Säkerhet

---

Mål

OpenBSD tror på stark säkerhet. Vår strävan är att vara NUMMER ETT inom industrin för säkerhet (om vi inte redan är det). Vår öppna utvecklingsmodell möjliggör för oss att ha en mer okompromissad syn på ökad säkerhet än vad Sun, SGI, IBM, HP eller andra distributörer kan. Vi kan göra förändringar som de andra inte skulle göra. Eftersom OpenBSD exporteras med kryptografi, kan vi också använda kryptografiska metoder för att fixa säkerhetsproblem.

Fullständig avslöjandepolicy

Som många läsare av BUGTRAQ-mailinglistan vet, tror vi på fullständigt avslöjande och full öppenhet angående säkerhetsproblem. I operativsystemsarenan är vi nog de första att anta konceptet fullt ut. Många distributörer, även av fri mjukvara, försöker fortfarande gömma saker ifrån deras användare.

Säkerhetsinformation sprids väldigt snabbt inom cracker-kretsar. Å andra sidan, vår erfarenhet är att kodning och utgivning av ordentliga säkerhetsfixar brukar kräva ungefär en timmes arbete -- väldigt snabba lösningar är möjliga. Därför anser vi att full öppenhet och fullständigt avslöjande av säkerhetsproblem hjälper de människor som verkligen bryr sig om säkerhet.

Granskningsprocess

Vårt säkerhetsgranskningsteam har normalt mellan sex och tolv medlemmar som fortsätter att leta efter och laga nya säkerhetshål. Vi har granskat sedan sommaren 1996. Processen som vi följer för att öka säkerheten är helt enkelt en omfattande fil-för-fil analys av varje kritisk mjukvarukomponent. Vi letar inte så mycket efter säkerhetshål, som vi letar efter simpla mjukvarubuggar, och om någon några år senare upptäcker ett säkerhetshål, som vi fixade bara för att det var en bugg, desto bättre. Skavanker och brister har hittats i stort sett varenda del av systemet. Helt nya typer av säkerhetsproblem har upptäckts under vår granskning, och ofta behövs redan granskad kod återgranskas med dessa brister i åtanke. Kod blir ofta granskad flera gånger, och av flera människor med olika granskningskunskaper.

Några medlemmar av vårt säkerhetsgranskningsteam jobbade för Secure Networks, företaget som gjorde industrins främsta scanner för nätverkssäkerhet, kallad Ballista (Secure Networks blev uppköpta av Network Associates, Ballista blev omdöpt till Cybercop Scanner, och ja...). Det företaget gjorde en hel del säkerhetsforskning, och platsar därför bra in i OpenBSD:s laguppställning. OpenBSD passerade igenom Ballista:s tester lätt som en plätt från första dagen.

En annan fasett av vår säkerhetsgransknings är dess proaktivitet. I de flesta fall har vi funnit att bedömningen om huruvida det är en exploit eller inte, inte spelar roll. Under vår pågående granskningsprocess finner vi många buggar, och vi försöker laga dem även om det inte är bevisat att den är exploaterbar. Vi fixar buggen, och vi fortsätter att leta efter fler buggar att fixa. Vi har lagat många simpla, själkvklara och slarviga programmeringsfel i kod, och för att bara några månader senare upptäcka att felen i själva verket var exploaterbara. (Eller mer troligt, någon på BUGTRAQ rapporterar att andra operativsystem var sårbara till ett "nyfunnet problem", och det visar sig att OpenBSD hade det fixad i en tidigare version). I andra fall har vi blivit räddade ifrån att vara fullt exploaterbara från komplexa steg-för-steg attacker för att vi hade fixat en av de mellanliggande stegen. Ett exempel på när vi lyckades med det var när Secure Networks gav råd angående lpd (en "lpd-advisory").

Belöningen

Vår proaktiva granskningsprocess har verkligen lönat sig. Uttalanden som "Det här problemet var fixat i OpenBSD för redan 6 månader sedan." har blivit vanliga i säkerhetsforum som BUGTRAQ.

Den mest intensiva delen av vår säkerhetsgranskning skedde direkt innan OpenBSD 2.0 och under övergången från 2.0 till 2.1, från den senare tredjedelen av 1996 till och med den andra halvan av 1997. Tusentals (ja, tusentals) säkerhetsfrågor fixades snabbt och lagades under den här årslånga perioden; buggar som den vanliga bufferöversvämningen, svagheter i protokollimplementationer, insamling av information och filsystemsurspårningar. Följdaktligen fixades de flesta av de säkerhetsproblem som vi stötte på innan vår lansering av version 2.1, och sedan behövdes ett mycket mindre antal fel fixas inför 2.2. Nuförtiden finner vi inte lika många fel. Den senaste tiden tenderar problemen som vi fixar vara mycket obetydliga/skumma eller komplicerade. Fortfarande så envisas vi dock på grund av ett antal orsaker:

• Då och då upptäcker vi simpla fel som vi har missat förut. Åh!
• Säkerhet är ungefär som en kapprustning; de bästa anfallarna kommer fortsätta att leta efter mer komplicerade exploiter, därför kommer även vi att göra det.
• Finna och laga svårfunna skavanker i komplicerad mjukvara är väldigt kul.

Granskningsprocessen är inte över ännu, och som du kan se fortsätter vi att finna och laga nya säkerhetsbrister hela tiden.

"Säkert ifrån början"

För att försäkra sig om att nybörjare på OpenBSD inte behöver bli säkerhetsexperter över en natt (ett synsätt som många andra distributörer verkar ha), skeppar vi operativsystemet i ett "Säkert ifrån början"-läge. Alla icke-viktiga tjänster är inaktiverade. När användaren/administratören blir mer bekant med systemet, kommer han upptäcka att han måste aktivera daemoner och andra delar av systemet. Under inlärningsprocessen i att aktivera en ny tjänst, kommer nybörjaren troligen lära sig att beakta säkerheten.

Det är i stark kontrast mot de antal system som skeppas med NFS, mountd, webbservrar och andra dylika tjänster aktiverade som standard - det skapar ögonblickligen säkerhetsproblem för dess användare, bara minuter efter deras första installation.

Kryptografi

Eftersom OpenBSD-projektet är baserat i Kanada, är det möjligt för oss att inkludera kryptografi. För mer information läs sidorna som sammanfattar vad vi har gjort med kryptografi.

Råd

OpenBSD 2.7 säkerhetsråd

Det här är OpenBSD 2.7 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Sjävklart är alla 2.6 råden nedan listade, fixade i OpenBSD 2.7.

• 14 juli, 2000: Olika buggar funna i X11 biblioteken har flera olika sideffekter, nästan fullständigt denial of service i OpenBSD. (fix inkluderad).
• 5 juli, 2000: Ungefär som mer eller mindre alla andra UNIX FTP daemoner på planeten; ftpd har ett fjärr-root-hål i sig. Turligt nog så var ftpd inte aktiverat som standard. Problemet existerar bara om anonym FTP är påslaget. (fix inkluderad).
• 5 juli, 2000: Mopd, väldigt sällan använt, innehåller några bufferöversvämningar. (fix inkluderad).
• 28 juni, 2000: libedit letade efter en .editrc-fil i den aktuella katalogen. Inte känt för att vara ett riktigt säkerhetsproblem, men en fix existerar i alla fall. (fix inkluderad).
• 24 juni, 2000: En allvarlig bugg i dhclient(8) tillät att strängar från en ond dhcp-server utfördes i skalet som root. (fix inkluderad).
• 9 juni, 2000: En allvarlig bugg i isakmpd(8) policy hantering, där policy hanteringen kunde förbigås helt och hållet i isakmpd. (fix inkluderad).
• 6 juni, 2000: Flaggan UseLogin (som inte är satt som standard) i /etc/sshd_config är trasig, bör inte användas, och resulterar i säkerhetsproblem på andra operativsystem.
• 26 maj, 2000: learning flaggan till bridge(8) kan förbigås. (fix inkluderad).
• 25 maj, 2000: Icke-korrekt användande av ipf keep-state regler kan resultera i att brandväggsreglerna förbigås. (fix inkluderad).

OpenBSD 2.6 säkerhetsråd

Det här är OpenBSD 2.6 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Självklart är alla OpenBSD 2.5 råd nedan listade, fixade i OpenBSD 2.6.

• 26 maj, 2000: SYSV semaforstödet innhöll ett odokumenterat systemanrop vilket kunde hindra semafor-användande processer från att avslutas. (fix inkluderad).
• 25 maj, 2000: Icke-korrekt användande av ipf keep-state regler kan resultera i att brandväggsreglerna förbigås. (fix inkluderad).
• 25 maj, 2000: xlockmore har en bugg, som en lokal attackerare kan utnyttja till att få tillgång till på den enkrypterade root lösenordshashen (vilken vanligtvis är kodad med blowfish (se crypt(3))). (fix inkluderad).
• 20 januari, 2000: System som kör med procfs aktiverat och monterat är sårbara för en mycket bedräglig exploit. procfs är inte monterat som standard. (fix inkluderad).
• 9 november, 1999: Vilken användare som helst kunde ändra interfacen:s mediakonfiguration, vilket resulterade i en lokal denial of service attack. (fix inkluderad).
• 2 december, 1999: En bufferöversvämning i RSAREF koden inkluderad i USA-versionen av libssl, är möjligen exploitbar i httpd, ssh eller isakmpd - om SSL/RSA är aktiverat. (fix inkluderad).
  Uppdatering: Det visade sig att detta inte var exploatbart i någon av mjukvaran inkluderad i OpenBSD 2.6.
• 4 december, 1999: Sendmail tillät vilken användare som helst att orsaka att en alias-fil wrappade, och genom det exponera systemet för en urspårning där alias-filen inte existerade. (fix inkluderad).

OpenBSD 2.5 säkerhetsråd

Det här är OpenBSD 2.5 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Självklart är alla OpenBSD 2.4 råd nedan listade, fixade i OpenBSD 2.5.

• 30 augusti, 1999: I cron(8), kolla så att argv[] avslutas med NULL i fake popen(), och kör sendmail som en användare, inte som root. (fix inkluderad).
• 12 augusti, 1999: procfs och fdescfs filsystemen hade en överskridning i deras hantering av uio_offset i deras readdir() rutiner. (Dessa filsystem är inte aktiverade som standard). (fix inkluderad).
• 9 augusti, 1999: Stoppa profilering när vi execve():ar en ny process (fix inkluderad).
• 6 augusti, 1999: Paket som borde ha blivit hanterade av IPsec kan ha blivit transporterade i klartext. Expirerande av PF_KEY SA kan läcka kärnresurser. (fix inkluderad).
• 5 augusti, 1999: I /etc/rc, använd mktemp(1) till omskrivning av motd och få find(1) att använda -execdir. (fix inkluderad).
• 30 juli, 1999: Tillåt inte vanliga användare att göra chflags(2) eller fchflags(2) på tecken- eller block devices vilka de för närvarande kan vara ägare av. (fix inkluderad).
• 27 juli, 1999: Gör så att groff(1) blir anropad med -S flaggan, när den blir anropad av nroff(1). (fix inkluderad).

OpenBSD 2.4 säkerhetsråd

Det här är OpenBSD 2.4 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Självklart är alla OpenBSD 2.3 råd nedan listade, fixade i OpenBSD 2.4.

• 22 mars, 1999: nfds argumentet för poll(2) måste begränsas, för att undvika att kvm får slut på resurser. (fix inkluderad).
• 21 mars, 1999 En ändring i TSS-hanteringen förhindrar ännu en krasch av kärnan orsakad av crashme programmet. (fix inkluderad).
• 25 februari, 1999: En okontrollerad ökning av nlink-värdet i FFS och EXT2FS filsystemen kan orsaka en systemkrasch. (fix inkluderad).
• 23 februari, 1999: Ännu en bufferöversvämning fanns i ping(8). (fix inkluderad).
• 19 februari, 1999: ipintr() hade en urspårning i använding av ipq:n, vilket kunde tillåta en attackerare att orsaka en krasch. (fix inkluderad).
• 17 februari, 1999: Ett timingproblem i kärnan mellan anropen accept(2) och select(2) kunde tillåta en attackerare att fjärrhänga sockets. (fix inkluderad).
• 17 februari, 1999: Ihopsättnig av IP-fragment kan köra fast maskinen och vålla problem. (fix inkluderad).
• 12 februari, 1999: i386 T_TRCTRAP-hanteringen och DDB påverkade varandra såpass att en krasch kunde uppstå. (fix inkluderad).
• 11 februari, 1999: TCP/IP RST-hanteringen var slarvig. (fix inkluderad).
• 27 november, 1998: Det finns ett fjärr-exploaterbart problem i bootpd(8). (fix inkluderad).
• 19 november, 1998: Det är möjligen ett lokalt exploaterbart program relaterat till miljövariabler i termcap och curses. (fix inkluderad).
• 13 november, 1998: Det finns en fjärr-maskinlåsningsbugg i TCP-avkodningskärnan. (fix inkluderad).

OpenBSD 2.3 säkerhetsråd

Det här är OpenBSD 2.3 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Självklart är alla OpenBSD 2.2 råd nedan listade, fixade i OpenBSD 2.3.

• 27 november, 1998: Det existerar ett fjärr-exploaterbart problem i bootpd(8). (fix inkluderad).
• 13 november, 1998: Det finns en fjärr-maskinlåsningsbugg i TCP-avkodningskärnan. (fix inkluderad).
• 2 juli, 1998: setuid och setgid processer borde inte exekveras med fd sloten 0, 1 eller 2 fria. (fix inkluderad).
• 31 augusti, 1998: En godartad resolver-bufferöversvämningsbugg vart olyckligtvis återintroducerad. (fix inkluderad).
• 6 juli, 1998: Fortsatta problem med X-biblioteken. (fix inkluderad).
• 4 juni, 1998: På icke-Intel i386 maskiner; vilken användare som helst kan använda pctr(4) för att krascha maskinen.
• 17 maj, 1998: kill(2) på setuid/setgid målprocesser alltför toleranta. (4:e revisionens fix inkluderad).
• 11 maj, 1998: mmap() tillåter ofullständigt kringående av "oföränderlighets"- och "lägga-till"-flaggor. (fix inkluderad).
• 1 maj, 1998: Bufferöversvämning i xterm och Xaw. (CERTs utgåva VB-98.04) (fix inkluderad).
• 5 maj, 1998: Inkorrekt hantering av IPsecpaket om IPsec är aktiverat. (fix inkluderad).

OpenBSD 2.2 säkerhetsråd

Det här är OpenBSD 2.2 råden -- alla dessa problem har blivit lösta i OpenBSD-current. Självklart är alla OpenBSD 2.1 råd nedan listade, fixade i OpenBSD 2.2.

• 5 maj, 1998: Inkorrekt hantering av IPsecpaket om IPsec är aktiverat. (fix inkluderad).
• 1 maj, 1998: Buffer översväming i xterm och Xaw. (CERTs utgåva VB-98.04) (fix inkluderad).
• 22 april, 1998: Bufferöversvämning i uucpd. (fix inkluderad).
• 22 april, 1998: Bufferfelhantering i lprm. (fix inkluderad).
• 31 mars, 1998: Översvämning i ping -R. (fix inkluderad).
• 30 mars, 1998: Översvämning i nameds fake-iquery. (fix inkluderad).
• 2 mars, 1998: Olycklig NFS filsystems exportering. (fix inkluderad).
• 26 februari, 1998: Brist i mmap() med läs-skrivrättigheter. Revision 3 av fixen är tillgänglig här.
• 19 februari, 1998: Accepterande av källroutat paket. En fix är tillgänglig här.
• 13 februari, 1998: Setuid-coredumpar and Ruserok()-brister. (fix inkluderad).
• 9 februari, 1998: MIPS ld.so brist. (fix inkluderad).
• 10 december, 1997: Intel P5 f00f låsning. (fix inkluderad).

OpenBSD 2.1 säkerhetsråd

Det här är OpenBSD 2.1 råden. Alla dessa problem är lösta i OpenBSD 2.2. Några av dessa problem existerar fortfarande i andra operativsystem. (Om du använder OpenBSD 2.1, rekommenderar vi starkt att du uppgraderar till den nyaste versionen, eftersom den här listan med fixar enbart försöker att fixa de viktigaste säkerhetsproblemen. Särskilt fixar OpenBSD 2.2 ett antal lokala säkerhetsproblem. Många av dem blev lösta på sådana vis att det gör det svårt för oss att erbjuda fixar).

• 15 september, 1997: Avvikande signaler. (fix inkluderad).
• 2 augusti, 1997: Rfork()-systemanropsbrister. (fix inkluderad).
• 24 juni, 1997: Procfs-brister. (fix inkluderad).

OpenBSD 2.0 säkerhetsråd

Det här är OpenBSD 2.0 råden. Alla dessa problem är lösta i OpenBSD 2.1. Några av dessa problem existerar fortfarande i andra operativsystem. (Om du kör OpenBSD 2.0, lovordar vi dig för att du var där i de gamla dagarna!, men du missar massa saker om du inte installerar en ny version!).

• 22 april, 1997: Förutsägbara ID:n i resolvern. (fix inkluderad).
• Många andra... om folk kan leta upp dem, var god kontakta mig så kan vi lägga upp dem här.

Följa våra ändringar

Eftersom vi tar en proaktiv ställning mot säkerhet, hittar och fixar vi hela tiden nya säkerhetsproblem. Inte alla av dessa blir vida kända eftersom (som vi redan sagt) många av dem är inte konfirmerade som exploaterbara; många simpla buggar som vi fixar visar sig tillslut ha säkerhetskonsekvenser som vi inte kunde förutsäga. Vi har inte den tiden det krävs till att göra dessa ändringar i det ovanstående formatet.

Följdaktligen är det vanligtvis små säkerhetsfixar i den aktuella källkoden jämfört med den föregående stora OpenBSD utgåvan. Vi lämnar en begränsad garanti för att dessa problem har en liten påverkan och icke bevisbar exploaterbarhet. Om vi finner att ett problem definitivt spelar någon som helst roll för säkerheten, kommer fixar dyka upp här MYCKET fort.

Folk som verkligen är oroade angående säkerheten kan göra ett antal saker:

• Om du förstår säkerhetsfrågor, följ vår källkods-ändringsmailinglista, och håll utkik efter saker som verkar säkerhetsrelaterade. Eftersom exploaterbarhet inte är bevisat för många av de fixar som vi gör, förvänta dig inte att commit-meddelandet säger något i stil med "SECURITY FIX!". Om ett problem är påvisat och allvarligt, kommer en fix vara tillgänglig här en mycket kort tid därefter.
• Följ vårt current källkodsträd, och lär dig själv hur man bygger ett komplett system (läs /usr/src/Makefile noggrannt). Användare kan dra den slutsatsen att current-trädet alltid har starkare säkerhet än någon tidigare version. Dock, att bygga ditt eget system ifrån källkoden är inte alltför lätt; det är nästan 300 MB med källkod, och problem uppstår ibland då vi övergår från en stor utgåva till en annan.
• Installera en binär snapshot för din arkitektur, vilka tillverkas rätt ofta. Till exempel, en i386-snapshot är vanligtvis gjord tillgänglig varje vecka.

Rapportera problem

Om du finner ett nytt säkerhetsproblem, kan du maila det till deraadt@openbsd.org.
Om du vill PGP-kryptera det (men snälla gör det bara om hemlighållande är väldigt vitalt, eftersom det är besvärligt) använd den här pgp-nyckeln.

Fortsatt läsning

Ett flertal dokument har skrivits av OpenBSDs team-medlemmar, om säkerhetsreleterade förändringar de har gjort i OpenBSD. Postscript-versioner av dessa dokument är tillgängliga här:

• A Future-Adaptable Password Scheme.
  Usenix 1999, av Niels Provos, David Mazieres.
  dokument och diabilder.

• Cryptography in OpenBSD: An Overview.
  Usenix 1999, av Theo de Raadt, Niklas Hallqvist, Artur Grabowski, Angelos D. Keromytis, Niels Provos.
  dokument och slides.

• strlcpy and strlcat -- consistent, safe, string copy and concatenation.
  Usenix 1999, av Todd C. Miller, Theo de Raadt.
  dokument och diabilder.

• Dealing with Public Ethernet Jacks-Switches, Gateways, and Authentication.
  LISA 1999, av Bob Beck.
  dokument och diabilder.