The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

01.12.2018 10:04  Третий кандидат в релизы FreeBSD 12.0. Уязвимость в NFS-сервере FreeBSD

Представлен третий кандидат в релизы FreeBSD 12.0. Выпуск FreeBSD 12.0-RC3 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2.

По сравнению с прошлым тестовым выпуском в состав включен модуль ядра if_ixlv.ko, который для обеспечения обратной совместимости ссылается на модуль if_iavf.ko. В остальном отмечается только исправление ошибок и устранение утечек памяти. Ожидается, что FreeBSD 12.0-RC3 станет последним тестовым выпуском и если не будет выявлено значительных проблем 7 декабря начнётся процесс сборки финального релиза. Релиз FreeBSD 12.0 запланирован на 11 декабря.

Дополнительно можно отметить устранение опасных уязвимостей (CVE-2018-17157, CVE-2018-17158, CVE-2018-17159) в реализации сервера NFS. Выявленные проблемы потенциально позволяют выполнить код с правами ядра через отправку специально оформленного пакета на сетевой порт 2049. Пользователям NFS рекомендуется срочно установить обновление или ограничить доступ к порту 2049. Проблема затрагивает все поддерживаемые ветки FreeBSD.

Кроме того, в форме Errata-уведомлений раскрыты данные о ещё двух уязвимостях:

  • Возможность обойти реализуемую в загрузчике парольную защиту входа. Уязвимость позволяет несмотря на установку пароля полностью контролировать процесс загрузки (при выборе режима отложенной загрузки загрузчик не находит ядро и выводит приглашение командной строки, через которое пользователь может загрузить систему без проверки загрузочного пароля);
  • Уязвимость (CVE-2018-17156) в сетевом стеке, приводящая к переполнению буфера по нижней границе при обработке пакетов ICMP. Уязвимость позволяет инициировать крах ядра через отправку специального оформленного ICMP-пакета (Ping of Death). Проблема вызвана ошибкой в коде функции icmp_error(), определённой в файле sys/netinet/ip_icmp.c. Проблема затрагивает только 64-разрядные сборки FreeBSD, в которых изменено значение параметра sysctl net.inet.icmp.quotelen.


  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Пересмотр сроков поддержки релизов FreeBSD
  3. OpenNews: Объявлено о скором прекращении поддержки KDE 4 в портах FreeBSD
  4. OpenNews: Прекращение поддержки FreeBSD 10
  5. OpenNews: Релиз FreeBSD 11.2
  6. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
Лицензия: CC-BY
Тип: Программы
Ключевые слова: freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (3), 10:30, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    они там по поводу релизов договорились?))
     
     
  • 2.10, cr2032 (?), 11:26, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    референдум будет по этому поводу
     
     
  • 3.12, КГБ СССР (?), 14:14, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    4-я Фря имела в своё время 11 крупных обновлений («сервис-паков»), 10-я — всего лишь 4, 11-я — только 2. Как бы тенденция налицо. Не вижу поводов для оптимизма.
     
     
  • 4.13, Аноним (13), 15:44, 01/12/2018 [^] [ответить]    [к модератору]
  • +/
    Ну... Посмотрите на браузеры, докеры, js'ные всякие приблуды. А сколько ядро 2.6 тянулось? Тенденция, конечно, сомнительная, но просто современная.
     
     
  • 5.27, Мастер над релизами (?), 01:41, 02/12/2018 [^] [ответить]    [к модератору]
  • +2 +/
    >А сколько ядро 2.6 тянулось?

    Шёл 2.6.2006 год, люди рождалиь, взрослели заводили детей, выходили на пенсию, рассказывая внукам о своей молодости и минорных релизах.

     
  • 4.19, ГабенВульвович (?), 19:03, 01/12/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    4я фря имела 11 релизов потому что 5я была в разработке слишком долго, релиз ее ... весь текст скрыт [показать]
     
     
  • 5.28, КГБ СССР (?), 01:50, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Исключение это или нет, но отношение к людям было правильное А все эти коды кон... весь текст скрыт [показать]
     
     
  • 6.32, ГабенВульвович (?), 07:30, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Это прям нуочень мотивировало 3rd party studios писать для Linux, но, главное, и... весь текст скрыт [показать]
     
     
  • 7.34, Аноним (-), 11:21, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Copy-paste FAIL? :)
     
     
  • 8.41, ГабенВульвович (?), 20:11, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Скорее не на ту ссылку в профиле жмакнул
     
  • 7.36, КГБ СССР (?), 12:05, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Мне эти слова мало о чём говорят, ибо не интересуюсь детскими игрушками, а для правильной мультимедии у меня есть оффтопик и мак.
     
     
  • 8.43, ГабенВульвович (?), 20:36, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Сори, промахнулся ответом в профиле
     
  • 6.33, ГабенВульвович (?), 07:35, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Да вроде и никто пока не предлагает роллинг-релизы кроме совсем уж поехавших T... весь текст скрыт [показать]
     
     
  • 7.38, КГБ СССР (?), 12:26, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Единственно правильные релизы в мире СПО у Шапки ядро и все его известные особе... весь текст скрыт [показать]
     
     
  • 8.42, ГабенВульвович (?), 20:27, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Ток по сути ежегодное обновление базовой системы это не ... весь текст скрыт [показать]
     
     
  • 9.44, DeadLoco (ok), 20:50, 02/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Собсно говоря, внутри одного ABI оно все - один релиз А внутри одного релиза вс... весь текст скрыт [показать]
     
  • 9.45, КГБ СССР (?), 21:05, 02/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Такого я и не говорил Не понимаю, как можно превратно понять написанное мною У... весь текст скрыт [показать]
     
     
  • 10.50, Аноним (50), 13:31, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Запросто Если ты готов оплатить фуллтайм для 3-4-5 тел по ставкам страны прожив... весь текст скрыт [показать]
     
  • 1.5, Ananan (?), 10:46, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну как бы обычно никто не открывает NFS наружу. Остаются лишь негодяи внутри локальной сети :)
     
     
  • 2.9, Аноним (-), 10:59, 01/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    И на пинги еще не отвечать. А лучше вообще сеть выключить. Будет очень в тему к удалению дров сетевок. Можно поудалять нахрен вообще все драйверы - во хакеры обломаются.
     
