The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск VirtualBox 6.0.6

17.04.2019 12:00

Компания Oracle сформировала корректирующие релизы системы виртуализации VirtualBox 6.0.6 и 5.2.28, в которых отмечено 39 исправлений. В новых выпусках также устранено 12 уязвимостей, из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Подробности не сообщаются, но судя по уровню CVSS устранены проблемы, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.

Основные изменения в выпуске 6.0.6:

  • Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169, 5.0 и 5.1. Добавлен лог с результатами сборки модулей для ядра Linux. Реализована сборка драйверов для загрузки в режиме Secure Boot. Повышена производительность и надёжность работы совместных каталогов (shared folder);
  • Внесены небольшие изменения в интерфейс пользователя. Налажено отображение прогресса удаления снапшотов. Исправлены проблемы с копированием файлов и отображением прогресса операций копирования во встроенном файловом менеджере. Исправлены ошибки, проявляющиеся при автоматизированной установке Ubuntu в гостевых системах;
  • Добавлена начальная поддержка формата QCOW3 в режиме только для чтения. Исправлены ошибки при чтении некоторых образов QCOW2;
  • Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA. Улучшена совместимость VMSVGA со старыми X-серверами. Обеспечена возможность использования VMSVGA при работе с интерфейсом прошивок EFI. Решены проблемы с пропаданием курсора, если не установлены дополнения для интеграции поддержки мыши. Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;
  • Решены проблемы с загрузкой сохранённого состояния для устройств LsiLogic;
  • Решены проблемы со вложенной виртуализацией на системах с процессорами AMD;
  • Улучшена эмуляция IDE PCI, обеспечена возможность работы IDE-драйверов NetWare c использованием режима bus-mastering;
  • Для бэкенда DirectSound добавлена возможность перебора имеющихся звуковых устройств;
  • В сетевой подсистеме решены проблемы с добавочным заполнением пакетов при использовании Windows на стороне хоста;
  • Решены проблемы с эмуляцией последовательного порта;
  • Исправлена ошибка, приводившая к дублированию совместно используемых каталогов (Shared folder) после восстановления виртуальной машины из сохранённого состояния;
  • Устранены проблемы при копировании файлов между хостом и гостевой системой в режиме Drag and drop;
  • Устранён крах при использовании VBoxManage;
  • Исправлена ошибка, приводившая к зависанию в случае попыток запуска виртуальной машины после сбоя;
  • В гостевых системах с Windows решены проблемы с использованием сложных конфигураций экрана с использованием драйвера WDDM (устранено зависание Skype for Business и крахи гостевых систем с WDDM);
  • Улучшена поддержка совместных каталогов для гостевых систем с OS/2;
  • В web-сервисах обеспечена поддержка Java 11;
  • Налажена компиляция с LibreSSL;
  • Решены проблемы со сборкой для FreeBSD.


  1. Главная ссылка к новости (https://www.mail-archive.com/v...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox
  4. OpenNews: Выпуск VirtualBox 6.0.4
  5. OpenNews: Релиз системы виртуализации VirtualBox 6.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (51) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анонимс (?), 12:23, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    > устранено 12 уязвимостей, из которых 7 имеют критическую степень опасности (CVSS Score 8.8)

    Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    > устранены проблемы, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы

    Страшный сон и головная боль для админов, которые используют в своей работе vbox.

     
     
  • 2.6, anonymous (??), 12:44, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.
    > Страшный сон и головная боль для админов, которые используют в своей работе vbox.

    ССЗБ.

     
     
  • 3.7, Анонимс (?), 13:03, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.

    Может Вы ещё предложите перестать включать и пользоваться компьютером.

    > Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя которые можно свести наличие уязвимостей к нулю? Или человечеству ещё только предстоит придумать и изобрести какие-нибудь квантовые компьютеры, неподверженные уязвимостям и взлому?  

     
     
  • 4.8, Аноним (8), 13:16, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    к нулю не получится, т.к. не существует людей не допускающих ошибок
     
     
  • 5.18, nm0i (ok), 14:24, 17/04/2019 Скрыто модератором
  • +1 +/
     
     
  • 6.19, Аноним (8), 14:39, 17/04/2019 Скрыто модератором
  • +2 +/
     
  • 6.46, Аноним (46), 12:59, 18/04/2019 Скрыто модератором
  • +/
     
  • 4.9, Аноним84701 (ok), 13:22, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя
    > которые можно свести наличие уязвимостей к нулю?

    Coq, B-Method, Event-B, Isabelle и еще вагон и маленькая тележка – полная формальная верификация постарше многих анонимов будет.

    Однако, есть одно "маленькое" НО:
    На примере seL4 c его формальной верификацией корректности:
    https://www.sigops.org/sosp/sosp09/papers/klein-sosp09.pdf
    > Abstract
    > complete formal verification is the only known way to guarantee that a system is free of programming errors.

    [...]
    > f L4 provenance, comprises 8,700 lines of C code and 600 lines of assembler.

    [...]
    > The overall size of the proof, including framework, libraries, and generated proofs (not shown in the table) is 200,000 lines of Isabelle script.
    >  The abstract spec took about 4 person months (pm) to develop. About 2 person years (py) went into the Haskell prototype (over all project phases), including design, documentation, coding, and testing. for a total cost of [B]2.2 py[/B]

    Т.е.
    > 8,700 lines of C code and 600 lines of assembler.
    > [B]2.2 py[/B]

    Причем, эти совсем не 2 человеко-года "пэхапэшникус-вульгарисов" будут.

    Поэтому вопрос нужно ставить скорее так:
    Существуют ли желающие оплатить такую разработку?

     
     
  • 5.31, Аноним (31), 19:30, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никакая формальная верификация не может гарантировать отсутствие логических ошибок.
     
     
  • 6.32, Аноним84701 (ok), 19:40, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Никакая формальная верификация не может гарантировать отсутствие логических ошибок.

    И гарантий от метеорита тоже не дает. И от недетектируемого ECC битфлипа из-за космического излучения или дефекта в материале и прочем - в общем, да, на самом деле это все  "баловство и нинужна!".


     
     
  • 7.35, Аноним (31), 21:42, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не баловство и нужно, но не поможет «покончить с уязвимостями раз и навсегда».
     
     
  • 8.36, Аноним84701 (ok), 22:08, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но не поможет «покончить с уязвимостями раз и навсегда».

    А давайте тогда без передерга или хотя бы развернуто, а? А то можно сразу Тюринга и "проблему остановки" упомянуть, больше ничего и не надо.

    Вообще-то, речь шла о "свести наличие уязвимостей к нулю".

    Кстати, моделирование и описание логики на высоком уровне (мат-модель) и последующая реализация на более "низком" очень неплохо помогает отлавливать логические ошибки типа "хотел сделать то, но на самом деле сделал вот это" даже одному разработчику (потому что задача формулируется на двух разных языках, шанс что мозг "прокеширует" и "замылится" на одной и той же детали, соотв. ниже).

    Так же, в ожидании очередного "верификация не поможет от всего поэтому: Нинужно" специально было процитировано из Abstract "a system is free of programming errors" (ошибки в логике, это  "logic errors" и идут отдельным пунктом).

    хотя  из интересного там вообще вот это:
    > the formal verification has uncovered another 144 defects  and resulted in 54 further changes to the code to aid in the proof.
    > None of the bugs found in the C verification stage were deep in the sense that the corresponding algorithm was flawed. This is because the C code was written according to a very precise, low-level specification which was already verified in the first refinement stage.
    > Algorithmic bugs found in the first stage were mainly missing checks on user assumptions
    >  The bugs discovered in the second proof from executable spec to C were mainly typos, misreading the specification, or failing to update all relevant code parts for specification changes. Simple typos also made up a surprisingly large fraction of discovered

    Т.е. нашли 144 ошибки на 8000 строк кода, причем алгоритмические и прочие "высокоуровневые" ошибки ловоились еще до написания С кода, во время рефайнмента.
    Вряд ли обычный, неверифицируемый код сильно отличается, плюс там еще и спецификацию никто не проверяет.


     
  • 5.43, пр (?), 12:38, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько это дороже обычных языков?
     
     
  • 6.49, Аноним (49), 23:33, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько
    > это дороже обычных языков?

    Person years:
    > person months (pm) to develop. About 2 person years (py) went into the Haskell prototype

    Строчек конечного кода немного - 8000, остальное обвязка проверки.
    Грубо и прикидочно - раз в 10-20,т.е. на порядок, плюс-минус лапоть.

     
  • 4.15, anonymous (??), 13:52, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может Вы ещё предложите перестать включать и пользоваться компьютером.

    Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то альтернативы виртуалбоксу есть на всех платформах, их и стоит использовать.

     
     
  • 5.52, нах (?), 11:21, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то
    > альтернативы виртуалбоксу есть на всех платформах

    вообще-то если у вбокса и остался какой-то смысл, так это тот, что он-то как раз почти на всех платформах, а "альтернативы" - каждая на своей.

    На xen надежды мало, а больше ничего и тем более не будет.

     
  • 4.22, SysA (?), 16:02, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех, кто в танке: vbox ни разу не предназначался для корпоративного использования!
    Это система персонального пользования. Точка.
    И если народные умельцы - админы локалхостов как-то приспосабливают его в качестве многопользовательской системы, то я присоединяюсь к предыдущему оратору: ССЗБ! Ведь и "Запорожец" теоретически можно было бы использовать как такси... ;)
     
     
  • 5.51, нах (?), 11:18, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    надо же, а сановцы-то и не знали...

    (система для персонального использования - с совершенно неудобным для любого использования, но детальнейшим cli api (и отдельно http, причем без веб-морды), поддержкой live migration с 2008го года (бдсмщики в своем пихайве до сих пор не осилят доделать), автофильтрами подключаемых устройств [интересно, у кого еще такие есть], сегментацией доступа пользователей, пусть и недоделанной - ну конечно же, никогда не предназначалась. На  персональном таком sunfire работала, в персональной стойке.)

    vbox просто мертв - как и его основной разработчик. Орацлу он не нужен. community вокруг не сложилось, да и невозможно это с их лицензией и их закрытыми кусками кода, доступными только в виде блоба. 3акапывайте, очень жаль :-(

     
  • 1.2, iPony (?), 12:26, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169

    наконец-то

     
  • 1.3, Аноним (3), 12:29, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    qemu kvm рулит и педалит...
     
     
  • 2.11, Аноним (11), 13:27, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У кого что болит.
     
  • 2.21, Аноним (21), 15:29, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    расскажешь рабочей ссылочкой как нормальный звук из виндов-гостей на kvm-хосте услышать? вот-вот, рули и педаль отсюда
     
     
  • 3.23, Аноним (23), 16:06, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    KVM не для игрулек, он чтоб работу работать.
     
     
  • 4.27, Аноним (21), 16:27, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не угадал. У меня там в винде собраны все виды мессенджеров с контактами по работе. Они постоянно пиликают, бибикают и пищат разными звуками и мелодиями. По звуку я понимаю важность сообщения или срочность ответа.
    Коммуникация - это важная часть моей работы.

    Так вот под kvm это всё хрипит и булькает, неважно альса или пульса. Опробовано на 3 разных компах, звуковые карты обычные встройки intel hda, дистриб убунту и свежая убунту с kvm-5.0. Со звуком из kvm всё одинаково плохо. Испробованные несколько рецептов настроек из интернета не помогают. Убиты несколько свободных вечеров.

    Но есть сабж из новости  - не тратишь ни время ни нервы - звук идеален из коробки.


     
     
  • 5.30, анон (?), 18:06, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    там с десяток эмулируемых карт, можеш все сразу выбрать или перебрать те которые нормально работают, так же выставить правильный буфер(зависит от железной карты) это важно тогда и ничего хрипеть не будет. у меня все отлично звук в квм.
     
  • 5.33, Аноним (33), 20:07, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Через SPICE пробовали?
     
  • 5.44, пр (?), 12:41, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    rdp не? Или на твоем же компе виртуалка в квм и запущена? Для декстопа то коробка удобне полюбому.
     
  • 4.28, Аноним (28), 16:31, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторым внезапно надо со звуком работу работать.
     
  • 3.24, anonymous (??), 16:09, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя пульса, то вот - https://passthroughpo.st/how-to-patch-qemu-and-fix-vm-audio/
    У меня сработало, заикания пропали.
     
     
  • 4.26, anonymous (??), 16:11, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, для альсы там тоже есть инструкция, но её я не пробовал.
     
  • 3.25, Тот кого нельзя называть (?), 16:09, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А в чём проблема? Использую устройство, которое virt-manager ставит по стандарту, потом устанавливаю дрова (https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/stable-virtio) в гостевой системе. Звук хороший. На хосте pulseaudio
     
     
  • 4.39, leap42 (ok), 04:56, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы тоже сравнили. У вас судя по линку Fedora, при всех её минусах, её делают программисты. У RH довольно сильная команда инженеров, которые могут починить что угодно.

    Убунтята же просто тащат из Debian нерабочее...

    P.S. нефанаты космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).

     
     
  • 5.41, iPony (?), 06:53, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).

    Да нормальное. Свои LTS версии ядра поддерживают, LivePatch для патченья на лету.

     
  • 1.4, Аноним (4), 12:43, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня после апдейта на 6 упала сильно производительность ио. Пол дня мусолит там чет и ничего не происходит. Дебиан часа 4-5 устанавливался. На 5ке было все ок, параллельно на qemu тоже за 15 мин все ставится. Причем не зависит от ОС. В винде тоже жутко все долго начало тупить(больше чем обычно на порядок). Кто нить сталкивался? Пофиксили?
     
     
  • 2.5, Аноним (4), 12:44, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всмысле не зависит от ос которая виртуализирована
     
  • 2.10, Аноним (11), 13:26, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они намекают что уже пора заплатить.
     
  • 2.40, leap42 (ok), 05:00, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так если qemu работает зачем вам вообще vbox? Чем вот это

    #!/bin/bash
    qemu-system-x86_64 \
    -machine type=pc,accel=kvm \
    -enable-kvm \
    -cpu host \
    -m 2048 \
    -nic user,model=virtio,hostfwd=tcp::10022-:22 \
    -drive file=debian9.img,media=disk,if=virtio,l2-cache-size=2097152,refcount-cache-size=524288 \
    -vga qxl \
    -device virtio-serial-pci \
    -spice port=5900,disable-ticketing \
    -device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 \
    -chardev spicevmc,id=spicechannel0,name=vdagent \
    -display gtk

    например хуже онтопика?

     
     
  • 3.45, пр (?), 12:43, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тут на 14 строк в скрипте больше чем нужно для запуска онтопика. Не благодарите.
     
     
  • 4.47, нах (?), 14:42, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    только вот эти 14 строк (на самом деле - одна) запускают не ненужно-гуй онтопика, а создают и конфигурируют виртуальную машину - что в онтопике вообще, внезапно, невозможно сделать в одну строку - сперва создай-ка виртуальный контроллер, потом уже сможешь подключать к нему диски, каждая операция отдельна и синтаксис интересный.

    подключение существующих дисков - это вообще праздник какой-то, потому что вместо имен файлов зачем-то нужны uuid'ы, которые еще поди достать из файла.

    Но ты кликай, кликай свою верную мышь - я вот поржу как ты это будешь делать из какого-нибудь места с rtt 200 (причем канал может быть хоть десятигигабитным - не поможет).

     
  • 1.12, ryoken (ok), 13:32, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >>  Улучшена поддержка совместных каталогов для гостевых систем с OS/2;

    ВАХ!

     
     
  • 2.14, Тот (?), 13:46, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Слава богу мы дожили
     
  • 1.13, Skullnet (?), 13:35, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Они уже исправили вылеты, при воспроизведении звука?
     
  • 1.16, Аноним (16), 13:58, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    OS/2 еще жива?! Я в ауте...
     
     
  • 2.17, ryoken (ok), 14:20, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > OS/2 еще жива?! Я в ауте...

    Ну и сидите там дальше :D.
    Это вы ещё про eComstation & ArcaOS не слышали, видимо :D.

     
     
  • 3.20, Аноним (23), 14:56, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это у вас называется "жива"? мда...
     
  • 1.29, Аноним (29), 16:33, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Увидел "6.0_6.0-6" и ужаснулся! )
     
     
  • 2.38, gsdh (?), 00:00, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    погоди еще 6.6.6 релизнут
     
  • 1.34, Аноним (34), 21:22, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сижу на 5.2.х, ибо 6.х - тормозное ***** даже с SSD.

    Первый стартует мгновенно - второй 2-3 секунды.

    Первый запускает виртуалки мгновенно, второй с паузой до 2 сек.

    Нафиг.

    // b.

     
     
  • 2.37, Аноним (37), 23:05, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сижу на 5.2.х, ибо 6.х - тормозное

    Ибо старое/слабое железо

     
  • 1.42, Аноним (42), 07:45, 18/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA<...>Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;

    Не ведитесь, сидите на 5.x. Да, глючит чуть меньше и чуть по-другому, но все равно неюзабельно. Непонятно откуда взявшуюся тормознутость классического vmvga тоже не исправили.

     
  • 1.50, Аноним (50), 23:39, 18/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где то накосячили. Под арчем в 6.0.6 венда не грузится, вылетает с синим экраном. В 6.0.4 - нормально.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor