The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.12.2018 10:04  Третий кандидат в релизы FreeBSD 12.0. Уязвимость в NFS-сервере FreeBSD

Представлен третий кандидат в релизы FreeBSD 12.0. Выпуск FreeBSD 12.0-RC3 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2.

По сравнению с прошлым тестовым выпуском в состав включен модуль ядра if_ixlv.ko, который для обеспечения обратной совместимости ссылается на модуль if_iavf.ko. В остальном отмечается только исправление ошибок и устранение утечек памяти. Ожидается, что FreeBSD 12.0-RC3 станет последним тестовым выпуском и если не будет выявлено значительных проблем 7 декабря начнётся процесс сборки финального релиза. Релиз FreeBSD 12.0 запланирован на 11 декабря.

Дополнительно можно отметить устранение опасных уязвимостей (CVE-2018-17157, CVE-2018-17158, CVE-2018-17159) в реализации сервера NFS. Выявленные проблемы потенциально позволяют выполнить код с правами ядра через отправку специально оформленного пакета на сетевой порт 2049. Пользователям NFS рекомендуется срочно установить обновление или ограничить доступ к порту 2049. Проблема затрагивает все поддерживаемые ветки FreeBSD.

Кроме того, в форме Errata-уведомлений раскрыты данные о ещё двух уязвимостях:

  • Возможность обойти реализуемую в загрузчике парольную защиту входа. Уязвимость позволяет несмотря на установку пароля полностью контролировать процесс загрузки (при выборе режима отложенной загрузки загрузчик не находит ядро и выводит приглашение командной строки, через которое пользователь может загрузить систему без проверки загрузочного пароля);
  • Уязвимость (CVE-2018-17156) в сетевом стеке, приводящая к переполнению буфера по нижней границе при обработке пакетов ICMP. Уязвимость позволяет инициировать крах ядра через отправку специального оформленного ICMP-пакета (Ping of Death). Проблема вызвана ошибкой в коде функции icmp_error(), определённой в файле sys/netinet/ip_icmp.c. Проблема затрагивает только 64-разрядные сборки FreeBSD, в которых изменено значение параметра sysctl net.inet.icmp.quotelen.


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Пересмотр сроков поддержки релизов FreeBSD
  3. OpenNews: Объявлено о скором прекращении поддержки KDE 4 в портах FreeBSD
  4. OpenNews: Прекращение поддержки FreeBSD 10
  5. OpenNews: Релиз FreeBSD 11.2
  6. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
Лицензия: CC-BY
Тип: Программы
Ключевые слова: freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (3), 10:30, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    они там по поводу релизов договорились?))
     
     
  • 2.10, cr2032 (?), 11:26, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    референдум будет по этому поводу
     
     
  • 3.12, КГБ СССР (?), 14:14, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    4-я Фря имела в своё время 11 крупных обновлений («сервис-паков»), 10-я — всего лишь 4, 11-я — только 2. Как бы тенденция налицо. Не вижу поводов для оптимизма.
     
     
  • 4.13, Аноним (13), 15:44, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    Ну... Посмотрите на браузеры, докеры, js'ные всякие приблуды. А сколько ядро 2.6 тянулось? Тенденция, конечно, сомнительная, но просто современная.
     
     
  • 5.27, Мастер над релизами (?), 01:41, 02/12/2018 [^] [ответить]    [к модератору]
  • +2 +/
    >А сколько ядро 2.6 тянулось?

    Шёл 2.6.2006 год, люди рождалиь, взрослели заводили детей, выходили на пенсию, рассказывая внукам о своей молодости и минорных релизах.

     
  • 4.19, ГабенВульвович (?), 19:03, 01/12/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    4я фря имела 11 релизов потому что 5я была в разработке слишком долго, релиз ее ... весь текст скрыт [показать]
     
     
  • 5.28, КГБ СССР (?), 01:50, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Так что 11 релизов в 4й скорее очень
    > сильное исключение из правил

    Исключение это или нет, но отношение к людям было правильное. А все эти коды кондухтора и прочие роллинг-релизы — это, извините, не про стабильный продукт. Надо ли ещё такого продукта будет нам в будушем? Вот и посмотрим.

     
     
  • 6.32, ГабенВульвович (?), 07:30, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Это прям нуочень мотивировало 3rd party studios писать для Linux, но, главное, их очень сильно мотивировал делать это Габен и Ко, они в очередь выстроились к нему с мольбами принять их творения в стим, ага (сарказм, на самом деле нет). Так мотивировал, аж в напилил из опенсорц-компонентов (Wine, OpenAL, SDL2  ) нечто под названием Phonon в последствии, наверное от хорошей жизни и большого желания разработчиков писать свой код для SteamOS это сделал
     
     
  • 7.34, Аноним (-), 11:21, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Copy-paste FAIL? :)
     
     
  • 8.41, ГабенВульвович (?), 20:11, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Скорее не на ту ссылку в профиле жмакнул
     
  • 7.36, КГБ СССР (?), 12:05, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Мне эти слова мало о чём говорят, ибо не интересуюсь детскими игрушками, а для правильной мультимедии у меня есть оффтопик и мак.
     
     
  • 8.43, ГабенВульвович (?), 20:36, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Сори, промахнулся ответом в профиле
     
  • 6.33, ГабенВульвович (?), 07:35, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Так что 11 релизов в 4й скорее очень
    >> сильное исключение из правил
    > Исключение это или нет, но отношение к людям было правильное. А все
    > эти коды кондухтора и прочие роллинг-релизы — это, извините, не про стабильный
    > продукт. Надо ли ещё такого продукта будет нам в будушем? Вот
    > и посмотрим.

    Да вроде и никто пока не предлагает роллинг-релизы (кроме совсем  уж поехавших TrueOS, да и тех, похоже, отпустило, после того того как пользователи бузить начали). Вроде бы с тех пор процесс разработки особо не претерпел изменений. Остальное -  will see, will see

     
     
  • 7.38, КГБ СССР (?), 12:26, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Единственно правильные релизы в мире СПО у Шапки ядро и все его известные особе... весь текст скрыт [показать]
     
     
  • 8.42, ГабенВульвович (?), 20:27, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Ток по сути ежегодное обновление базовой системы это не ... весь текст скрыт [показать]
     
     
  • 9.44, DeadLoco (ok), 20:50, 02/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Собсно говоря, внутри одного ABI оно все - один релиз. А внутри одного релиза все окружение совершенно инвариантно относительно юзерленда. Ну, можно, конечно, пересобрать софт с обновленными либами, но если этого не сделать - ничего не поломается. Вдобавок, пипл не заметил, как из нумерации убрали патч-левелы. Так что, нумерация вполне логична. А что она не совпадает с привычной для линуксистов... Ну, никто и не обещал, что можно будет натянуть пингвина на любой произвольно взятый глобус.
     
  • 9.45, КГБ СССР (?), 21:05, 02/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Такого я и не говорил Не понимаю, как можно превратно понять написанное мною У... весь текст скрыт [показать]
     
     
  • 10.50, Аноним (50), 13:31, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Запросто Если ты готов оплатить фуллтайм для 3-4-5 тел по ставкам страны прожив... весь текст скрыт [показать]
     
  • 1.5, Ananan (?), 10:46, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну как бы обычно никто не открывает NFS наружу. Остаются лишь негодяи внутри локальной сети :)
     
     
  • 2.9, Аноним (-), 10:59, 01/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    И на пинги еще не отвечать. А лучше вообще сеть выключить. Будет очень в тему к удалению дров сетевок. Можно поудалять нахрен вообще все драйверы - во хакеры обломаются.
     
     
  • 3.11, Ananan (?), 11:28, 01/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну разогнался прям, на пинги не отвечать Ты менял Я вот сумлеваюсь что ты вооб... весь текст скрыт [показать]
     
  • 3.17, Анонн (?), 18:37, 01/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да-да, ISA дровины - это тааак актуально Кстати, что скажет Знаток на ... весь текст скрыт [показать]
     
  • 3.21, Аноним84701 (ok), 20:26, 01/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В смысле, как вот тут https www opennet ru opennews art shtml num 46503 ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 10:56, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.
     
     
  • 2.22, AlexYeCu_not_logged (?), 22:22, 01/12/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    >Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.

    Ну так и выловили в rc3, какие проблемы?

     
     
  • 3.39, аноним3 (?), 15:40, 02/12/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    выловили за 10 дней до релиза. олажались , так облажались))) потеря лица на лицо))) хахах
     
  • 1.20, Monster (?), 20:18, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ау, знатоки фрюхи.
    По уязвимостям (11.2):
    Мир пересобирать, или достаочно ядра?
     
     
  • 2.23, пох (?), 22:53, 01/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    я не знаток фрюхи, но подсказываю: если ты эксплуатируешь ее не для нетаковости-как-все, а по делу - надо не на опеннете задавать эти вопросы, а давным-давно подписаться на рассылку - хотя бы security.

    в каждом релизе там черным по белому пишут, что именно нужно сделать для исправления проблемы, и можно ли это сделать вообще.

    в данном случае - достаточно пересобрать только ядро (и это было там написано, правда, как обычно, в самом-самом конце списка фееричных в своей бесполезности советов обновиться до последней версии автомагическими автотулзами)

     
     
  • 3.25, Monster (?), 01:10, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо!
    Я не "нетаковости-как-все" - впн-днс-почтовик.
    Если не сложно - тыкни где подписываться на рассылку.
    Фрю очень давно кручу, но как-то не видел необходимости...
     
     
  • 4.29, iZEN (ok), 02:31, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Поставь домашней страницу в браузере эту: https://svnweb.freebsd.org/base/stable/11/?sortby=date
     
  • 4.30, iZEN (ok), 02:32, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Для релиза эту: https://svnweb.freebsd.org/base/releng/11.2/?sortby=date
     
  • 4.35, пох (?), 11:39, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    https://lists.freebsd.org/mailman/listinfo/freebsd-security
    (там еще есть -notifications )

    необходимости нет, если binary upgrade по крону гонять, а за портами следить хотя бы по ежевечерним отчетам ports security.
    Но автообновляющаяся винда у меня уже есть, ее вполне хватит. Во фре я хочу, обычно, знать, что и как обновилось, этакая видимость контроля над ситуацией...

     
  • 2.24, ГабенВульвович (?), 23:42, 01/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Посмотри по изменениям, svn up и пыришь что за файло новое качается. Была пара апдейтов, в которых было достаточно вообще пару библиотек пересобрать, ну и ядро чтобы бампнуть патчсет версию. Можно подумать знатоки фрюхи сидят и заучивают на изусть чейнджлоги, делать больше нечего
     
     
  • 3.26, Monster (?), 01:15, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    да, собственно, после новости и запустил, и файло посмотрел. Видел, что файло нфс подтянулось.. Но не знаю, по каким критериям определять - что пересобирать.
    Не программист, так, чуть-чуть..
     
     
  • 4.31, ГабенВульвович (?), 07:22, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну если NFS, то и то, и другое  (он ведь и ядро, и юзерспейс)
     
  • 1.37, Аноним (37), 12:15, 02/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    На сабже что в bhyve, что в virtualbox винда после пары-тройки перезагрузок прос... весь текст скрыт [показать]
     
     
  • 2.46, Аноним (-), 06:50, 03/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А что, в вайне это гэ не работает?

    p.s. а когда кто-нибудь будет рассказывать как офуенно в бзде с виртуализацией - пусть вот это прокоментит сначала, чтоли.

     
     
  • 3.47, Аноним (47), 11:00, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    А что именно нужно комментировать Недовольное курлыканье криворукого анонима по... весь текст скрыт [показать]
     
     
  • 4.48, нах (?), 12:31, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    и, кстати, нахрена вот он ее без конца перезагружает? У меня сервера перезагружаются раз в неделю, во время тихое, потому что обновления этого хотят - и то половина этих перезагрузок отменяется по соображениям "не настолько важное обновление, чтоб лишний раз дергаться".
    (с линуховыми, что характерно, такая же точно фигня)
     
  • 1.40, iZEN (ok), 16:59, 02/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Захотел обновить 11-STABLE на 12-STABLE на удалённой машине. Подключил каталоги /usr/src и /usr/obj, как это я обычно делаю, и начал устанавливать:
    cd /usr/src/ && make installworld
    И тут ошибка: "Тулчейн ваш находится на другой машине в кэшированном виде и недоступен. Установка невозможна." Кто сталкивался с этим? Как решить проблему?
    (Компиляция системы на удалённой машине слишком длительная - процессор слабоват)
     
     
  • 2.49, нах (?), 12:33, 03/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Как решить проблему?

    примонтируй корень дохломашины к билдхосту, и make install DESTDIR=гдеонотам, а не наоборот. И у mergmaster аналогичный параметр есть.
    Это точно никогда не поломают.

     
     
  • 3.53, iZEN (ok), 18:46, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Проблема решена. Походу вскрылась другая нестыковка.


     
  • 2.51, Andrew (??), 14:03, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Давно это было, ещё под 4-кой. mount_nfs в rw режиме.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor