Компания Oracle сформировала (https://www.mail-archive.com/vbox-announce@virtualbox.o...) корректирующие релизы системы виртуализации VirtualBox 6.0.6 и 5.2.28, в которых отмечено 39 исправлений (https://www.virtualbox.org/wiki/Changelog-6.0). В новых выпусках также устранено 12 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...), из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Подробности не сообщаются, но судя по уровню CVSS устранены проблемы, продемонстрированные (https://www.opennet.ru/opennews/art.shtml?num=50376) на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.Основные изменения в выпуске 6.0.6:
- Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169, 5.0 и 5.1. Добавлен лог с результатами сборки модулей для ядра Linux. Реализована сборка драйверов для загрузки в режиме Secure Boot. Повышена производительность и надёжность работы совместных каталогов (shared folder);
- Внесены небольшие изменения в интерфейс пользователя. Налажено отображение прогресса удаления снапшотов. Исправлены проблемы с копированием файлов и отображением прогресса операций копирования во встроенном файловом менеджере. Исправлены ошибки, проявляющиеся при автоматизированной установке Ubuntu в гостевых системах;
- Добавлена начальная поддержка формата QCOW3 в режиме только для чтения. Исправлены ошибки при чтении некоторых образов QCOW2;- Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA. Улучшена совместимость VMSVGA со старыми X-серверами. Обеспечена возможность использования VMSVGA при работе с интерфейсом прошивок EFI. Решены проблемы с пропаданием курсора, если не установлены дополнения для интеграции поддержки мыши.
Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;
- Решены проблемы с загрузкой сохранённого состояния для устройств LsiLogic;- Решены проблемы со вложенной виртуализацией на системах с процессорами AMD;
- Улучшена эмуляция IDE PCI, обеспечена возможность работы IDE-драйверов NetWare c использованием режима bus-mastering;
- Для бэкенда DirectSound добавлена возможность перебора имеющихся звуковых устройств;
- В сетевой подсистеме решены проблемы с добавочным заполнением пакетов при использовании Windows на стороне хоста;
- Решены проблемы с эмуляцией последовательного порта;
- Исправлена ошибка, приводившая к дублированию совместно используемых каталогов (Shared folder) после восстановления виртуальной машины из сохранённого состояния;
- Устранены проблемы при копировании файлов между хостом и гостевой системой в режиме Drag and drop;- Устранён крах при использовании VBoxManage;
- Исправлена ошибка, приводившая к зависанию в случае попыток запуска виртуальной машины после сбоя;
- В гостевых системах с Windows решены проблемы с использованием сложных конфигураций экрана с использованием драйвера WDDM (устранено зависание Skype for Business и крахи гостевых систем с WDDM);
- Улучшена поддержка совместных каталогов для гостевых систем с OS/2;- В web-сервисах обеспечена поддержка Java 11;
- Налажена компиляция с LibreSSL;
- Решены проблемы со сборкой для FreeBSD.
URL: https://www.mail-archive.com/vbox-announce@virtualbox.o...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50528
> устранено 12 уязвимостей, из которых 7 имеют критическую степень опасности (CVSS Score 8.8)Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?
> устранены проблемы, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы
Страшный сон и головная боль для админов, которые используют в своей работе vbox.
> Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.
> Страшный сон и головная боль для админов, которые используют в своей работе vbox.ССЗБ.
> Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.Может Вы ещё предложите перестать включать и пользоваться компьютером.
> Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?
Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя которые можно свести наличие уязвимостей к нулю? Или человечеству ещё только предстоит придумать и изобрести какие-нибудь квантовые компьютеры, неподверженные уязвимостям и взлому?
к нулю не получится, т.к. не существует людей не допускающих ошибок
Мертвые не ошибаются.
какие ваши доказательства?
> Мертвые не ошибаются.Враки!
"Морским пехотинцам запрещено умирать без разрешения ибо тогда они не выполнят приказ!" (c) Fullmetall jacket
> Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя
> которые можно свести наличие уязвимостей к нулю?Coq, B-Method, Event-B, Isabelle и еще вагон и маленькая тележка – полная формальная верификация постарше многих анонимов будет.
Однако, есть одно "маленькое" НО:
На примере seL4 c его формальной верификацией корректности:
https://www.sigops.org/sosp/sosp09/papers/klein-sosp09.pdf
> Abstract
> complete formal verification is the only known way to guarantee that a system is free of programming errors.[...]
> f L4 provenance, comprises 8,700 lines of C code and 600 lines of assembler.[...]
> The overall size of the proof, including framework, libraries, and generated proofs (not shown in the table) is 200,000 lines of Isabelle script.
> The abstract spec took about 4 person months (pm) to develop. About 2 person years (py) went into the Haskell prototype (over all project phases), including design, documentation, coding, and testing. for a total cost of 2.2 pyТ.е.
> 8,700 lines of C code and 600 lines of assembler.
