The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Третий кандидат в релизы FreeBSD 12.0. Уязвимость в NFS-сервере FreeBSD

01.12.2018 10:04

Представлен третий кандидат в релизы FreeBSD 12.0. Выпуск FreeBSD 12.0-RC3 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2.

По сравнению с прошлым тестовым выпуском в состав включен модуль ядра if_ixlv.ko, который для обеспечения обратной совместимости ссылается на модуль if_iavf.ko. В остальном отмечается только исправление ошибок и устранение утечек памяти. Ожидается, что FreeBSD 12.0-RC3 станет последним тестовым выпуском и если не будет выявлено значительных проблем 7 декабря начнётся процесс сборки финального релиза. Релиз FreeBSD 12.0 запланирован на 11 декабря.

Дополнительно можно отметить устранение опасных уязвимостей (CVE-2018-17157, CVE-2018-17158, CVE-2018-17159) в реализации сервера NFS. Выявленные проблемы потенциально позволяют выполнить код с правами ядра через отправку специально оформленного пакета на сетевой порт 2049. Пользователям NFS рекомендуется срочно установить обновление или ограничить доступ к порту 2049. Проблема затрагивает все поддерживаемые ветки FreeBSD.

Кроме того, в форме Errata-уведомлений раскрыты данные о ещё двух уязвимостях:

  • Возможность обойти реализуемую в загрузчике парольную защиту входа. Уязвимость позволяет несмотря на установку пароля полностью контролировать процесс загрузки (при выборе режима отложенной загрузки загрузчик не находит ядро и выводит приглашение командной строки, через которое пользователь может загрузить систему без проверки загрузочного пароля);
  • Уязвимость (CVE-2018-17156) в сетевом стеке, приводящая к переполнению буфера по нижней границе при обработке пакетов ICMP. Уязвимость позволяет инициировать крах ядра через отправку специального оформленного ICMP-пакета (Ping of Death). Проблема вызвана ошибкой в коде функции icmp_error(), определённой в файле sys/netinet/ip_icmp.c. Проблема затрагивает только 64-разрядные сборки FreeBSD, в которых изменено значение параметра sysctl net.inet.icmp.quotelen.


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Пересмотр сроков поддержки релизов FreeBSD
  3. OpenNews: Объявлено о скором прекращении поддержки KDE 4 в портах FreeBSD
  4. OpenNews: Прекращение поддержки FreeBSD 10
  5. OpenNews: Релиз FreeBSD 11.2
  6. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/49691-freebsd
Ключевые слова: freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 10:30, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    они там по поводу релизов договорились?))
     
     
  • 2.10, cr2032 (?), 11:26, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    референдум будет по этому поводу
     
     
  • 3.12, КГБ СССР (?), 14:14, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    4-я Фря имела в своё время 11 крупных обновлений («сервис-паков»), 10-я — всего лишь 4, 11-я — только 2. Как бы тенденция налицо. Не вижу поводов для оптимизма.
     
     
  • 4.13, Аноним (13), 15:44, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну... Посмотрите на браузеры, докеры, js'ные всякие приблуды. А сколько ядро 2.6 тянулось? Тенденция, конечно, сомнительная, но просто современная.
     
     
  • 5.27, Мастер над релизами (?), 01:41, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А сколько ядро 2.6 тянулось?

    Шёл 2.6.2006 год, люди рождалиь, взрослели заводили детей, выходили на пенсию, рассказывая внукам о своей молодости и минорных релизах.

     
  • 4.19, ГабенВульвович (?), 19:03, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    4я фря имела 11 релизов потому что 5я была в разработке слишком долго, релиз ее (5й) делали из current, а не stable (фактически код был нестабилен) и чтобы не дропнуть пользователей, 5ю и 4ю ветки поддерживали параллельно. Так что 11 релизов в 4й скорее очень сильное исключение из правил
     
     
  • 5.28, КГБ СССР (?), 01:50, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что 11 релизов в 4й скорее очень
    > сильное исключение из правил

    Исключение это или нет, но отношение к людям было правильное. А все эти коды кондухтора и прочие роллинг-релизы — это, извините, не про стабильный продукт. Надо ли ещё такого продукта будет нам в будушем? Вот и посмотрим.

     
     
  • 6.32, ГабенВульвович (?), 07:30, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это прям нуочень мотивировало 3rd party studios писать для Linux, но, главное, их очень сильно мотивировал делать это Габен и Ко, они в очередь выстроились к нему с мольбами принять их творения в стим, ага (сарказм, на самом деле нет). Так мотивировал, аж в напилил из опенсорц-компонентов (Wine, OpenAL, SDL2  ) нечто под названием Phonon в последствии, наверное от хорошей жизни и большого желания разработчиков писать свой код для SteamOS это сделал
     
     
  • 7.34, Аноним (-), 11:21, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Copy-paste FAIL? :)
     
     
  • 8.41, ГабенВульвович (?), 20:11, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее не на ту ссылку в профиле жмакнул... текст свёрнут, показать
     
  • 7.36, КГБ СССР (?), 12:05, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне эти слова мало о чём говорят, ибо не интересуюсь детскими игрушками, а для правильной мультимедии у меня есть оффтопик и мак.
     
     
  • 8.43, ГабенВульвович (?), 20:36, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сори, промахнулся ответом в профиле... текст свёрнут, показать
     
  • 6.33, ГабенВульвович (?), 07:35, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так что 11 релизов в 4й скорее очень
    >> сильное исключение из правил
    > Исключение это или нет, но отношение к людям было правильное. А все
    > эти коды кондухтора и прочие роллинг-релизы — это, извините, не про стабильный
    > продукт. Надо ли ещё такого продукта будет нам в будушем? Вот
    > и посмотрим.

    Да вроде и никто пока не предлагает роллинг-релизы (кроме совсем  уж поехавших TrueOS, да и тех, похоже, отпустило, после того того как пользователи бузить начали). Вроде бы с тех пор процесс разработки особо не претерпел изменений. Остальное -  will see, will see

     
     
  • 7.38, КГБ СССР (?), 12:26, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Единственно правильные релизы в мире СПО у Шапки ядро и все его известные особе... большой текст свёрнут, показать
     
     
  • 8.42, ГабенВульвович (?), 20:27, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ток по сути ежегодное обновление базовой системы это не ... большой текст свёрнут, показать
     
     
  • 9.44, DeadLoco (ok), 20:50, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Собсно говоря, внутри одного ABI оно все - один релиз А внутри одного релиза вс... текст свёрнут, показать
     
  • 9.45, КГБ СССР (?), 21:05, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такого я и не говорил Не понимаю, как можно превратно понять написанное мною У... большой текст свёрнут, показать
     
     
  • 10.50, Аноним (50), 13:31, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Запросто Если ты готов оплатить фуллтайм для 3-4-5 тел по ставкам страны прожив... текст свёрнут, показать
     

  • 1.5, Ananan (?), 10:46, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну как бы обычно никто не открывает NFS наружу. Остаются лишь негодяи внутри локальной сети :)
     
     
  • 2.9, Аноним (-), 10:59, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И на пинги еще не отвечать. А лучше вообще сеть выключить. Будет очень в тему к удалению дров сетевок. Можно поудалять нахрен вообще все драйверы - во хакеры обломаются.
     
     
  • 3.11, Ananan (?), 11:28, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Проблема затрагивает только 64-разрядные сборки FreeBSD, в которых изменено значение параметра sysctl net.inet.icmp.quotelen

    Ну разогнался прям, на пинги не отвечать. Ты менял? Я вот сумлеваюсь что ты вообще пользователь ФриБСД.

     
  • 3.17, Анонн (?), 18:37, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Можно поудалять нахрен вообще все драйверы - во хакеры обломаются.

    Да-да, ISA дровины - это тааак актуально!
    Кстати, что скажет Знаток на
    > Проведена одна из крупнейших чисток кодовой базы от устаревшего кода (удалено 467 тысяч строк кода), в ходе которой удалена поддержка архитектур blackfin, cris, frv, m32r, metag, mn10300, score и tile, а также специфичные для данных архитектур драйверы.

    ?

     
  • 3.21, Аноним84701 (ok), 20:26, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И на пинги еще не отвечать. А лучше вообще сеть выключить. Будет
    > очень в тему к удалению дров сетевок. Можно поудалять нахрен вообще
    > все драйверы - во хакеры обломаются.

    В смысле, как вот тут:
    https://www.opennet.ru/opennews/art.shtml?num=46503
    > 05.05.2017 10:54  Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux
    > В сервере NFS (NFSv2 и NFSv3), входящем в состав ядра Linux, выявлена удалённо эксплуатируемая уязвимость (CVE-2017-7895), позволяющая прочитать содержимое произвольных областей памяти ядра и пространства
    > пользователя (от 1 до 4 Мб) через отправку специально оформленных запросов к NFS.

    ?

     

  • 1.7, Аноним (-), 10:56, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.
     
     
  • 2.22, AlexYeCu_not_logged (?), 22:22, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.

    Ну так и выловили в rc3, какие проблемы?

     
     
  • 3.39, аноним3 (?), 15:40, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    выловили за 10 дней до релиза. олажались , так облажались))) потеря лица на лицо))) хахах
     

  • 1.20, Monster (?), 20:18, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ау, знатоки фрюхи.
    По уязвимостям (11.2):
    Мир пересобирать, или достаочно ядра?
     
     
  • 2.23, пох (?), 22:53, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    я не знаток фрюхи, но подсказываю: если ты эксплуатируешь ее не для нетаковости-как-все, а по делу - надо не на опеннете задавать эти вопросы, а давным-давно подписаться на рассылку - хотя бы security.

    в каждом релизе там черным по белому пишут, что именно нужно сделать для исправления проблемы, и можно ли это сделать вообще.

    в данном случае - достаточно пересобрать только ядро (и это было там написано, правда, как обычно, в самом-самом конце списка фееричных в своей бесполезности советов обновиться до последней версии автомагическими автотулзами)

     
     
  • 3.25, Monster (?), 01:10, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!
    Я не "нетаковости-как-все" - впн-днс-почтовик.
    Если не сложно - тыкни где подписываться на рассылку.
    Фрю очень давно кручу, но как-то не видел необходимости...
     
     
  • 4.29, iZEN (ok), 02:31, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поставь домашней страницу в браузере эту: https://svnweb.freebsd.org/base/stable/11/?sortby=date
     
  • 4.30, iZEN (ok), 02:32, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для релиза эту: https://svnweb.freebsd.org/base/releng/11.2/?sortby=date
     
  • 4.35, пох (?), 11:39, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://lists.freebsd.org/mailman/listinfo/freebsd-security
    (там еще есть -notifications )

    необходимости нет, если binary upgrade по крону гонять, а за портами следить хотя бы по ежевечерним отчетам ports security.
    Но автообновляющаяся винда у меня уже есть, ее вполне хватит. Во фре я хочу, обычно, знать, что и как обновилось, этакая видимость контроля над ситуацией...

     
  • 2.24, ГабенВульвович (?), 23:42, 01/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотри по изменениям, svn up и пыришь что за файло новое качается. Была пара апдейтов, в которых было достаточно вообще пару библиотек пересобрать, ну и ядро чтобы бампнуть патчсет версию. Можно подумать знатоки фрюхи сидят и заучивают на изусть чейнджлоги, делать больше нечего
     
     
  • 3.26, Monster (?), 01:15, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да, собственно, после новости и запустил, и файло посмотрел. Видел, что файло нфс подтянулось.. Но не знаю, по каким критериям определять - что пересобирать.
    Не программист, так, чуть-чуть..
     
     
  • 4.31, ГабенВульвович (?), 07:22, 02/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если NFS, то и то, и другое  (он ведь и ядро, и юзерспейс)
     

  • 1.37, Аноним (37), 12:15, 02/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На сабже что в bhyve, что в virtualbox винда после пары-тройки перезагрузок просто вешается. И ничем её не починить. Если бы не это, держал бы FreeBSD на десктопе. Винда нужна только для связки криптопро+континент ап.
     
     
  • 2.46, Аноним (-), 06:50, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что, в вайне это гэ не работает?

    p.s. а когда кто-нибудь будет рассказывать как офуенно в бзде с виртуализацией - пусть вот это прокоментит сначала, чтоли.

     
     
  • 3.47, Аноним (47), 11:00, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > p.s. а когда кто-нибудь будет рассказывать как офуенно в бзде с виртуализацией - пусть вот это прокоментит сначала, чтоли.

    А что именно нужно комментировать? Недовольное курлыканье криворукого анонима постом выше?

    Тестил десятку под bhyve еще в конце 2016. В игрушки поиграть с наскоку не получилось, в фотошопах/дельфях/офисах разницы с железом не увидел. Через три перезагружки наглухо не вешалось, нет. Прокомментируйте вот это. Можно сначала, можно потом. Что ли.

     
     
  • 4.48, нах (?), 12:31, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и, кстати, нахрена вот он ее без конца перезагружает? У меня сервера перезагружаются раз в неделю, во время тихое, потому что обновления этого хотят - и то половина этих перезагрузок отменяется по соображениям "не настолько важное обновление, чтоб лишний раз дергаться".
    (с линуховыми, что характерно, такая же точно фигня)
     

  • 1.40, iZEN (ok), 16:59, 02/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Захотел обновить 11-STABLE на 12-STABLE на удалённой машине. Подключил каталоги /usr/src и /usr/obj, как это я обычно делаю, и начал устанавливать:
    cd /usr/src/ && make installworld
    И тут ошибка: "Тулчейн ваш находится на другой машине в кэшированном виде и недоступен. Установка невозможна." Кто сталкивался с этим? Как решить проблему?
    (Компиляция системы на удалённой машине слишком длительная - процессор слабоват)
     
     
  • 2.49, нах (?), 12:33, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как решить проблему?

    примонтируй корень дохломашины к билдхосту, и make install DESTDIR=гдеонотам, а не наоборот. И у mergmaster аналогичный параметр есть.
    Это точно никогда не поломают.

     
     
  • 3.53, iZEN (ok), 18:46, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема решена. Походу вскрылась другая нестыковка.


     
  • 2.51, Andrew (??), 14:03, 03/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Давно это было, ещё под 4-кой. mount_nfs в rw режиме.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру