:
[...]

koekies !!! onder x gevaarlijk zijn en een standaard gebruiker en of n00b deze meestal accepteerd.

via een cookie kan je ook dingen executeren ....

need I say more

Cookies zijn handig voor het onthouden van site-specifieke data. Uitvoeren zal je daarmee niet zo snel iets.

Wat Wilke zegt, kan ik al eerder inkomen. Probleem daarbij is echter dat Mozilla geen deamon, maar een client is. Je kan Mozilla niet remote 'hacken', tenzij er al een actieve verbinding bestaat .. wat dus niet het geval zal zijn.

Next?

ik heb samen met een programeer dude dit voor de gein eens onderzocht en geloof me het kan via cookies iets uitvoeren.
we konden zelf via een gebruik die voldoende rechten had users aanmaken en crontabs wijzigen scripts uploaden etc dus vandaar doe het niet geloof je me niet ga het dan lekker eens zelf uitzoeken

Verwijderd schreef op 19 september 2002 @ 22:25:
ik heb samen met een programeer dude dit voor de gein eens onderzocht en geloof me het kan via cookies iets uitvoeren.
we konden zelf via een gebruik die voldoende rechten had users aanmaken en crontabs wijzigen scripts uploaden etc dus vandaar doe het niet geloof je me niet ga het dan lekker eens zelf uitzoeken

Ik ben niet zo gelovig Ik wil bewijs zien.

Lethalis schreef op 19 september 2002 @ 22:23:
[...]

Cookies zijn handig voor het onthouden van site-specifieke data. Uitvoeren zal je daarmee niet zo snel iets.

Wat Wilke zegt, kan ik al eerder inkomen. Probleem daarbij is echter dat Mozilla geen deamon, maar een client is. Je kan Mozilla niet remote 'hacken', tenzij er al een actieve verbinding bestaat .. wat dus niet het geval zal zijn.

Next?

Dit is volslagen offtopic en daarom zou ik er eigenlijk niet op in willen gaan...maar er komt hier zo'n misinformatie voorbij dat ik het toch niet kan laten.

Nee Mozilla is geen daemon. Als jij echter browsed naar site X, die een popupje opent naar site Y die wat ranzige HTML-code heeft staan die een dikke vette bug in Mozilla exploit en zo in een klap root is op jouw bak...(okay de meeste sites doen dit niet, maar ik ben helaas geen heilige en zoek dus zoals iedereen weleens een MP3tje of serial no...ik geef het ten minste toe )

The point being: zelfs als jij alleen 'trusted' sites bekijkt (zoals GoT misschien wel) kun je er niet zeker van zijn. Heb jij webicons aan? Ja he? Nou...een voldoende groot bugje in de gif/png rendering engine en 1 malafide GoT user -> jouw bak ge-0wn3d.

Dat van die code uitvoeren via cookies kan alleen als er serieuze fouten zitten in de cookie-engine, en dat verwacht ik eerlijk gezegd niet (niet op het terrein dat je er code mee kunt uitvoeren anyway). Als dit zou kunnen heeft het sowieso volstrekt niets met X te maken alswel met de betreffende browser (zelfs Lynx zou zo'n bug kunnen hebben, weet ik het....)

Kijk, je kunt beveiliging op een Desktop-systeem ook overdrijven, maar dingen als root draaien is vragen om problemen. Als ik tijd over heb lees ik regelmatig Bugtraq en je kunt van mij aannemen dat het zeker geen overbodige luxe is om zoveel mogelijk te vermijden om dingen als root te runnen.

Wilke schreef op 19 september 2002 @ 22:34:
[...]

Nee Mozilla is geen daemon. Als jij echter browsed naar site X, die een popupje opent naar site Y die wat ranzige HTML-code heeft staan die een dikke vette bug in Mozilla exploit en zo in een klap root is op jouw bak...(okay de meeste sites doen dit niet, maar ik ben helaas geen heilige en zoek dus zoals iedereen weleens een MP3tje of serial no...ik geef het ten minste toe )

The point being: zelfs als jij alleen 'trusted' sites bekijkt (zoals GoT misschien wel) kun je er niet zeker van zijn. Heb jij webicons aan? Ja he? Nou...een voldoende groot bugje in de gif/png rendering engine en 1 malafide GoT user -> jouw bak ge-0wn3d.