> 2.2 pyПричем, эти совсем не 2 человеко-года "пэхапэшникус-вульгарисов" будут.
Поэтому вопрос нужно ставить скорее так:
Существуют ли желающие оплатить такую разработку?
Никакая формальная верификация не может гарантировать отсутствие логических ошибок.
> Никакая формальная верификация не может гарантировать отсутствие логических ошибок.И гарантий от метеорита тоже не дает. И от недетектируемого ECC битфлипа из-за космического излучения или дефекта в материале и прочем - в общем, да, на самом деле это все "баловство и нинужна!".
Это не баловство и нужно, но не поможет «покончить с уязвимостями раз и навсегда».
> но не поможет «покончить с уязвимостями раз и навсегда».А давайте тогда без передерга или хотя бы развернуто, а? А то можно сразу Тюринга и "проблему остановки" упомянуть, больше ничего и не надо.
Вообще-то, речь шла о "свести наличие уязвимостей к нулю".
Кстати, моделирование и описание логики на высоком уровне (мат-модель) и последующая реализация на более "низком" очень неплохо помогает отлавливать логические ошибки типа "хотел сделать то, но на самом деле сделал вот это" даже одному разработчику (потому что задача формулируется на двух разных языках, шанс что мозг "прокеширует" и "замылится" на одной и той же детали, соотв. ниже).
Так же, в ожидании очередного "верификация не поможет от всего поэтому: Нинужно" специально было процитировано из Abstract "a system is free of programming errors" (ошибки в логике, это "logic errors" и идут отдельным пунктом).
хотя из интересного там вообще вот это:
> the formal verification has uncovered another 144 defects and resulted in 54 further changes to the code to aid in the proof.
> None of the bugs found in the C verification stage were deep in the sense that the corresponding algorithm was flawed. This is because the C code was written according to a very precise, low-level specification which was already verified in the first refinement stage.
> Algorithmic bugs found in the first stage were mainly missing checks on user assumptions
> The bugs discovered in the second proof from executable spec to C were mainly typos, misreading the specification, or failing to update all relevant code parts for specification changes. Simple typos also made up a surprisingly large fraction of discoveredТ.е. нашли 144 ошибки на 8000 строк кода, причем алгоритмические и прочие "высокоуровневые" ошибки ловоились еще до написания С кода, во время рефайнмента.
Вряд ли обычный, неверифицируемый код сильно отличается, плюс там еще и спецификацию никто не проверяет.
2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько это дороже обычных языков?
> 2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько
> это дороже обычных языков?Person years:
> person months (pm) to develop. About 2 person years (py) went into the Haskell prototypeСтрочек конечного кода немного - 8000, остальное обвязка проверки.
Грубо и прикидочно - раз в 10-20,т.е. на порядок, плюс-минус лапоть.
> Может Вы ещё предложите перестать включать и пользоваться компьютером.Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то альтернативы виртуалбоксу есть на всех платформах, их и стоит использовать.
> Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то
> альтернативы виртуалбоксу есть на всех платформахвообще-то если у вбокса и остался какой-то смысл, так это тот, что он-то как раз почти на всех платформах, а "альтернативы" - каждая на своей.
На xen надежды мало, а больше ничего и тем более не будет.
Для тех, кто в танке: vbox ни разу не предназначался для корпоративного использования!
Это система персонального пользования. Точка.
И если народные умельцы - админы локалхостов как-то приспосабливают его в качестве многопользовательской системы, то я присоединяюсь к предыдущему оратору: ССЗБ! Ведь и "Запорожец" теоретически можно было бы использовать как такси... ;)
надо же, а сановцы-то и не знали...(система для персонального использования - с совершенно неудобным для любого использования, но детальнейшим cli api (и отдельно http, причем без веб-морды), поддержкой live migration с 2008го года (бдсмщики в своем пихайве до сих пор не осилят доделать), автофильтрами подключаемых устройств [интересно, у кого еще такие есть], сегментацией доступа пользователей, пусть и недоделанной - ну конечно же, никогда не предназначалась. На персональном таком sunfire работала, в персональной стойке.)
vbox просто мертв - как и его основной разработчик. Орацлу он не нужен. community вокруг не сложилось, да и невозможно это с их лицензией и их закрытыми кусками кода, доступными только в виде блоба. 3акапывайте, очень жаль :-(
> Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169наконец-то
qemu kvm рулит и педалит...
У кого что болит.
расскажешь рабочей ссылочкой как нормальный звук из виндов-гостей на kvm-хосте услышать? вот-вот, рули и педаль отсюда
KVM не для игрулек, он чтоб работу работать.
Не угадал. У меня там в винде собраны все виды мессенджеров с контактами по работе. Они постоянно пиликают, бибикают и пищат разными звуками и мелодиями. По звуку я понимаю важность сообщения или срочность ответа.
Коммуникация - это важная часть моей работы.Так вот под kvm это всё хрипит и булькает, неважно альса или пульса. Опробовано на 3 разных компах, звуковые карты обычные встройки intel hda, дистриб убунту и свежая убунту с kvm-5.0. Со звуком из kvm всё одинаково плохо. Испробованные несколько рецептов настроек из интернета не помогают. Убиты несколько свободных вечеров.
Но есть сабж из новости - не тратишь ни время ни нервы - звук идеален из коробки.
там с десяток эмулируемых карт, можеш все сразу выбрать или перебрать те которые нормально работают, так же выставить правильный буфер(зависит от железной карты) это важно тогда и ничего хрипеть не будет. у меня все отлично звук в квм.
Через SPICE пробовали?
rdp не? Или на твоем же компе виртуалка в квм и запущена? Для декстопа то коробка удобне полюбому.
Некоторым внезапно надо со звуком работу работать.
Если у тебя пульса, то вот - https://passthroughpo.st/how-to-patch-qemu-and-fix-vm-audio/
У меня сработало, заикания пропали.
Впрочем, для альсы там тоже есть инструкция, но её я не пробовал.
А в чём проблема? Использую устройство, которое virt-manager ставит по стандарту, потом устанавливаю дрова (https://fedorapeople.org/groups/virt/virtio-win/direct-downl...) в гостевой системе. Звук хороший. На хосте pulseaudio
Ну вы тоже сравнили. У вас судя по линку Fedora, при всех её минусах, её делают программисты. У RH довольно сильная команда инженеров, которые могут починить что угодно.Убунтята же просто тащат из Debian нерабочее...
P.S. нефанаты космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).
> космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).Да нормальное. Свои LTS версии ядра поддерживают, LivePatch для патченья на лету.
У меня после апдейта на 6 упала сильно производительность ио. Пол дня мусолит там чет и ничего не происходит. Дебиан часа 4-5 устанавливался. На 5ке было все ок, параллельно на qemu тоже за 15 мин все ставится. Причем не зависит от ОС. В винде тоже жутко все долго начало тупить(больше чем обычно на порядок). Кто нить сталкивался? Пофиксили?
Всмысле не зависит от ос которая виртуализирована
Они намекают что уже пора заплатить.
Так если qemu работает зачем вам вообще vbox? Чем вот это#!/bin/bash
qemu-system-x86_64 \
-machine type=pc,accel=kvm \
-enable-kvm \
-cpu host \
-m 2048 \
-nic user,model=virtio,hostfwd=tcp::10022-:22 \
-drive file=debian9.img,media=disk,if=virtio,l2-cache-size=2097152,refcount-cache-size=524288 \
-vga qxl \
-device virtio-serial-pci \
-spice port=5900,disable-ticketing \
-device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 \
-chardev spicevmc,id=spicechannel0,name=vdagent \
-display gtkнапример хуже онтопика?
тут на 14 строк в скрипте больше чем нужно для запуска онтопика. Не благодарите.
только вот эти 14 строк (на самом деле - одна) запускают не ненужно-гуй онтопика, а создают и конфигурируют виртуальную машину - что в онтопике вообще, внезапно, невозможно сделать в одну строку - сперва создай-ка виртуальный контроллер, потом уже сможешь подключать к нему диски, каждая операция отдельна и синтаксис интересный.подключение существующих дисков - это вообще праздник какой-то, потому что вместо имен файлов зачем-то нужны uuid'ы, которые еще поди достать из файла.
Но ты кликай, кликай свою верную мышь - я вот поржу как ты это будешь делать из какого-нибудь места с rtt 200 (причем канал может быть хоть десятигигабитным - не поможет).
>> Улучшена поддержка совместных каталогов для гостевых систем с OS/2;ВАХ!
Слава богу мы дожили
Они уже исправили вылеты, при воспроизведении звука?
OS/2 еще жива?! Я в ауте...
> OS/2 еще жива?! Я в ауте...Ну и сидите там дальше :D.
Это вы ещё про eComstation & ArcaOS не слышали, видимо :D.
Это у вас называется "жива"? мда...
Увидел "6.0_6.0-6" и ужаснулся! )
погоди еще 6.6.6 релизнут
Сижу на 5.2.х, ибо 6.х - тормозное ***** даже с SSD.Первый стартует мгновенно - второй 2-3 секунды.
Первый запускает виртуалки мгновенно, второй с паузой до 2 сек.
Нафиг.
// b.
> Сижу на 5.2.х, ибо 6.х - тормозноеИбо старое/слабое железо
>Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA<...>Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;Не ведитесь, сидите на 5.x. Да, глючит чуть меньше и чуть по-другому, но все равно неюзабельно. Непонятно откуда взявшуюся тормознутость классического vmvga тоже не исправили.
Где то накосячили. Под арчем в 6.0.6 венда не грузится, вылетает с синим экраном. В 6.0.4 - нормально.