METROPOLIS METAVERSUM

Free Speech for Free Avatars
https://forum.hypergrid.org/

opensim security patch

https://forum.hypergrid.org/opensim-general/opensim-security-patch-t4143.html

Seite 1 von 1

opensim security patch

BeitragVerfasst: Mi 11. Mär 2015, 05:22
von Emil_Jannings
I read in Hypergrid Business about an important new security patch to the opensim software.

All public grids should either install the fix, or configure an HTTP proxy to protect important ports, said OpenSim core developer Justin Clark-Casey in the announcement.

There is a link to Justin's announcement in the March 7th article. It seems especially important for open grids like Metro and I'm wondering what our plans are to implement it. Perhaps it is already part of our defense system or perhaps I should be doing something myself to protect my regions and users and my home network.

Please excuse me if I have missed an announcement on this topic and thanks for any information.

Emil

Re: opensim security patch

BeitragVerfasst: Mi 11. Mär 2015, 11:56
von Gubbly
Das Problem ist ja das in einem Offenen Grid die Ports alle bekannt sein müssen. Spätestens zum betrieb einer Region müssen die Ports Bekannt gegeben werden.
Einige Funktionen zu blocken bringt da auch nix. Das sieht man ja am Papierkorb Problem ;)

Im Grunde ist OpenSim recht sicher, solange niemand die Ports weiß.

Re: opensim security patch

BeitragVerfasst: Mi 11. Mär 2015, 14:34
von Christoph Balhaus
Justin's post on this topic on the opensim-users mailing list was much clearer than the before mentioned HGB article:
http://opensimulator.org/pipermail/opensim-users/2015-March/014271.html

As pre-announced on Monday, OpenSimulator 0.8.1-rc2 [1], 0.8.0.4 [2] and 0.7.6.3 [3] now available [4].

* OpenSimulator 0.7.6.3 and 0.8.0.4 are security releases. Thus, they contain only two functional changes compared to
previous point releases and no database migrations. The changes are

1. llHttpRequest() and osSetDynamicTextureURL*() script functions are now prevented by default from sending HTTP
requests to localhost addresses or other addresses on the simulator's LAN (e.g. 192.168.1.2, etc.). The list of
addresses conforms to that in [5].

If you need to allow scripts to make calls to such addresses, please add specific exceptions to [Network]
OutboundDisallowForUserScriptsExcept in OpenSim.ini. Details on the format of this are in OpenSim.ini.example.

I WOULD SAY THAT YOU SHOULD UPDATE ASAP if you run any installation where you do not trust all users that can execute
llHTTPRequest() (including those entering via Hypergrid).

The exception (and alternative) is if you have already configured llHTTPRequest()/osSetDynamicTextureURL*() to run
through a properly configured HTTP proxy using the existing [Startup] HttpProxy setting in OpenSim.ini.

2. Private services now forbid llHTTPRequest() calls. This is to prevent such calls by simulators that have not been
updated. If you run any grid where you cannot immediately update all simulators to one of these releases (e.g. an open
grid where private service calls are restricted by IP to known simulators) then YOU SHOULD UPDATE SERVICES ASAP.

* OpenSimulator 0.8.1-rc2 contains the above changes and further changes in master since rc1 up until 7e8bad05.

These issues have existed ever since llHTTPRequest() functionality was added in 2007! Thus, ALL RELEASES PRIOR TO 0.7.6
SHOULD BE CONSIDERED UNSAFE unless you trust all possible callers of llHTTPRequest()/osSetDynamicTextureURL*() or you
have an HTTP proxy configured for OpenSimulator. Ideally, one might go back and update much older releases but
resources are scarce and 0.7.5 is now more than 2 years old.

[1] http://opensimulator.org/wiki/0.8.1_Release
[2] http://opensimulator.org/wiki/0.8.0.4_Release
[3] http://opensimulator.org/wiki/0.7.6.3_Release
[4] http://opensimulator.org/wiki/Download
[5] http://en.wikipedia.org/wiki/Reserved_IP_addresses

--
Justin Clark-Casey (justincc)
OSVW Consulting
http://justincc.org
http://twitter.com/justincc

Re: opensim security patch

BeitragVerfasst: Do 12. Mär 2015, 00:49
von Mareta Dagostino
Jeder Insider weiß die Ports, "Geheimhaltung" ist eine absurde Idee in offenen Grids. Deshalb fahre ich seit Jahren OpenSim nur mit einem eingeschränkten Account. Der darf außerhalb seines Home-Verzeichnisses nicht schreiben. Wenn jemand OpenSim hackt, kann er also schlimmstenfalls die Regionen lahm legen, aber keinen bleibenden Schaden verursachen (Backups vorausgesetzt). Trotzdem begrüße ich natürlich jede Initiative, OpenSim sicherer zu machen. :)

Liebe Grüße,
Mareta

Re: opensim security patch

BeitragVerfasst: Do 12. Mär 2015, 11:19
von Christoph Balhaus
Ich denke das Szenario ist, daß sich jemand mittels des Umwegs über Opensim Zugang auf ganz andere Systeme verschafft, weil die Anfragen dann aus dem lokalen Netzwerk kommen dem häufig vertraut wird. Damit wird dann der Schutz durch eine eventuelle Firewall (oder eines NAT Routers) unterwandert.

Die Beispiele in Marias Beitrag waren IMHO nicht so glücklich gewählt. Vorstellbar wäre bei einem Home System aber auch ein Angriff auf einen schlecht geschützten Router, mit gravierenderen Folgen als auf ein TV Gerät, oder bei meinem privaten Grid auf den Robust Server, der sonst durch die Firewall etwas gesichert ist.

Backups helfen leider immer nur, wenn die Folgen so gravierend sind, dass man sie zeitnah bemerkt. Der in den HGB Kommentaren vorgeschlagene Workaround von Dahlia ist aber auch gut und hilft bis zum nächsten regulären Update.
Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/