امنیت در اپن سورس

Printable View

09-05-2008, 10:44
taia

امنیت در اپن سورس

سلام...
به پیشنهاد دوستان، و با توجه به اینکه بحث های پراکنده ی زیادی در مورد مقایسه برنامه های کد باز در مقابل برنامه های انحصارگرا در امنیت انجام شده تا به الآن، برای تجمع این بحثها در یک محل و همچنین برای تبادل نظر پی در پی در مورد امنیت در اپن سورس و مشخصا لینوکس این تاپیک رو ایجاد کردم، امیدوارم بحثها علمی و با دلایل منطقی و مستدل انجام بشه و جدا از هرگونه تعصب و یا دلایل شخصی.
موفق باشید.:11:
11-05-2008, 08:42
taia

مقاله ای قدیمی ولی مفید برای اطلاعات کلی از امنیت در لینوکس:

کد:

http://www.farsilinux.org/DownloadCenter/Learning/Slides/advance/chapter30-Linux%20&%20Security.pdf
11-05-2008, 08:50
taia

توضیحی در مورد امنیت و ویروس در ویندوز و لینوکس:

کد:

http://portal.dpilinux.com/modules/wfdownloads/visit.php?cid=28&lid=35
13-05-2008, 23:56
taia

یک منبع جالب با توضیخاتی کامل اما ساده.

کد:

http://www.linuxtopia.org/LinuxSecurity/
14-05-2008, 14:59
sudotux

taia جان دستت درد نکنه. خیلی جامع و کامل بود. فکر نمی کنم دیگه سوالی در مورد مسئله امنیت برای کسی باقی مونده باشه ! :11:
15-05-2008, 20:37
taia

نقل قول:

نوشته شده توسط Hosein-mec [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

taia جان دستت درد نکنه. خیلی جامع و کامل بود. فکر نمی کنم دیگه سوالی در مورد مسئله امنیت برای کسی باقی مونده باشه ! :11:

خواهش می کنم، امیدوارم بتونیم لینوکس و از اوون مهمتر کدباز رو از نظر امنیت و بحثهایی که در این زمینه می شه پشتیبانی کنیم.
:11:
28-05-2008, 11:01
taia

یک مرجع اطلاعاتی برای تک تک اتفاقات امنیتی در لینوکس:

کد:

http://www.linuxsecurity.com/
31-05-2008, 11:36
c0dest0rm

واقعا عالیه.
دستتون درد نکنه.
31-05-2008, 11:56
Gita

ممنون [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
استفاده کردم
یه پیشنهاد:
گرچه که میدونم کمه اما اگه دنبال مطالب فارسی بیشتری باشید بهتره، عموما بیشتر به نوشته های فارسی توجه میشه تا نوشته های انگلیسی.
ضمنا یه بانک مقالات فارسی جمع میشه و به اشاعه مطالب تخصصی وب فارسی و وب فارسی کمک میکنه
31-05-2008, 14:13
taia

Debian OpenSSL Predictable Random Number Generator and Update

نقل قول:

نوشته شده توسط Gita [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ممنون [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
استفاده کردم
یه پیشنهاد:
گرچه که میدونم کمه اما اگه دنبال مطالب فارسی بیشتری باشید بهتره، عموما بیشتر به نوشته های فارسی توجه میشه تا نوشته های انگلیسی.
ضمنا یه بانک مقالات فارسی جمع میشه و به اشاعه مطالب تخصصی وب فارسی و وب فارسی کمک میکنه

چشم حتما :20:

--------------------

کد:

http://www.openssl.org/news/secadv_20071012.txt

آسیب پذیری خطرناکی که در OpenSSL برای توزیع Debian گزارش شده است می تواند باعث سو استفاده از سیستم های کاربران و برای اختلال در سرویس دهی DoS (Denial of Service) مورد استفاده قرار گیرد .

آسیب پذیری از آنجا ناشی می شود که مکانیزم تولید اعداد تصادفی Debian's openssl package قابل حدس زدن و دستیابی می باشد . و این مورد باعث بوجود آمدن کلید های رمزنگاری ضعیف خواهد شد این کلید های در
SSH keys
OpenVPN keys
DNSSEC keys
key material برای استفاده در X.509 certificates و session keys استفاده شده در SSL/TLS connections استفاده می شود .
کلید های استفاده شده در GnuPG یا GNUTLS دارای مشکلی نمی باشند
این آسیب پذیری برای پکیج هایی OpenSSL که با 0.9.8c-1 شروع می شوند گزارش شده است .
آسیب پذیری دیگری در پیاده سازی DTLS می تواند باعث اختلال در سرویس دهی و یا سواستفاده از سیستم های آسیب پذیر مورد استفاده قرار گیرد .