     
  • 3.11, Ananan (?), 11:28, 01/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну разогнался прям, на пинги не отвечать Ты менял Я вот сумлеваюсь что ты вооб... весь текст скрыт [показать]
     
  • 3.17, Анонн (?), 18:37, 01/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да-да, ISA дровины - это тааак актуально Кстати, что скажет Знаток на ... весь текст скрыт [показать]
     
  • 3.21, Аноним84701 (ok), 20:26, 01/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В смысле, как вот тут https www opennet ru opennews art shtml num 46503 ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 10:56, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.
     
     
  • 2.22, AlexYeCu_not_logged (?), 22:22, 01/12/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    >Лол. И эти люди прикалывались над другими за ping of death. Двойной фэйспалм.

    Ну так и выловили в rc3, какие проблемы?

     
     
  • 3.39, аноним3 (?), 15:40, 02/12/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    выловили за 10 дней до релиза. олажались , так облажались))) потеря лица на лицо))) хахах
     
  • 1.20, Monster (?), 20:18, 01/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ау, знатоки фрюхи.
    По уязвимостям (11.2):
    Мир пересобирать, или достаочно ядра?
     
     
  • 2.23, пох (?), 22:53, 01/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    я не знаток фрюхи, но подсказываю если ты эксплуатируешь ее не для нетаковости-... весь текст скрыт [показать]
     
     
  • 3.25, Monster (?), 01:10, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо!
    Я не "нетаковости-как-все" - впн-днс-почтовик.
    Если не сложно - тыкни где подписываться на рассылку.
    Фрю очень давно кручу, но как-то не видел необходимости...
     
     
  • 4.29, iZEN (ok), 02:31, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Поставь домашней страницу в браузере эту: https://svnweb.freebsd.org/base/stable/11/?sortby=date
     
  • 4.30, iZEN (ok), 02:32, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Для релиза эту: https://svnweb.freebsd.org/base/releng/11.2/?sortby=date
     
  • 4.35, пох (?), 11:39, 02/12/2018 [^] [ответить]     [к модератору]  
  • +/
    https lists freebsd org mailman listinfo freebsd-security там еще есть -notif... весь текст скрыт [показать]
     
  • 2.24, ГабенВульвович (?), 23:42, 01/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Посмотри по изменениям, svn up и пыришь что за файло новое качается. Была пара апдейтов, в которых было достаточно вообще пару библиотек пересобрать, ну и ядро чтобы бампнуть патчсет версию. Можно подумать знатоки фрюхи сидят и заучивают на изусть чейнджлоги, делать больше нечего
     
     
  • 3.26, Monster (?), 01:15, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    да, собственно, после новости и запустил, и файло посмотрел. Видел, что файло нфс подтянулось.. Но не знаю, по каким критериям определять - что пересобирать.
    Не программист, так, чуть-чуть..
     
     
  • 4.31, ГабенВульвович (?), 07:22, 02/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну если NFS, то и то, и другое  (он ведь и ядро, и юзерспейс)
     
  • 1.37, Аноним (37), 12:15, 02/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    На сабже что в bhyve, что в virtualbox винда после пары-тройки перезагрузок прос... весь текст скрыт [показать]
     
     
  • 2.46, Аноним (-), 06:50, 03/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А что, в вайне это гэ не работает?

    p.s. а когда кто-нибудь будет рассказывать как офуенно в бзде с виртуализацией - пусть вот это прокоментит сначала, чтоли.

     
     
  • 3.47, Аноним (47), 11:00, 03/12/2018 [^] [ответить]     [к модератору]  
  • +/
    А что именно нужно комментировать Недовольное курлыканье криворукого анонима по... весь текст скрыт [показать]
     
     
  • 4.48, нах (?), 12:31, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    и, кстати, нахрена вот он ее без конца перезагружает? У меня сервера перезагружаются раз в неделю, во время тихое, потому что обновления этого хотят - и то половина этих перезагрузок отменяется по соображениям "не настолько важное обновление, чтоб лишний раз дергаться".
    (с линуховыми, что характерно, такая же точно фигня)
     
  • 1.40, iZEN (ok), 16:59, 02/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Захотел обновить 11-STABLE на 12-STABLE на удалённой машине. Подключил каталоги /usr/src и /usr/obj, как это я обычно делаю, и начал устанавливать:
    cd /usr/src/ && make installworld
    И тут ошибка: "Тулчейн ваш находится на другой машине в кэшированном виде и недоступен. Установка невозможна." Кто сталкивался с этим? Как решить проблему?
    (Компиляция системы на удалённой машине слишком длительная - процессор слабоват)
     
     
  • 2.49, нах (?), 12:33, 03/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Как решить проблему?

    примонтируй корень дохломашины к билдхосту, и make install DESTDIR=гдеонотам, а не наоборот. И у mergmaster аналогичный параметр есть.
    Это точно никогда не поломают.

     
     
  • 3.53, iZEN (ok), 18:46, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Проблема решена. Походу вскрылась другая нестыковка.


     
  • 2.51, Andrew (??), 14:03, 03/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Давно это было, ещё под 4-кой. mount_nfs в rw режиме.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor