The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В ядре FreeBSD 7 обнаружены две локальные уязвимости

23.03.2009 10:53

В сборках FreeBSD 7.1-RELEASE-p4 и 7.0-RELEASE-p11 исправлены две уязвимости:

  • Проблема безопасности, вызванная ненадлежащей проверкой величины передаваемого функции ktimer целочисленного аргумента, может быть использована для организации непривилегированным пользователем атаки, которая позволяет изменить содержимое произвольной области памяти ядра, что может быть использовано для выхода из изолированного jail-окружения, обхода системных ограничений или для замены идентификатора пользователя у определенного процесса и его выполнения с правами администратора (root).
  • Уязвимость в коде системного вызова kenv(2), связанная с отсутствием проверки размера выводимых данных при создании буфера для вывода содержимого всех переменных окружения ядра. Позволяет непривилегированному пользователю инициировать выделение ядром буфера слишком большого размера и вызвать крах ядра.

Уязвимостям подвержены все версии FreeBSD 7.x, выпущенные до момента исправления. Обходные пути защиты отсутствуют, проблемы решается только наложением специально подготовленных патчей (ktimer.patch, kenv.patch) и пересборкой ядра. Ветка FreeBSD 6.x вышеописанным уязвимостям не подвержена.

  1. Главная ссылка к новости (http://security.freebsd.org/ad...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/20881-freebsd
Ключевые слова: freebsd, kernel, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:32, 23/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хорошо :)
    двумя багами меньше
     
  • 1.2, Аноним (-), 12:47, 23/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > и пересборкой ядра

    е мае.. это в обязательном порядке?  а попроще никак? что пофиксенное ядро слить и поставить в качестве апдейта регигия не позволяет?

     
     
  • 2.5, 213 (?), 14:14, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> и пересборкой ядра
    >
    >е мае.. это в обязательном порядке?  а попроще никак? что пофиксенное
    >ядро слить и поставить в качестве апдейта регигия не позволяет?

    Собрать ядро-то что не позволяет? Религия или то, что и плохому танцору?

     
     
  • 3.6, User294 (??), 14:32, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Собрать ядро-то что не позволяет? Религия или то, что и плохому танцору?

    Воистину продакшн решение, да - ядра руками компилячить.И пусть весь мир подождет :)

     
     
  • 4.7, iZEN (ok), 14:40, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Собрать ядро-то что не позволяет? Религия или то, что и плохому танцору?
    >
    >Воистину продакшн решение, да - ядра руками компилячить.И пусть весь мир подождет
    >:)

    15 минут...


     
     
  • 5.8, AdVv (??), 15:16, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это чистого времени. А реально простоя - времени на ребут. Как и при бинарном обновлении что линукса, что винды. При этом получаешь максимально свежий вариант системы прямо тепленьким из репозитория разработчиков с оптимизацией под твою систему. Не нужно ждать пока кто-то соберет тебе бинарник и соизволит оформить патч.

    Не нравится ? Есть вожможность сделать бинарное обновление. Выбирайте кому что. Удобно.

     
     
  • 6.10, OctoCat (?), 15:58, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Это чистого времени. А реально простоя - времени на ребут.  

    Уговорил - 17 минут.

     
  • 6.27, User294 (??), 18:02, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Это чистого времени. А реально простоя - времени на ребут.

    Ага.А некислая нагрузка на боевую систему 15 минут - это так и надо?Или билдить на другой системе?И потом копировать?Тогда не 15 минут будет с добавочной возней пожалуй.И уж конечно прикольно когда админ выступает дрессированым бабуином.Вместо того чтобы спихать машинную работу машине вместо этого сам педалит устранение уязвимостей вместо майнтайнеров :)

    >При этом получаешь максимально свежий вариант системы прямо тепленьким из репозитория

    Готов поспорить, энтерпрайзники всю жизнь мечтают как самые камикадзы тестировать распоследнее свежезачекиненое добрецо из цвса прям вот на своих боевых серверах.Ага.А ынтерпрайз где так можно - "колхоз имени В. Пупкина" поди называется?

    >разработчиков с оптимизацией под твою систему.

    Ага, выиграем полпроцента убив массу времени на майнтенанс.Круто.Воистину, мы долго запрягаем а потом быстро ездим.На 0.5% быстрее чем другие :)

    >Не нужно ждать пока кто-то соберет тебе бинарник и соизволит оформить патч.

    Нормальные майнтайнеры дистров в такой ситуации отдупляются быстро (обычно контрольное время - несколько суток).И уж во всяком случае если что-то не заработает, одно дело если настучат по мозгам *мне* за всякий левак с авангардным супер-дупер-свежаком не оформленным как релиз авторами системы, а другое - если предъва вендору за конкретный релиз конкретной версии некоего софта.Хотя да, если контора называется колхоз имени В.Пупкина, там даунтайм 1 фиг никто не заметит и стоит это $0 примерно :)

     
     
  • 7.34, anonymous (??), 19:48, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >>Не нужно ждать пока кто-то соберет тебе бинарник и соизволит оформить патч.
    >
    >Нормальные майнтайнеры дистров в такой ситуации отдупляются быстро (обычно контрольное время -
    >несколько суток).И уж во всяком случае если что-то не заработает, одно
    >дело если настучат по мозгам *мне* за всякий левак с авангардным
    >супер-дупер-свежаком не оформленным как релиз авторами системы, а другое - если
    >предъва вендору за конкретный релиз конкретной версии некоего софта.Хотя да, если
    >контора называется колхоз имени В.Пупкина, там даунтайм 1 фиг никто не
    >заметит и стоит это $0 примерно :)

    Хоть раз ядро на FreeBSD пересобирали? Или это чисто поскандалить зашли?

     
     
  • 8.47, oops (?), 06:13, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это известный тролль ... текст свёрнут, показать
     
  • 7.60, solar (??), 23:40, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Господа, не кормим тролля, он даже в жизни ядер не собирал.


     
  • 5.25, User294 (??), 17:51, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    15 минут на то, 15 на се, да еще чтоб нигде не облажаться и чтоб всегда все идеально вышло или 15 минут превратятся в часы... зашибись, ага.
     
     
  • 6.30, iZEN (ok), 18:46, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >15 минут на то, 15 на се, да еще чтоб нигде не
    >облажаться и чтоб всегда все идеально вышло или 15 минут превратятся
    >в часы... зашибись, ага.

    Ты о чём говоришь-то, вообще-то? GENERIC от кастомного ядра не можешь отличить?

    man diff

     
  • 6.32, zorro (??), 19:34, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    тяжелое децтво деревянные игрушки?

    прекрасно известно что user294 это аноним который сильно ненавидит все операционки на которых не стоит лэйбл GLP, ну и к чему тогда эти высказывания тут? развести флейм с теми кто не в курсе кто такой user294 ?

     
     
  • 7.38, User294 (??), 23:25, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >тяжелое децтво деревянные игрушки?

    Не деревянные а 8-битные :P

    >прекрасно известно что user294 это аноним

    Аноним - это тот у кого в нике написано что он - аноним, имхо :)

    >которых не стоит лэйбл GLP,

    Какой-то странный у вас лэйбл.

    >развести флейм с теми кто не в курсе кто такой user294 ?

    Да на самом деле - просто поржать с "продакшн" технологий у некоторых и методов исправлений уязвимостей.И уже ессно побежал чекаутить git ванилы чтобы блин потом при удобном случае получить пиз... ой, простите, ощутить всю прелесть свежака в продакшне.

     
  • 6.52, terr0rist (??), 13:23, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    юзер 294, новость специально для тебя:

    http://www.opennet.ru/opennews/art.shtml?num=20901

    То есть фря - это дело рук криворуких программеров, а баги линужа - это дело рук криворуких программеров фри, решивших отомстить?