اطلاعات تکمیلی :

کد:

http://secunia.com/advisories/25878/

راه چاره :
استفاده از پکیج های بروزرسانی شده و ایجاد دوباره تمام کلید های رمزنگاری cryptographic key اکیدا توصیه می شود .

اطلاعات تکمیلی را در سایت سازنده بیابید .
Debian GNU/Linux 4.0 alias etch
- - -------------------------------

Source archives:

کد:

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3.dsc

Size/MD5 checksum: 1099 5e60a893c9c3258669845b0a56d9d9d6

کد:

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c.orig.tar.gz

Size/MD5 checksum: 3313857 78454bec556bcb4c45129428a766c886

کد:

http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.8c-4etch3.diff.gz

Size/MD5 checksum: 55320 f0e457d6459255da86f388dcf695ee20

منبع:

کد:

http://www.bugtraq.ir/news/182
31-05-2008, 14:27
taia

Linux Kernel Multiple Vulnerabilities

چندین آسیب پذیری در کرنل لینوکس Linux Kernel گزارش شده است که می تواند توسط کاربران برای اختلال سیستم و یا ارتقا سطح دسترسی مورد استفاده قرار گیرد .

1- یک خطای حالت رقابت race condition در dnotify subsystem در بین فراخوانی "fcntl()" و "close()" می تواند باعث کرش و یا گرفتن دسترسی مدیریتی root بر روی سیستم شود .

2- یک خطای حدی در Tehuti network driver می تواند باعث تخریب حافظه کرنل با استفاده از فراخوان "BDX_OP_WRITE" IOCTL شود .
راه چاره : بروزرسانی به نگارش2.6.25.1

منبع:

کد:

http://www.bugtraq.ir/news/181
31-05-2008, 14:39
sudotux

نقل قول:

نوشته شده توسط taia [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

چندین آسیب پذیری در کرنل لینوکس Linux Kernel گزارش شده است که می تواند توسط کاربران برای اختلال سیستم و یا ارتقا سطح دسترسی مورد استفاده قرار گیرد .

1- یک خطای حالت رقابت race condition در dnotify subsystem در بین فراخوانی "fcntl()" و "close()" می تواند باعث کرش و یا گرفتن دسترسی مدیریتی root بر روی سیستم شود .

2- یک خطای حدی در Tehuti network driver می تواند باعث تخریب حافظه کرنل با استفاده از فراخوان "BDX_OP_WRITE" IOCTL شود .
راه چاره : بروزرسانی به نگارش2.6.25.1

taia جان بابت اخباری که میگذاری ممنونم.

البته این خبری که گذاشتی باید کمی قدیمی باشه, چون حدود ۱۵ روز پیش کرنل 2.6.25.4 هم اومده.
نکته مهم دیگه اینه که این آسیب پذیری ها ( قبل از اینکه مشکل و خطری ایجاد کنه ) بالافاصله کشف و رفع میشه !
01-06-2008, 08:02
taia

نقل قول:

نوشته شده توسط Hosein-mec [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

taia

البته این خبری که گذاشتی باید کمی قدیمی باشه, چون حدود ۱۵ روز پیش کرنل 2.6.25.4 هم اومده.
نکته مهم دیگه اینه که این آسیب پذیری ها ( قبل از اینکه مشکل و خطری ایجاد کنه ) بالافاصله کشف و رفع میشه !

دقیقا، این خبر مربوط به اویل سال میلادی جدید هست، ولی علت اینکه گذاشتم خیلی از توزیعها از کرنل جدید هنوز استفاده نمی کنند و بهتره که دوستان دستی کرنل جدید رو نصب کننند.
در مورد نکته ی بعد هم، دقیقا هینطور هست، بالاخره برتری های کدباز اینجاهاست دیگه:31:
ممنون
11-06-2008, 15:49
taia

Linux Server Security

نقل قول:

Linux Server Security, 2nd Edition expertly conveys to administrators and developers the tricks of the trade that can help them avoid serious security breaches. It covers both background theory and practical step-by-step instructions for protecting a server that runs Linux. Packed with examples, this must-have book lets the good guys stay one step ahead of potential adversaries.

دانلود:

کد:

http://rapidshare.com/files/52363376/Dog_Pictures.rar

پسورد:

نقل قول:

TwiceThe@Warez-BB.org