Diversas vulnerabilidades no servidor NFS do BSD

A correção já está no ar e recomenda-se que todos os usuários de todos os sistemas BSDs atualizem imediatamente!


| Se você apoia nosso site, desative o AdBlock quando visitá-lo, inclusive em Mobile!
Os anúncios são poucos e não invasivos. Se quiser contribuir com nosso trabalho, clique em qualquer banner de sua preferência, exceto dos Parceiros. 
Mais detalhes clicando aqui.


Introdução

O FreBSD é um sistema livre tal qual o Linux porém mais próximo do UNIX do que o Linux – Abordamos mais sobre o BSD nesta publicação!

Já o NFS (Network File System) é um servidor e aplicativo cliente que transforma o FreeBSD (e o Linux também) em um servidor de compartilhamento de arquivos. O NFS é basicamente uma alternativa ao Samba Share (SMB, da Microsoft), o qual já abordamos também em nosso site, nesta outra publicação!

O problema está no fato de que um novo bug foi encontrado no código do servidor NFS, que pode permitir que um invasor remoto explore uma falha, resultando em um ataque de negação de serviço (DoS). Outra possibilidade é executar código arbitrário no servidor, permitindo o ataque remoto passivo.

Discussão

Conforme destacado na lista de discussão:

O Network File System (NFS) permite que um host exporte alguns ou todos os seus sistemas de arquivos para que outros hosts possam acessá-los pela rede e montá-los como se fossem locais. O FreeBSD inclui implementações de servidor e cliente do NFS.

A verificação insuficiente e incorreta no código do servidor NFS pode causar uma negação de serviço ou, possivelmente, a execução remota de código por meio de um pacote de rede especialmente criado.

Nenhuma solução alternativa está disponível, mas os sistemas que não fornecem serviços NFS não são vulneráveis. Caso faça uso do serviço, mantenha seu sistema atualizado.

Além disso, é altamente recomendável que a porta de serviço NFS (número de porta padrão 2049) seja protegida por um host ou firewall baseado em rede para impedir que clientes arbitrários e não confiáveis ​​possam se conectar.

Corrigindo

Foi lançado um patch binário no repositório do BSD, bastando fazer os seguintes comandos para atualiza-lo:

# uname -mrs
# freebsd-update fetch

Após isso, reinicie o sistema para aplicar as alterações.
Esse método só serve para o BSD com kernel padrão.

Caso esteja usando um kernel customizado, siga o procedimento:

# svn update /usr/src/
# more /usr/src/UPDATING
# cp -v /usr/src/share/examples/jails/VIMAGE /usr/src/sys/amd64/conf/VIMAGE
# cd /usr/src/
# make -j 16 KERNCONF=VIMAGE kernel
# reboot
# freebsd-version

Conclusão

Nenhum sistema está plenamente seguro, nem mesmo o FreeBSD; inclusive já abrimos a discussão, nesta publicação, sobre a possibilidade do BSD estar morrendo devido á baixa manutenção do código.

Mas ver que ainda encontram problemas e os corrigem rapidamente mostra que os desenvolvedores continuam prezando pela manutenção e preservação da plataforma BSD.

#UrbanCompassPony

Fonte:
cyberciti.biz

2 comentários em “Diversas vulnerabilidades no servidor NFS do BSD”

  1. Da publicação dessa matéria para hoje, ABR/2024, quem tem mais casos de vulnerabilidade? BSD continua firme como uma rocha, já o GNU/Linux, mais de 10 anos para correção de vulnerabilidade no kernel, vulnerabilidade no SSH, .xz…

    Responder
    • FreeBSD é feito pra ser seguro. E portanto fica facil tornar seguro quando não tem quase nada de interessante pra usar no sistema, sem novidades, as coisas precisam chegar através de Ports, por exemplo Steam não é nativa, nem o Google Chrome (roda sob os mesmos binários do Ubuntu) ou mesmo um simples app requer o “kldload linux” que é basicamente rodar linux embaixo do BSD. Pra ser popular precisa ser uma “solução”, quando muitas pessoas veem utilidade para aquele software e de fato o usam.

      Proporcionalmente, mais olhos no kernel linux = mais bugs/falhas resolvidas. BSD até tinha um problema de ter menos mantenedores, proporcionalmente falando, uma vez que quem o utiliza como a Sony (sistema PS5) ou a Netflix, desenvolve suas proprias soluções pro código e mal colabora ativamente com a comunidade.

      DITO ISSO, quase cogitei sair do Linux e usar FreeBSD como sistema principal. Mas problemas que eu não tenho no linux, como os drivers da minha RTX 3050, ou mesmo utilizar aplicações nativas como o Steam são um empecilho grande demais pra mim, até maior do que os que tive quando saí do Windows para o Linux anos atras.

      Responder

Deixe um comentário