    ну шо, побежал пересобирать ядра? Или пусть вендоры сами найдут твои мегопродакшен серваки и исправят? Или может это лучше сделают красноглазые бздишники, или хакеры.

     
  • 4.9, iZEN (ok), 15:42, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Собрать ядро-то что не позволяет? Религия или то, что и плохому танцору?
    >
    >Воистину продакшн решение, да - ядра руками компилячить.И пусть весь мир подождет
    >:)

    Ядро компилится фоновым процессом.


     
     
  • 5.16, Dan (??), 16:28, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    он этого не знает. Для него похоже это что-то из серии "переставить Виндоуз"
     
     
  • 6.22, iZEN (ok), 17:05, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >он этого не знает. Для него похоже это что-то из серии "переставить
    >Виндоуз"

    Не.
    Скорее, он машинально проецирует сложности с пересборкой ядра Linux на пересборку ядра FreeBSD. :))
    В Ослинукс: куча флагов; куча заголовочных файлов (нужных приложениям); нестабильный ABI, из-за которого не знаешь, что отвалится после установки нового ядра. :)


     
     
  • 7.28, vitek (??), 18:08, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    давно ли некоторые про солярку так пели? :-D
    а в чём собственно сложность в пересборке ядра в линух? или Вы просто не в курсе?
    apt-build если что даже в ubuntu есть. (это так,.. для информации. :-DDDDDDD)
    к тому же, кто регулярно собирает ядро под линух, время пересборки намного меньше 15-17 минут как правило.... мне вот из xen'а и перегружаться то не надо. вот парадокс!!!:-DDD
    >В Ослинукс: куча флагов;

    высказывание по любому достойноое воспитанного человека!
    >куча заголовочных файлов (нужных приложениям);

    не слышал, чтобы бзд на java перешла... заголовочные файлы говорите? ха! 3-и раза!
    >нестабильный ABI, из-за которого не знаешь, что отвалится после установки нового ядра. :)

    а Вы уверены вообще, что знаете о чём говорите? Вы на чём программируете?... баги, уязвимости, регресии и пр. в бзд появляются в новостях как минимум не реже линуховых... зато они стабильны. что да, то да!:-D как там usb поживает? неужто уже прикрутили? :-D
    и о каких ABI Вы вообще говорите? их много знаете ли...
    или как всегда - слышал звон, но не музыкант, да и слуха отродясь нет! :-DDDDDDDDDDDDDDDDD

     
     
  • 8.29, Аноним (-), 18:27, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Он на джабе программирует http izen dev juga ru ... текст свёрнут, показать
     
  • 8.33, anonymous (??), 19:46, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это как Ради образования так сказать Не расскажите способ загрузить новое ядро... текст свёрнут, показать
     
     
  • 9.65, Аноним (-), 12:23, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У ляликса есть такая штука kexec вызовы, там это вполне проворачивается Смею за... текст свёрнут, показать
     
  • 7.43, User294 (??), 02:12, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня нет сложностей - я не пересобираю в продакшне ядра А зачем мне на себя ... большой текст свёрнут, показать
     
     
  • 8.48, анон (?), 06:17, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ох сколько написал По всей видимости у тебя куча свободного времени и сил Поче... текст свёрнут, показать
     
  • 8.49, Osprey_ (?), 10:11, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Нет, ну кто говорит что нужно на курент на продакшен сов... текст свёрнут, показать
     
  • 8.51, terr0rist (??), 13:13, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ответственность всё равно на тебе, что ставишь глюкавый линух ос виндовс ваш по... большой текст свёрнут, показать
     
     
  • 9.55, User294 (??), 15:12, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Гнилые отмазки За выбор системы я готов ответить А за чужие ляпы и их исправлени... большой текст свёрнут, показать
     
  • 7.62, Хелагар (ok), 07:23, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>он этого не знает. Для него похоже это что-то из серии "переставить
    >>Виндоуз"
    >
    >Не.
    >Скорее, он машинально проецирует сложности с пересборкой ядра Linux на пересборку ядра
    >FreeBSD. :))
    >В Ослинукс: куча флагов; куча заголовочных файлов (нужных приложениям); нестабильный ABI, из-за
    >которого не знаешь, что отвалится после установки нового ядра. :)

    Великий холиварщик iZEN снова с нами :-)И вновь воюить с Линюхами и User294 :-D
    Когда увидел новость, подумал - ну усё. Будет БЗДИ-срач. Зашел. Пусто.
    Возрадовался. Но, видимо iZEN-оиды спали в тот момент... Или ядра пересобирали фоновым процессом.
    Но, к несчатью проснулись, пересобрались и взыграла уязвлённая гордость в беднягах.
    Друг мой. Прекрати фантазировать, пожалуйста. Где ты в пересборке ядра на Линюхах сложности нашел-то?

     
  • 4.15, Dan (??), 16:27, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Воистину продакшн решение

    пофлудить охота? Сегодня с утра на веб-сервере и собрал, и поставил и заребутил. Делов на три копейки. Юзера джаббера даже не заметили перегрузки сервера :)
    Если кто-то не в курсе, то сообщаю: для пересборки ядра совсем не обязательно все выключать. Сервер продолжает работать и выполнять свои функции.
    Разницу между "собрать ядро + ребут" и "скачать ядро + ребут" я как-то слабо наблюдаю ...

     
     
  • 5.37, FSA (??), 23:14, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Немного есть - сервер чуть медленнее отвечает на запросы. Но это если нагрузка дикая.
     
     
  • 6.39, User294 (??), 23:36, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Немного есть - сервер чуть медленнее отвечает на запросы. Но это если
    >нагрузка дикая.

    Ага, конечно, все ставят сервера с пятикратном запасом по моще.Вот спецом чтоб крЮтым парням было удобно ядра там компилить :D

     
     
  • 7.41, iZEN (ok), 23:52, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Немного есть - сервер чуть медленнее отвечает на запросы. Но это если
    >>нагрузка дикая.
    >
    >Ага, конечно, все ставят сервера с пятикратном запасом по моще.Вот спецом чтоб
    >крЮтым парням было удобно ядра там компилить :D

    Вы собираете ядра на продакшен-сервере? Во время его работы? O_o
    Что, разве трудно поднять выделенную станцию централизованного обновления и раздавать готовые/оттестирвоанные бинарники всем продакшен-сервакам с неё, а не мучить каждый сервер пересборкой из исходников? :D


     
     
  • 8.42, User294 (??), 23:59, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я что, псих У меня все дома Я просто не пользуюсь в продакшне системами где надо... текст свёрнут, показать
     
     
  • 9.44, IIIenapg (?), 02:20, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    freebsd-update fetch install привезет бинарные обновления Если надо, чтобы са... текст свёрнут, показать
     
  • 9.66, 561 (?), 17:28, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вы пользуетесь ядрами по умолчанию - я вас поздравляю а для меня это не позволи... текст свёрнут, показать
     

  • 1.3, Ivan (??), 12:49, 23/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > что пофиксенное ядро слить и поставить в качестве апдейта регигия не позволяет?

    Вы что, сливаете и ставите бинарные ядра? :-)))

     
     
  • 2.4, AdVv (??), 13:04, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> что пофиксенное ядро слить и поставить в качестве апдейта регигия не позволяет?
    >
    >Вы что, сливаете и ставите бинарные ядра? :-)))

    man freebsd-update

     
     
  • 3.12, anonim (?), 16:17, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>> что пофиксенное ядро слить и поставить в качестве апдейта регигия не позволяет?
    >>
    >>Вы что, сливаете и ставите бинарные ядра? :-)))
    >
    >man freebsd-update

    эт только обновления в бинарном виде скачать можно, ядро все равно пересобирать нужно

     
     
  • 4.13, wg (?), 16:20, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    man freebsd-update
     
     
  • 5.14, anonim (?), 16:26, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >man freebsd-update

    до обновления:
    FreeBSD radius.pcb 7.1-RELEASE-p3 FreeBSD 7.1-RELEASE-p3

    после обновления:
    FreeBSD radius.pcb 7.1-RELEASE-p3 FreeBSD 7.1-RELEASE-p3

    после пересборки ядра:
    FreeBSD radius.pcb 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4

     
     
  • 6.19, Bingo (ok), 16:44, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>man freebsd-update
    >
    >до обновления:
    >FreeBSD radius.pcb 7.1-RELEASE-p3 FreeBSD 7.1-RELEASE-p3
    >
    >после обновления:
    >FreeBSD radius.pcb 7.1-RELEASE-p3 FreeBSD 7.1-RELEASE-p3
    >
    >после пересборки ядра:
    >FreeBSD radius.pcb 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4

    freebsd-update обновляет только ядро GENERIC

     
     
  • 7.23, anonim (?), 17:05, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >freebsd-update обновляет только ядро GENERIC

    а кто им пользуется в продакшене?

     
     
  • 8.45, тигар (?), 02:21, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ну например я и что если там не нужен ipsec например то в GENERIC есть все что ... текст свёрнут, показать
     
     
  • 9.67, 561 (?), 17:31, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    да хотя бы options IPFIREWALL options IPFIREWALL_FORWARD options IPFIREWALL_VER... текст свёрнут, показать
     
     
  • 10.72, Аноним (72), 17:33, 27/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален ipfw ko при желании собирается с forward не меняя конфи... текст свёрнут, показать
     
     
  • 11.73, 561 (?), 08:08, 29/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    это я выдернул из конфига что под руку попалось MROUTING с IPDIVERT редко где н... текст свёрнут, показать
     
  • 5.17, Dan (??), 16:31, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Note that updates are only available
    if they are being built for the FreeBSD release and architecture being
    used; in particular, the FreeBSD Security Team only builds updates for
    releases shipped in binary form by the FreeBSD Release Engineering Team,
    e.g., FreeBSD 6.1-RELEASE and FreeBSD 6.2-RC1, but not FreeBSD 6.2-STABLE
    or FreeBSD 7.0-CURRENT.

    а у меня, к примеру, 7-STABLE ...

     

  • 1.31, Аноним (-), 19:31, 23/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я не знаю как у некоторых ядро собирается по 15 минут, а у меня за 15 минут мир например собирается, а ядро собирается меньше 5 минут. Нашли что с чем сравнивать, сравните количество дыр в линуксе с количеством дыр во фре. Просто количественно за месяц например.
     
     
  • 2.40, User294 (??), 23:41, 23/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а ядро собирается меньше 5 минут.

    А если Cray подогнать - тогда и за 2 минуты соберется.И даже сервить непозорно сможет.Одна незадача - дофига бабла стоит.

    >в линуксе с количеством дыр во фре.

    Количество не количество а новость - о дырах.Во фре.Посему вопить про супер-секурность будет достаточно неубедительно.

     
     
  • 3.46, тигар (?), 02:24, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>в линуксе с количеством дыр во фре.
    >
    >Количество не количество а новость - о дырах.Во фре.Посему вопить про супер-секурность
    >будет достаточно неубедительно.

    ну пока только 1 троль тут вопит. на его сообщение я и отвечаю;) кстати, сплойт уже есть чтобы вылезти из jail например? вот под лайнакскернел с ползапроса в поисковике найдется то что поможет непривилигированному юзеру стать рутом ;)

     
  • 3.54, terr0rist (??), 14:50, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    юзер 294, новость специально для тебя:

    http://www.opennet.ru/opennews/art.shtml?num=20901

    45 дыр в ядре линужа. Рекорд? =) Или секурность по-линусовски?

    То есть фря - это дело рук криворуких программеров, а баги линужа - это дело рук криворуких программеров фри, решивших отомстить?

