Выпущены две новые версии Linux ядра, 2.6.22.16 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16) и 2.6.23.14 (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14), в которых устранена уязвимость в VFS обработчике прав доступа, используя которую злоумышленник, имеющий локальный доступ к машине, мог вызвать сбой в работе файловой системы.
Кроме того, сообщается об обнаружении ряда проблем безопасности в Solaris и FreeBSD:Solaris
:
- Возможность обхода некоторых ограничений безопасности в Sun Solaris 10, из-за ошибки в библиотеке libdevinfo (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...). Например, локальный пользователь может получить доступ к файлам, не имея соответствующих привилегий;
- Злоумышленник может использовать ошибку в реализации функции dotoprocs(), приводящую к краху системы, для совершения DoS атаки в Solaris 10 (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103...);- Исправлена уязвимость в библиотеке libxml2, входящей в состав Solaris 9 и 10 (http://blogs.sun.com/security/entry/sun_alert_103201_securit...);
FreeBSD
:
- FreeBSD-SA-08:02.libc (http://security.freebsd.org/advisories/FreeBSD-SA-08:02.libc...) - переполнение буфера в реализации функции inet_network в системной библиотеке FreeBSD 6.2 и более поздних экспериментальных версий. Злоумышленник, при отсутствии проверки валидности пользовательского ввода в атакуемом приложении, который используется как параметр функции inet_network(), может вызвать отказ в обслуживании или выполнить свой код через такую программу (проблема больше теоретическая, мало вероятно, что найдётся сетевое приложение подставляющие непроверенные пользовательские параметры в функцию inet_network());
- FreeBSD-SA-08:01.pty (http://security.freebsd.org/advisories/FreeBSD-SA-08:01.pty.asc) - начиная с FreeBSD 5.0 в libc_stdlib / libutil присутствует уязвимость в коде изменения прав доступа к pty устройству, которую атакующий может использовать для просмотра текста вводимого пользователем в терминале, если пользователь использует при этом программу script.
URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=13657
Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?скажи, склонясь над консолью: "обнови меня, Господи!"
а по делу: телепаты тут тусуются: linux.org.ru
Не помогает. FreeBSD 6.2
make buildworld
mergemaster -p
make installworld
mergemaster
reboot
Спасибо, вопрос был собственно в том, обязательно ли make installworld в синглмоде, коего по ssh не получишь, делать.
>Спасибо, вопрос был собственно в том, обязательно ли make installworld в синглмоде,
>коего по ssh не получишь, делать.Для простого make installworld в пределах патчлевлов -- точно не обязательно. Просто загасить все лишнее и -- вперед.
Проверено неоднократно.
>Спасибо, вопрос был собственно в том, обязательно ли make installworld в синглмоде,
>коего по ssh не получишь, делать.Всегда делал
cd /usr/src && make update && cd /usr/obj && chflags -R noschg * && rm -rf * && cd /usr/src && make buildworld && make buildkernel && make installkernel && make installworld && mergemaster && sync
но при переходе с 6.1 на 6.2 были проблемы с последующей корректной работой системы, а так и на 4-ке проходило и на 5.3...6.1 без проблем.
Читайте подробней об обновлении в случае SA в описаниях SA на www.freebsd.org
Это понятно, просто в данном случае требуется обновление всего мира.
> Всегда делал
> cd /usr/src && make update && cd /usr/obj && chflags -R noschg * && rm -rf * && cd >/usr/src && make buildworld && make buildkernel && make installkernel && make installworld >&& mergemaster && sync
> но при переходе с 6.1 на 6.2 были проблемы с последующей корректной работой системы, а >так и на 4-ке проходило и на 5.3...6.1 без проблем.Я правильно понял, что надо сначало собрать мир потом ядро, а лишь потом инсталлировать мир и ядро ?
>потом инсталлировать мир и ядро ?инсталлировать ядро, а потом мир
Удаление содержимого /usr/obj лишнее. Оно само чистится на build.
>Удаление содержимого /usr/obj лишнее. Оно само чистится на build.Практика показала, что не всегда.
первым пунктом:
more UPDATING
Некрасиво "блистать умом" не понимая суть вопроса -
или телепаты с linux.org.ru обсуждают как на
FreeBSD "make world" через ssh провести?
PS: сам не скажу - не имею опыта/знаний, читать пока некогда
>Некрасиво "блистать умом" не понимая суть вопроса -
>или телепаты с linux.org.ru обсуждают как на
>FreeBSD "make world" через ssh провести?
>PS: сам не скажу - не имею опыта/знаний, читать пока некогдаВот Вы умом и блеснули........
>Некрасиво "блистать умом" не понимая суть вопроса -
>или телепаты с linux.org.ru обсуждают как на
>FreeBSD "make world" через ssh провести?
>PS: сам не скажу - не имею опыта/знаний, читать пока некогдаcd /usr/src
make clean
rm -r /usr/obj
make buildworld
make buildkernel KERNCONF=<tol'ko imya kernel>
make installkernel KERNCONF=<tol'ko imya kernel>
make installworld
sync
reboot
mkdir /var/tmp/root
cd /usr/src/etc
make DESTDIR=/var/tmp/root distrib-dirs distribution
cd /var/tmp/root/etc
find . -type f -exec diff /etc/{} {} \;>/var/tmp/files
cp -Rp /etc /etc.old
из /var/tmp/root/etc перезаписывать в /etc отличающиеся файлы, ессно
думать какие файлы надо перезаписывать
sync
reboot
>cd /usr/src/etc
>make DESTDIR=/var/tmp/root distrib-dirs distribution
>cd /var/tmp/root/etc
>find . -type f -exec diff /etc/{} {} \;>/var/tmp/files
>cp -Rp /etc /etc.old
>из /var/tmp/root/etc перезаписывать в /etc отличающиеся файлы, ессно
>думать какие файлы надо перезаписыватьА mergemaster вместо этого делать не учили? в UPDATING же есть инструкции.
>>cd /usr/src/etc
>>make DESTDIR=/var/tmp/root distrib-dirs distribution
>>cd /var/tmp/root/etc
>>find . -type f -exec diff /etc/{} {} \;>/var/tmp/files
>>cp -Rp /etc /etc.old
>>из /var/tmp/root/etc перезаписывать в /etc отличающиеся файлы, ессно
>>думать какие файлы надо перезаписывать
>
>А mergemaster вместо этого делать не учили? в UPDATING же есть инструкции.
>Использование mergemaster'a неприменимо на удаленных машинах.
Да и вручную поменять с десяток файлов в одной директории - не проблема :)
>Использование mergemaster'a неприменимо на удаленных машинах.И кто это сказал..... Травой поделитесь, я тоже хочу ;)
Всю жизнь использую "mergemaster -a" с последующим применением рук.
И даже на мажорную версию апгрейд удаленно делал.
Ну и???
Для тех кому лень: ключь "-а" создаст темп-рут в тмп директории и скопирует туда нужные файлы.
Естественно, нужно помнить, что тупое копирование заменит файл passwd и еще несколько очень интересных. Думайте что переносить.
>>Использование mergemaster'a неприменимо на удаленных машинах.
>
>И кто это сказал..... Травой поделитесь, я тоже хочу ;)
>Всю жизнь использую "mergemaster -a" с последующим применением рук.
>И даже на мажорную версию апгрейд удаленно делал.
>Ну и???
>Для тех кому лень: ключь "-а" создаст темп-рут в тмп директории и
>скопирует туда нужные файлы.
>Естественно, нужно помнить, что тупое копирование заменит файл passwd и еще
>несколько очень интересных. Думайте что переносить.Я не собираюсь тестировать каждый раз скрипт mergemaster'a.
Я знаю точно, что надо копировать и без него.
Если вы любите нездоровый риск апдейта удаленных машинок mergemaster'ом - продолжайте играть в рулетку самостоятельно.P.S. Следите за своими выражениями.
mergemaster как раз и был создан для безопасного апдейта.
>mergemaster как раз и был создан для безопасного апдейта.Ага, и обязательно в single-mode.
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?Если раньше не обновляли через пересборку мира (если система еще только поставленая с CD - GENERIC) - используйте бинарное обновление через freebsd-update
# man freebsd-update
# freebsd-update fetch
# freebsd-update installНа лор не ходите...
Всем огромное спасибо!
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?Ептыть, для кого эта файловая система сделана??? Как файл освободился, так он реально замещается. Непонимаю паники при обновлении системы через SSH. Вмешательство требуется если вдруг возникнут какие-то конфликты. Несколько раз обновлял систему на тестовом сервере в локалке, нифига не было проблем.
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?Так же как и через локальную консоль.
1. make world... (less /usr/src/Makefile)
2. freebsd-update
3. binary-update (sysinstall)
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?Если система поставлена с правильного (скачанного с сай)
>Чёрт, как правильно сделать обновление мира на удаленой машине через ssh?Если система поставлена с правильного (скачанного с сайта freebsd.org) дистрибутива, то можно попробовать бинарное обновление.
man freebsd-update
Если не GENERIC то придется еще и ядро пересобрать на том же конфиге,что не сложно сделать через ssh, только машинку придется перезагружать.
Если удаленный сервер там не один, подключи ком порт на второй сервер и перенаправь вывод не на видео а на ком порт. На втором делаешь tip и вперед. Спокойно можешь и в сингл грузится.
Ждем свежих сплоитов! :-)
вообще-то порадовала FreeBSD, на фоне других представленных сдесь ОС это даже не баги...
>вообще-то порадовала FreeBSD, на фоне других представленных сдесь ОС это даже не
>баги...Да уж, не баги -- зачем только мир пересобирать тогда?
В некоторых линуксах вон борются с копиями zlib и прочего, что многие апстримные тарболы норовят с собой таскать, собирать, а потом ещё и линковаться с таким вот необновлябельным потенциально дырявым кодом.
>>вообще-то порадовала FreeBSD, на фоне других представленных сдесь ОС это даже не
>>баги...
>
>Да уж, не баги -- зачем только мир пересобирать тогда?
>
>В некоторых линуксах вон борются с копиями zlib и прочего, что многие
>апстримные тарболы норовят с собой таскать, собирать, а потом ещё и
>линковаться с таким вот необновлябельным потенциально дырявым кодом.Народ не читает рассылку безопасности, а там написано, что пересборку конечно можно сделать, если не лень, но проще заплатки применить.
что вы гемороитесь с миром, я всегда через ssh это делаю(если конечно машинка не через чур старая а то время на сборку много уходит), делаю обычно:
csup -g -L2 stable-supfile
cd /usr/src && rm -Rf /usr/obj/* && make cleandir && make cleandir && make buildworld && make installworld && reboot
cd /usr/src && rm -Rf /usr/obj/* && make clean && make clean && make buildkernel KERCONF=ваше ядро && make installkernel KERNCONF=ваше ядро && rebootпару команд никакого гимороя только ожидание которое зависит от мощности сервера
>
>пару команд никакого гимороя только ожидание которое зависит от мощности сервераНе рекомендовал бы столько && - при ошибке на любом этапе будет грусно.Пересобираю FreeBSD c 2.2.5 - такой автоматизм чреват траблами.