Whahaha

Die kans lijkt me bijzonder klein. Ten eerste omdat ik de meeste 'snufjes' sowieso altijd uitschakel. Ik wil snel dingen kunnen opzoeken, niet wachten op de 1 of andere animatie of andere shit. Mij boeit het niet hoe de site eruit ziet, als ik maar lezen kan wat er staat (Javascript en JAVA zet ik altijd uit bijv .. popups zijn dan dood .. en nee, ik kijk niet op zulke sites .. daarvoor heb ik andere software).

Dat terzijde, de kans dat er zo'n grote bug in de gif/png rendering engine zit, is nog kleiner. Juist zo'n standaard ding is goed getest.

Dat van die code uitvoeren via cookies kan alleen als er serieuze fouten zitten in de cookie-engine, en dat verwacht ik eerlijk gezegd niet (niet op het terrein dat je er code mee kunt uitvoeren anyway). Als dit zou kunnen heeft het sowieso volstrekt niets met X te maken alswel met de betreffende browser (zelfs Lynx zou zo'n bug kunnen hebben, weet ik het....)

Dat cookies gevaarlijk zijn voor je machine is een fabeltje. Ze zijn gevaarlijk voor je privacy. In het ergste geval kan iemand jouw cookies lezen en daardoor bijv. op je webmail inloggen of nog erger wachtwoorden achterhalen. Code uitvoeren via cookies? No way in hell.

Kijk, je kunt beveiliging op een Desktop-systeem ook overdrijven, maar dingen als root draaien is vragen om problemen. Als ik tijd over heb lees ik regelmatig Bugtraq en je kunt van mij aannemen dat het zeker geen overbodige luxe is om zoveel mogelijk te vermijden om dingen als root te runnen.

Dat hangt helemaal van de programmatuur af die je gebruikt en vooral waarvoor je deze gebruikt.

Als ik met Mozilla in het FreeBSD Handbook aan het snuffelen ben op www.freebsd.org lijkt het me sterk dat ik geroot word. Daar komt bij dat al die malafide MP3 en porno sites IE proberen te verneuken, niet Mozilla. Je moet dus vooral oppassen voor VBS e.d. .. alleen werken die niet zo goed samen met Mozilla en Linux / *BSD

Lethalis, wat Wilke zegt is de reden dat je niet moet user'en als root. Elke exploit is dan een root exploit. 't Is dezelfde reden als dat je services niet als root moet laten draaien (of dat ze hun privileges na de init moeten droppen).

Als user is elke exploit een non-root exploit, en da's 10x zo niet-erg.

Voor de rest maakt 't niet zoveel uit. Overige redenen om niet te user'en als root is dat je soms per ongeluk iets fout doet, en dat heeft als user minder desastreuze gevolgen (rm -fr /bin als je rm -fr bin bedoelt, anyone?), maar dat heeft weinig met internet specifiek te maken.

Je moet in elke situatie de gevaren gewoon minimaliseren. dus geen root.

Lethalis schreef op 19 september 2002 @ 22:49:
Die kans lijkt me bijzonder klein. Ten eerste omdat ik de meeste 'snufjes' sowieso altijd uitschakel. [...]

Dat terzijde, de kans dat er zo'n grote bug in de gif/png rendering engine zit, is nog kleiner. Juist zo'n standaard ding is goed getest.

Lethalis, doe het dan vooral niet als je me niet gelooft.

Als jij plaatjes al onder 'snufjes' rekent heb je deels gelijk, maar ook in de 'standaard' rendering code kunnen bugs zitten, zeker bij zo'n (relatief) nieuw, groot product als Mozilla. Verder: zo'n standaard ding (als libpng/libgif) is goed getest.....owyeahhhhhhhhhhhh right....Apache, OpenSSH, OpenSSL, zlib. Moet ik 4 NOG grotere, in-algemener-gebruik-zijnde projecten noemen waarin de afgelopen anderhalve maand (gevaarlijke) exploits zijn gevonden?

Wat beelzebubu zegt is inderdaad precies het punt: gevaren minimaliseren. Meer kun je niet doen. Minder doen is echter nog steeds wel dom. Als jij dat graag vroeg of laat op de 'harde' manier wil ondervinden, be my guest

Dat cookies gevaarlijk zijn voor je machine is een fabeltje. Ze zijn gevaarlijk voor je privacy. In het ergste geval kan iemand jouw cookies lezen en daardoor bijv. op je webmail inloggen of nog erger wachtwoorden achterhalen. Code uitvoeren via cookies? No way in hell.

Let even op, ik was dus ook niet degene die dat beweerde. Toch, om even the advocate te spelen: ik ben het eigenlijk helemaal met je eens wat dit punt betreft - maar in theorie kan het wel degelijk. Stel dat Mozilla/Lynx/Links/Konqueror/<Insert-favorite-browser-here> een buffer overflow bevat waardoor iemand door een te lang cookie op te sturen je IP (Instruction Pointer) overschrijft en zo dus code kan uitvoeren...dan ben je dus zojuist geroot.

En zeker, ik geef meteen toe dat dit in de cookie-code niet enorm waarschijnlijk is idd

Oh en FYI: er is dus niet al te lang geleden een dergelijke bug gevonden in een image-rendering lib, ik weet niet meer of het jpeg of gif was en IE of Mozilla, maar het was er in ieder geval wel een. Echt 'bewijs' kan ik je 1-2-3 niet geven maar het gebeurt dus echt wel degelijk, dat soort fouten!

[Edit: wel ff goed quoten natuurlijk]

[b][message=15229192,noline]OxiMoron schreef op 19 september 2002 @ Heb redhat 7.3 gedownload en geinstalleerd..

Nou zijn er waarschijnlijk al heel wat bugfixes en updates beschikbaar; waar vind ik die en hoe installeer ik ze?

Ik heb hier wel dat redhet update tooltje, maar die doet het nu niet omdat de server te druk bezet is en mensen die betalen dus voorrang hebben

Dat update tooltje (up2date) is wel de makkelijkste manier om up te graden. Als het te druk is probeer je het even een paar minuten later. Grote kans dat je er dan wel doorkomt.

Verwijderd schreef op 19 september 2002 @ 23:09:
Lethalis, wat Wilke zegt is de reden dat je niet moet user'en als root. Elke exploit is dan een root exploit. 't Is dezelfde reden als dat je services niet als root moet laten draaien (of dat ze hun privileges na de init moeten droppen).

Als user is elke exploit een non-root exploit, en da's 10x zo niet-erg.[/b]

Dit klopt inderdaad voor services / deamons. Maar als ik met Mozilla op een gewone website surf, gebeurt er dit: Mozilla stuurt aanvraag aan server op poort 80, bij succesvolle verbinding opbouw, stuurt de server mij het bestand wat ik vroeg, veelal een htm / html bestand. Dan kijkt Mozilla in de source en bouwt zijn scherm op en haalt daarbij nog de grafische elementen binnen van de server.

Beetje simpel uitgelegd, maar veel meer gebeurt er niet.

Je kan er gewoon geen ruk mee.

Feit is dat het dan van die site zelf moet komen en daar zouden ze érg snel achterkomen

Je moet in elke situatie de gevaren gewoon minimaliseren. dus geen root.

Ja ok, je kunt het als richtlijn gebruiken, maar het is niet per sé zo enorm gevaarlijk als het in deze topic aanvankelijk gesteld werd.

Het komt dan ook nauwelijks voor dat ik Mozilla oid als root gebruik. De laatste keer was geloof ik een half jaar geleden toen ik problemen had met FreeBSD en xwrapper. Maar ook op dat moment had ik verder geen services draaien, dus geen OpenSSH, geen Apache, helemaal niks. Ik gebruikte alleen ff Mozilla om in het handboek te neuzen.

En dat kan best.

Blijven proberen, regelmtig heb ik het ook en na een uurtje ofzo of de volgende dag gaat hij wel verder.

[ Voor 0% gewijzigd door Verwijderd op 20-09-2002 10:29 . Reden: vraag niet goed gelezen. ]

Gefeliciteerd

Ik ga toch ook niet na elke installatie een draadje openen?

Lethalis schreef op 20 september 2002 @ 10:25:
[...]
Dit klopt inderdaad voor services / deamons. Maar als ik met Mozilla op een gewone website surf, gebeurt er dit: [...beschrijving afhandeling HTTP request...]

Beetje simpel uitgelegd, maar veel meer gebeurt er niet.

Okee, ik weet heus wel wat er gebeurt als ik met Mozilla een pagina open. Ik weet ook heus wel dat het risico niet enorm groot is. Toch heb ik net in verschillende posts en door anderen bevestigd gekregen waarom het toch een potentieel risico is (en Mozilla is maar een voorbeeld, het gaat om non-daemon applicaties als root draaien in het algemeen).

Ook heb ik je zojuist uitgelegd dat de exploit dus niet per se van die site zelf hoeft te komen. In een forum kunnen users input geven - een potentieele bron van exploits (als het forum niet supergoed beveiligd is en veel forums zijn dat idd niet). Daarnaast die plaatjes, waarvan jij dus zegt dat er niks mis mee kan zijn, wel dan heb je hier het bewijs van het tegendeel. Op GoT kunnen users hun eigen plaatjes posten (webicons). Als ik veel tijd over zou hebben en niets beters te doen met m'n leven zou ik dus nu de netscape-gebruikers (okay dat zijn er niet veel) geroot kunnen hebben. M'n webserver kan namelijk best afhankelijk van het browser-type andere content sturen. Ook zou ik het 'at random' maar 1 van de 10 keer kunnen doen ofzo. Jij gaat dan echt nooit maar dan ook nooit achterhalen op welke manier je dan geroot bent.

That being said, het risico van eens een keer de FreeBSD site lezen als root zal niet al te groot zijn nee...maar als je 'gewoon altijd' als root browsed (sommige noobs doen dat, ook ik vroeger wel eens), ben je wel vrij dom bezig.

Je kan er gewoon geen ruk mee.

Het enige wat ik hierop kan antwoorden is een quote die vroeger op the l0pht stond:

"Microsoft: That vulnerability is completely theoretical!
The l0pht, making the theoritical practical since 1980"

Wilke schreef op 20 september 2002 @ 11:03:
[...]

Ook heb ik je zojuist uitgelegd dat de exploit dus niet per se van die site zelf hoeft te komen. In een forum kunnen users input geven - een potentieele bron van exploits (als het forum niet supergoed beveiligd is en veel forums zijn dat idd niet).

Er zijn met verschillende fora, zoals UBB en ook oudere versies van VB, inderdaad allerlei problemen. Zo kon je javascript-code misbruiken met [img] tags om de login informatie van anderen in te lezen, met alle gevolgen van dien (scriptkiddie die ineens admin op het forum wordt)

Daarnaast die plaatjes, waarvan jij dus zegt dat er niks mis mee kan zijn, wel dan heb je hier het bewijs van het tegendeel. Op GoT kunnen users hun eigen plaatjes posten (webicons). Als ik veel tijd over zou hebben en niets beters te doen met m'n leven zou ik dus nu de netscape-gebruikers (okay dat zijn er niet veel) geroot kunnen hebben. M'n webserver kan namelijk best afhankelijk van het browser-type andere content sturen. Ook zou ik het 'at random' maar 1 van de 10 keer kunnen doen ofzo. Jij gaat dan echt nooit maar dan ook nooit achterhalen op welke manier je dan geroot bent.

Netschaap is dood

Maar goed, ik accepteer het als bewijs 'dat het kan'. De kans dat het ook daadwerkelijk gebeurt, is klein echter..

That being said, het risico van eens een keer de FreeBSD site lezen als root zal niet al te groot zijn nee...maar als je 'gewoon altijd' als root browsed (sommige noobs doen dat, ook ik vroeger wel eens), ben je wel vrij dom bezig.

Ja ok, het is geen goede gewoonte Morgen vinden ze misschien een grote bug en dan ben je de lul als je op de verkeerde site komt. Hier geldt echter, net zoals voor elk programma op je bak: uptodate blijven.

Maar dan komen we ook terug op wat ik zei: je moet weten waarvoor en wanneer je het gebruikt.

"Microsoft: That vulnerability is completely theoretical!
The l0pht, making the theoritical practical since 1980"

LoL

Ik wil trouwens niet weten hoeveel Windows gebruikers IE zonder patches als 'root' gebruiken *herinnert zich de effecten van NIMDA, een leuke combi van iframe, eml en vbs*