opensim security patch

* General themes about Metropolis
* Generelle Themen über Metropolis

opensim security patch

Beitragvon Emil_Jannings » Mi 11. Mär 2015, 05:22

Translate to English translate to German Translate to French Translate to Italian Translate to Spanish Translate to Portuguese Translate to Czech Перевести на русский язык 翻译成中国

I read in Hypergrid Business about an important new security patch to the opensim software.

All public grids should either install the fix, or configure an HTTP proxy to protect important ports, said OpenSim core developer Justin Clark-Casey in the announcement.

There is a link to Justin's announcement in the March 7th article. It seems especially important for open grids like Metro and I'm wondering what our plans are to implement it. Perhaps it is already part of our defense system or perhaps I should be doing something myself to protect my regions and users and my home network.

Please excuse me if I have missed an announcement on this topic and thanks for any information.

Emil
Benutzeravatar
Emil_Jannings
 
Beiträge: 92
Registriert: Do 14. Feb 2013, 20:58
Wohnort: Chicago USA

Re: opensim security patch

Beitragvon Gubbly » Mi 11. Mär 2015, 11:56

Translate to English translate to German Translate to French Translate to Italian Translate to Spanish Translate to Portuguese Translate to Czech Перевести на русский язык 翻译成中国

Das Problem ist ja das in einem Offenen Grid die Ports alle bekannt sein müssen. Spätestens zum betrieb einer Region müssen die Ports Bekannt gegeben werden.
Einige Funktionen zu blocken bringt da auch nix. Das sieht man ja am Papierkorb Problem ;)

Im Grunde ist OpenSim recht sicher, solange niemand die Ports weiß.
Ich vermiete Regionen, bei Interesse schreib mich einfach an.
The Sweetest Thing
Benutzeravatar
Gubbly
 
Beiträge: 251
Registriert: Sa 20. Jul 2013, 00:51

Re: opensim security patch

Beitragvon Christoph Balhaus » Mi 11. Mär 2015, 14:34

Translate to English translate to German Translate to French Translate to Italian Translate to Spanish Translate to Portuguese Translate to Czech Перевести на русский язык 翻译成中国

Justin's post on this topic on the opensim-users mailing list was much clearer than the before mentioned HGB article:
http://opensimulator.org/pipermail/opensim-users/2015-March/014271.html

As pre-announced on Monday, OpenSimulator 0.8.1-rc2 [1], 0.8.0.4 [2] and 0.7.6.3 [3] now available [4].

* OpenSimulator 0.7.6.3 and 0.8.0.4 are security releases. Thus, they contain only two functional changes compared to
previous point releases and no database migrations. The changes are

1. llHttpRequest() and osSetDynamicTextureURL*() script functions are now prevented by default from sending HTTP
requests to localhost addresses or other addresses on the simulator's LAN (e.g. 192.168.1.2, etc.). The list of
addresses conforms to that in [5].

If you need to allow scripts to make calls to such addresses, please add specific exceptions to [Network]
OutboundDisallowForUserScriptsExcept in OpenSim.ini. Details on the format of this are in OpenSim.ini.example.

I WOULD SAY THAT YOU SHOULD UPDATE ASAP if you run any installation where you do not trust all users that can execute
llHTTPRequest() (including those entering via Hypergrid).

The exception (and alternative) is if you have already configured llHTTPRequest()/osSetDynamicTextureURL*() to run
through a properly configured HTTP proxy using the existing [Startup] HttpProxy setting in OpenSim.ini.

2. Private services now forbid llHTTPRequest() calls. This is to prevent such calls by simulators that have not been
updated. If you run any grid where you cannot immediately update all simulators to one of these releases (e.g. an open
grid where private service calls are restricted by IP to known simulators) then YOU SHOULD UPDATE SERVICES ASAP.

* OpenSimulator 0.8.1-rc2 contains the above changes and further changes in master since rc1 up until 7e8bad05.

These issues have existed ever since llHTTPRequest() functionality was added in 2007! Thus, ALL RELEASES PRIOR TO 0.7.6
SHOULD BE CONSIDERED UNSAFE unless you trust all possible callers of llHTTPRequest()/osSetDynamicTextureURL*() or you
have an HTTP proxy configured for OpenSimulator. Ideally, one might go back and update much older releases but
resources are scarce and 0.7.5 is now more than 2 years old.

[1] http://opensimulator.org/wiki/0.8.1_Release
[2] http://opensimulator.org/wiki/0.8.0.4_Release
[3] http://opensimulator.org/wiki/0.7.6.3_Release
[4] http://opensimulator.org/wiki/Download
[5] http://en.wikipedia.org/wiki/Reserved_IP_addresses

--
Justin Clark-Casey (justincc)
OSVW Consulting
http://justincc.org
http://twitter.com/justincc
xmpp:cbalhaus@xmpp.h24g.com       http://repo.h24g.com
Benutzeravatar
Christoph Balhaus
 
Beiträge: 34
Registriert: Mi 4. Sep 2013, 12:55

Re: opensim security patch

Beitragvon Mareta Dagostino » Do 12. Mär 2015, 00:49

Translate to English translate to German Translate to French Translate to Italian Translate to Spanish Translate to Portuguese Translate to Czech Перевести на русский язык 翻译成中国

Jeder Insider weiß die Ports, "Geheimhaltung" ist eine absurde Idee in offenen Grids. Deshalb fahre ich seit Jahren OpenSim nur mit einem eingeschränkten Account. Der darf außerhalb seines Home-Verzeichnisses nicht schreiben. Wenn jemand OpenSim hackt, kann er also schlimmstenfalls die Regionen lahm legen, aber keinen bleibenden Schaden verursachen (Backups vorausgesetzt). Trotzdem begrüße ich natürlich jede Initiative, OpenSim sicherer zu machen. :)

Liebe Grüße,
Mareta
https://hyperweb.eu => Server-Tutorial für Linux mit OpenSim, konfigurierter OpenSim Arriba Binärdownload!
Benutzeravatar
Mareta Dagostino
 
Beiträge: 757
Registriert: Sa 29. Jan 2011, 20:26

Re: opensim security patch

Beitragvon Christoph Balhaus » Do 12. Mär 2015, 11:19

Translate to English translate to German Translate to French Translate to Italian Translate to Spanish Translate to Portuguese Translate to Czech Перевести на русский язык 翻译成中国

Ich denke das Szenario ist, daß sich jemand mittels des Umwegs über Opensim Zugang auf ganz andere Systeme verschafft, weil die Anfragen dann aus dem lokalen Netzwerk kommen dem häufig vertraut wird. Damit wird dann der Schutz durch eine eventuelle Firewall (oder eines NAT Routers) unterwandert.

Die Beispiele in Marias Beitrag waren IMHO nicht so glücklich gewählt. Vorstellbar wäre bei einem Home System aber auch ein Angriff auf einen schlecht geschützten Router, mit gravierenderen Folgen als auf ein TV Gerät, oder bei meinem privaten Grid auf den Robust Server, der sonst durch die Firewall etwas gesichert ist.

Backups helfen leider immer nur, wenn die Folgen so gravierend sind, dass man sie zeitnah bemerkt. Der in den HGB Kommentaren vorgeschlagene Workaround von Dahlia ist aber auch gut und hilft bis zum nächsten regulären Update.
xmpp:cbalhaus@xmpp.h24g.com       http://repo.h24g.com
Benutzeravatar
Christoph Balhaus
 
Beiträge: 34
Registriert: Mi 4. Sep 2013, 12:55


Zurück zu General Themes / Generelle Themen

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 1 Gast



Powered by phpBB

Deutsche Übersetzung durch phpBB.de
.

Style designed by Artodia.