    ну шо, побежал пересобирать ядра? Или пусть вендоры сами найдут твои мегопродакшен серваки и исправят? Или может это лучше сделают красноглазые бздишники, или хакеры.

     
     
  • 4.63, Аноним (-), 08:23, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >ну шо, побежал пересобирать ядра? Или пусть вендоры сами найдут твои мегопродакшен
    >серваки и исправят? Или может это лучше сделают красноглазые бздишники, или
    >хакеры.

    Ага, ломанулся пересобирать. Откройте для себя Ksplice. http://ksplice.com/
    P.S: Кстати, а во FreeBSD существует механизм обновлений работающего ядра без перезагрузки?
    Только не надо говорить, что во Фришном ядре меньше багов, поэтому такой софт там не нужен.

     
     
  • 5.68, 561 (?), 17:35, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>ну шо, побежал пересобирать ядра? Или пусть вендоры сами найдут твои мегопродакшен
    >>серваки и исправят? Или может это лучше сделают красноглазые бздишники, или
    >>хакеры.
    >
    >Ага, ломанулся пересобирать. Откройте для себя Ksplice. http://ksplice.com/
    >P.S: Кстати, а во FreeBSD существует механизм обновлений работающего ядра без перезагрузки?
    >
    >Только не надо говорить, что во Фришном ядре меньше багов, поэтому такой
    >софт там не нужен.

    а в линухе есть portaudit?

     
     
  • 6.70, Аноним (-), 15:56, 26/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В линуксе нет системы портов.
     
     
  • 7.71, 561 (?), 17:29, 26/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >В линуксе нет системы портов.

    генту посмотрите. и смысла это не меняет, в portaudit ключевое слово совсем даже не port.

     

  • 1.50, Аноним (-), 12:08, 24/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эксплоит для эскалации привелегий есть уже.
    Что касается обновления ядра, даже с пересборкой - проблема надумана.
    man nice
    man renice
     
     
  • 2.57, тигар (?), 23:31, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Эксплоит для эскалации привелегий есть уже.

    если тот что на милворме то он у меня вместо рута дает вот этовот:)
    Fatal trap 12: page fault while in kernel mode
    cpuid = 0; apic id = 00
    fault virtual address   = 0x20001036
    fault code              = supervisor write, page not present
    instruction pointer     = 0x20:0xc09668c7
    stack pointer           = 0x28:0xe9cf4bf0
    frame pointer           = 0x28:0xe9cf4c14
    code segment            = base 0x0, limit 0xfffff, type 0x1b
                            = DPL 0, pres 1, def32 1, gran 1
    processor eflags        = interrupt enabled, resume, IOPL = 0
    current process         = 56970 (a.out)
    trap number             = 12
    panic: page fault
    cpuid = 0
    Uptime: 12h20m36s

     

  • 1.56, padavan (?), 22:26, 24/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вижу, тут собралось много умных фряшников.
    Посему хотелось бы задать вот такой вопрос.

    В ведении нашего отдела состоит порядка 50 серверов. По масштабам хостинга это средний ближе к мелкому.
    На 16 машинах дебиян, на остальных центос. Системы пакетные и спокойно обновляются по крону. Узрев в логах обновления что-нибудь глобальное типа linux-kernel или glibc, мы устраиваем машинкам внеплановое техобслуживание (проще говоря, пылесосинг) с выключением. За два года ни одной проблемы при включении.

    А вот теперь представьте, что у вас 50 машин с фряхой. И на всех надо срочно обновить ядро. Что бы вы сделали в этой ситуации?
    (Как я понял из комментов выше, freebsd-update не катит.)

    И вообще, существуют ли во фряхе _надежные_ методы _автоматизированного_ накатывания security updates?

     
     
  • 2.58, Anatoliy (??), 23:36, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Доброго дня.

    Признаюсь, с таким количеством машин я не работал и пока не задумывался над этим вопросом.

    Предполагаю, что все Ваши сервера однотипные и софт на них скорей всего стоит одинаковый.
    Я бы скорей всего смотрел в сторону синхронизацией файлов (rsync) или загрузки нод по сети.
    Но тут конечно спорить не могу, задачи такой не стояло и оптимального решения я для себя не нашел.

    С уважением, Анатолий.

     
  • 2.59, iZEN (ok), 23:39, 24/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот теперь представьте, что у вас 50 машин с фряхой. И на всех надо срочно обновить ядро. Что бы вы сделали в этой ситуации?

    Мастер-сервер дистрибутивов надо держать в такой ситуации. Или загружать все сервера с одного сервера (сетевая загрузка для ферм).

    > (Как я понял из комментов выше, freebsd-update не катит.)

    Почему?

    > И вообще, существуют ли во фряхе _надежные_ методы _автоматизированного_ накатывания security updates?

    freebsd-update по крону или в автозагрузке, если используются только -RELEASE-версии FreeBSD.

    Обновление ПО (как бы из портов, но без локальной компиляции, насколько возможно) == автомонтирование по NFS каталога $PACKAGES мастер-сервера и бинарное обновление установленных пакетов — фактически со скоростью передачи файлов по сети.

     
     
  • 3.64, padavan (?), 11:37, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мастер-сервер дистрибутивов надо держать в такой ситуации. Или загружать все сервера с одного сервера (сетевая загрузка для ферм).

    У нас все-таки не совсем ферма. Сервера отличаются по назначению и, соответственно, по набору и версиям установленного софта. В свое время было предложение перевести на сетевую загрузку, но от него отказались как от негибкого и премногогеморройного.

    >> (Как я понял из комментов выше, freebsd-update не катит.)
    >Почему?

    Ну там было написано, что оно обновляет только GENERIC-сборку ядра, которая в продакшне практически не используется.

    Предложенная в конце идея в целом звучит неплохо. Сейчас, к сожалению, протестить не могу.
    Как я понимаю, это костылевый аналог локального репозитария?

     
  • 2.69, Henry_lee (?), 23:24, 25/03/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я вижу, тут собралось много умных фряшников.

    Нет. :)

    >В ведении нашего отдела состоит порядка 50 серверов. По масштабам хостинга это
    >средний ближе к мелкому.
    >На 16 машинах дебиян, на остальных центос. Системы пакетные и спокойно обновляются
    >по крону. Узрев в логах обновления что-нибудь глобальное типа linux-kernel или
    >glibc, мы устраиваем машинкам внеплановое техобслуживание (проще говоря, пылесосинг) с выключением.

    У меня тож центось обновляется кроном, а вот фришные сервера я не трогаю и патчи накладываю исключительно руками. Благо делать это нужно раза два в год и даже на 50 машинах делается легко и быстро.

    >За два года ни одной проблемы при включении.
    >
    >А вот теперь представьте, что у вас 50 машин с фряхой. И
    >на всех надо срочно обновить ядро. Что бы вы сделали в
    >этой ситуации?

    Весь вопрос в железе. Если оно однотипно, то просто компилишь на тестовом серваке ядро и разливаешь по серверам, делов то на полчаса. Да, сразу хочется уточнить, что полчаса не простоя, а работы. Простой исключительно на ребут.
    Опять же, чтобы подчеркнуть, я все лишнее в ядро не пихаю, только железо. Собственно, санки используют ту же идеалогию, одно железо на всех и нет проблем с ядрами. :)

    >(Как я понял из комментов выше, freebsd-update не катит.)
    >
    >И вообще, существуют ли во фряхе _надежные_ методы _автоматизированного_ накатывания security updates?

    Написали выше, но я предпочитаю все-таки руками, по стариковски. Порты обновляются по крону, а ядра собираются и разливаются исключительно после тестирования. А то бы прецеденты.

     

  • 1.61, Styx (??), 07:06, 25/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Боже, я думал User294 мозгов понабрался и затух со своим бредом про FreeBSD, ан нет, ситуация все хуже и хуже.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру