Вышли обновленные версии Linux ядра: 2.6.32.1 (http://lkml.org/lkml/2009/12/14/264) и 2.6.31.8 (http://lkml.org/lkml/2009/12/14/262), в которых внесено (http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.32.1) большое количество исправлений в работе файловой системы ext4, в том числе устранены серьёзные ошибки безопасности (http://secunia.com/advisories/37658/):- Ошибка проверки прав доступа при обработке IOCTL
"EXT4_IOC_MOVE_EXT" может быть использована для перезаписи файлов с root привилегиями через отправку специально оформленного IOCTL запроса.- Ошибка в функции "ext4_fill_flex_info()" может привести к делению на ноль при монтировании специально оформленного образа файловой системы;
- Ошибка в функции "ext4_decode_error()" может привести при монтирования специально скомпонованной ФС к разыменованию NULL указателя и организации выполнения кода злоумышленника с повышенными привилегиями.
Всем пользователям файловой системы ext4 рекомендуется обновиться незамедлительно. Также были исправлены мелкие ошибки в подсистеме SCSI и драйвере megaraid_sas.URL: http://lkml.org/lkml/2009/12/14/264
Новость: http://www.opennet.me/opennews/art.shtml?num=24672
А можно как-нибудь обновить только этот компонент, без обновления всего ядра?
какой этот?Если этот /proc/sys/vm/mmap_min_addr = 0, то надо просто поменять 0 на
$ cat /proc/sys/vm/mmap_min_addr
4096
Этой шутке, про mmap_min_addr уже не один месяц. Ещё в 2.6.31 в Debian Sid (в других не знаю, тоже вроде) там стояло 65536.
wine ее сбрасывает в 0, возможно кто-то еще.
/etc/sysctl.d/30-wine.conf
Не wine, а гении из убунты.
>Не wine, а гении из убунты.Не совсем из Ubuntu. А из стороннего репозитария Ubuntu. там в diff-файле помимо значков и одного патча совместимости есть как раз тот конфиг... Но мне без разницы - я из исходного кода собираю - и проблемы нет.
Я поменял! Только после этого Wine не запускает 16-битные программы.
> Я поменял! Только после этого Wine не запускает 16-битные программы.А надо чтоб и волки сыты и овцы целы? ;)
P.S.: 16-битные программы в 21 веке... Неужели для них нет хотя бы 32-битных виндовых аналогов?
Для игрушек нету =(
а dosbox?
УстановитьDosBOX и там запустить Windows 3.1? Вариант! Правда, если игра перед стартом захочет открыть консоль DOS - Windows завершает работу с ошибкой. Но зачем такие исхищрения, когда в Wine работает и так?
Кстати, мне надо было только ext4 исправить, а не ip4. Я уже собрал новое ядро, так что проблема отпала.
>Только после этого Wine не запускает 16-битные программы.Сколько можно насиловать труп? oO Они у микрософта уже в 64-бит винде не стартуют. Так что wine в этом плане - святее Папы Римского вообще.
Какое мне дело до Винды?! Ты когда что-то делаешь, смотришь на то, как поступает в такой ситуации сосед? Вот и я тоже нет.
Ответ выше - игры.
Да. Это проблема.
Я напр., использую утилиту vsafe.com в качестве антивируса (неплохо справляется, кстати).
В качестве фронт-энда запускаю msavts.exe, он 16-битный. Запускаю из скриптов GDM. Очень неплохо, и лицензий никаких не надо.
Если у тебя генту (нет, не генту у тебя), то можно обновиться и пересобрать.
Иначе качаем-ставим всё ведро. Если у тебя нормальный дистрибутив, то само скачает-поставит.
>Если у тебя генту (нет, не генту у тебя), то можно обновиться
>и пересобрать.
>Иначе качаем-ставим всё ведро. Если у тебя нормальный дистрибутив, то само скачает-поставит.У меня ванильное ядро, само не скачается и не поставится. Скачивать все 60 мегабайт ядра долго и лень - GPRS. Хочется скачать только один компонент и обновить только его. Возможно ли это?
1. git pull
2. wget http://www.kernel.org/pub/linux/kernel/v2.6/patch-2.6.32.1.bz23.
diff --git a/net/ipv4/ip_fragment.c b/net/ipv4/ip_fragment.c
index 575f9bd..d3fe10b 100644 (file)
--- a/net/ipv4/ip_fragment.c
+++ b/net/ipv4/ip_fragment.c
@@ -563,7 +563,7 @@ out_oversize:
printk(KERN_INFO "Oversized IP packet from %pI4.\n",
&qp->saddr);
out_fail:
- IP_INC_STATS_BH(dev_net(dev), IPSTATS_MIB_REASMFAILS);
+ IP_INC_STATS_BH(net, IPSTATS_MIB_REASMFAILS);
return err;
}
О, спасибо! Ты фактически за меня всю работу сделал... А то надоедает каждый раз заново качать ядро по часу. Каждый раз ставить галочки параметров - хоть я и использую make oldconfig - всё равно надоедает! Ведь если я правильно понял твой патч, всё будет быстро. Спасибо большое.
- Качаем минорный патч (пара сотен Кбайт максимум)
- Накладываем на исходники ядра
- Делаем $zcat /proc/config.gz > .config
- Собираем и ставим
- Перезагружаемся.
?????
- PROFIT!Никаких make oldconfig, menuconfig и прочего.
>- Качаем минорный патч (пара сотен Кбайт максимум)...
>Никаких make oldconfig, menuconfig и прочего.Про oldconfig это ты зря, вот когда появился CONFIG_PAT,
который по деволту бы is not set, у многих видюшки начали глюкать.
>О, спасибо! Ты фактически за меня всю работу сделал... А то надоедает
>каждый раз заново качать ядро по часу.Скачай один раз git - git://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux-2.6.git
потом только git pull делай - будешь на пике моды :)
Девелоперская теперь linux-next.
Between 2.6.28.10 and 2.6.29, net/ipv4/ip_fragment.c was patched,
changing from dev_net(dev) to container_of(...). Unfortunately the goto
section (out_fail) on oversized packets inside ip_frag_reasm() didn't
get touched up as well. Oversized IP packets cause a NULL pointer
dereference and immediate hang.
О мой бог.. Linux до сих пор не избавился от болезни death ping ?
Читайте новость внимательно - уже -дцатый раз избавился.
А Макось уже избавилась? ;)
>О мой бог.. Linux до сих пор не избавился от болезни death ping ?Я б на вашем месте больше нервничал о том чего с вашими любимыми санями и их продуктами теперь будет.
>Я б на вашем месте больше нервничал о том чего с вашими
>любимыми санями и их продуктами теперь будет.какая-то уязвленность сквозит в ваших словах...
В тексте новости присутствует "нечестная реклама" Ubuntu, так как для Fedora обновление безопасности, исправляющее эту уязвимость, вышло еще 7 декабря:Fedora 11: https://www.redhat.com/archives/fedora-package-announce/2009...
Fedora 12: https://www.redhat.com/archives/fedora-package-announce/2009...
>В тексте новости присутствует "нечестная реклама" Ubuntu, так как для Fedora обновление
>безопасности, исправляющее эту уязвимость, вышло еще 7 декабря:
>
>Fedora 11: https://www.redhat.com/archives/fedora-package-announce/2009...
>
>Fedora 12: https://www.redhat.com/archives/fedora-package-announce/2009...Речь про исправление ошибок в ext4, я вчера честно проверил весь список из http://wiki.opennet.ru/SecurityAnnounces и нашел обновление только для Ubuntu. В приведенных вами исправлениях для Fedora решены проблемы только в ipv4/ip_fragment.c
>Речь про исправление ошибок в ext4, я вчера честно проверил весь список
>из http://wiki.opennet.ru/SecurityAnnounces и нашел обновление только для Ubuntu. В приведенных вами
>исправлениях для Fedora решены проблемы только в ipv4/ip_fragment.cКстати, вышло обновление для Fedora
https://www.redhat.com/archives/fedora-package-announce/2009...сейчас добавлю в текст новости.
Обновление для Fedora вышло раньше, чем ядро на kernel.org ... ?
>Обновление для Fedora вышло раньше, чем ядро на kernel.org ... ?Так бывает, если вы и пишете это ядро (в данном случае RedHat) =)
ext4 год назад вышла? до сих пор ошибки находят. зачем такую глюкавую фс выпускать а тем более ее использовать?
а в чём проблема? не используйте.
По сравнению с неотъемлимыми особенностями FAT и NTFS, это не глюк. Открою тебе маленькую тайну. На самом деле настольный дистрибутив Linux может работать годами, и не надо ничего обновлять, патчить, как советуют некоторые. Эти советчики - либо миргарты из Windows, где без этого и правда может всё серьёзно пострадать (даже Майкрософт подтверждает),либо те,кому нечем заняться - вот и коротают время так. Обновлять стоит сервер,поэтому в новостях лишь новости об уязвимостях в ключевых компонентах системы.
>По сравнению с неотъемлимыми особенностями FAT и NTFS, это не глюк.без конкретики - запузыривание лужи. да и собственно при чем тут фат и нтфс?
>Открою тебе маленькую тайну. На самом деле настольный дистрибутив Linux может работать
>годами, и не надо ничего обновлять, патчить, как советуют некоторые. Эти
>советчики - либо миргарты из Windows, где без этого и правда
>может всё серьёзно пострадать (даже Майкрософт подтверждает),либо те,кому нечем заняться -
>вот и коротают время так. Обновлять стоит сервер,поэтому в новостях лишь
>новости об уязвимостях в ключевых компонентах системы.пионеро-фанат, вы то зачем обновляетесь? мигрировали с виндовс и вам занятся нечем только как по жпрс тянуть 60М?
И зачем я выкинул журнал Компьютерры, где всё было перечислено в столбик? Лимит размера файла в FAT, нельзя в корневом каталоге больше 255 файлов создать,возможность хака,если назвать особым образом и утилитами файл.Утеря места на больших разделах,в NTFS проблему решили,но это фактически нагромождение кода поверх кода FAT.Фрагментация.Права доступа в NTFS 5 версии,а в FAT все файлы помечаются исполняемыми (об этом даже есть анекдот). Потеря файлов после сбоя из-за кривой реализации журналирования.Ещё что-то
>нельзя в корневом каталоге больше 255 файлов создатьэто в каком юмористическом журнале вы такое прочитали?
>Утеря места на больших разделах
потери от зарезервированных инодов в ext* в разы больше, чем от FAT
>Фрагментация
Зависит исключительно от драйвера
>FAT все файлы помечаются исполняемыми
зато со сменными носителями проблем нет
>отеря файлов после сбоя из-за кривой реализации журналирования.Ещё что-то
ну кто же виноват, что в линукс-драйвере кривая реализация фурналирования?
Кроме того, если создать файл в 300 байт, он будет занимать 16 килобайт. Проверь, набери 300 байт в "Блокноте" и сохрани, а у полученного файла замерь размер, нажав правой кнопкой и выбрав "Свойства". Строчка "На идске" покажет, что файл физически занимает 16 килобайт. Можно, конечно, использовать DriveSpace... Но для жёсткого идска в 500 гигабайт это смешно!
Есть такой нехороший сбой, что Windows никогда не определяет точный размер файла, ошибаясь, в лучшем случае, на байты, а в худшем на сотни мегабайтов. Попробуй сам замерить большой объём данных, у которого тебе заведомо известен размер. Эта проблема освещается во всех мыслимых компьютерных журналах как особенность NTFS. Часто хочешь диск записать с большой кучей файлов, а 4.0 гигабайт не влезают на DVD, потому что это на самом деле 4,4 гигабайта.
>Кроме того, если создать файл в 300 байт, он будет занимать 16
>килобайт.доброе утро, почитай на досуге про размер кластера и на что он влияет в ФС, ага.
Ну так об этом и речь - это недостаток как самих FAT и NTFS, так и самой архитектуры этих файловых систем. Она давно устарела.
Если это сбой в Windows, это само собой разумеющееся?
Потому что у меня - сервер. На десктопе у меня SSH закрыт и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже с умолчальными настройками.
>Потому что у меня - сервер. На десктопе у меня SSH закрыт
>и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже
>с умолчальными настройками.ssh это что-то плохое?
т.е. на десктопе можно настроить так файрол что бы никакие дыры были не страшны, а на сервере, не смотрящем в интернет, нет?
>>Потому что у меня - сервер. На десктопе у меня SSH закрыт
>>и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже
>>с умолчальными настройками.
>
>ssh это что-то плохое?
>т.е. на десктопе можно настроить так файрол что бы никакие дыры были
>не страшны, а на сервере, не смотрящем в интернет, нет?Конечно нет. т.к. порты открыты. ИП кто вам сказал, что "не смотрящем в Интернет"?
>>ssh это что-то плохое?
>>т.е. на десктопе можно настроить так файрол что бы никакие дыры были
>>не страшны, а на сервере, не смотрящем в интернет, нет?
>
>Конечно нет. т.к. порты открыты. ИП кто вам сказал, что "не смотрящем
>в Интернет"?так значит открытые порты это плохо?
если бы он смотрел в интернет, то наверное не скачивалось бы по жпрс-у ядро.
> ext4 год назад вышла?смотря что считать за "вышла". По одним определениям больше года назад, по другим еще не вышла (в enterprise дистрибы еще не включили по умолчанию).
> зачем такую глюкавую фс выпускать
ФС такого уровня и таких возможностей никто и никогда не выпускал без глюков. Это сложнее чем ты думаешь и возможностей там больше чем ты знаешь.
> а тем более ее использовать?
я использую уже полгода, ни одного глюка не замечено, при этом она быстрее ext3.
>ext4 год назад вышла? до сих пор ошибки находят. зачем такую глюкавую
>фс выпускать а тем более ее использовать?Наверное вы настолько круты что сразу пишете код такой сложности без багов? Может, покажете вашу файловую систему тогда? Ну или хотя-бы любую другую более-менее сложную ФС где не было бы багов которые порой еще и похуже (ченжлоги читайте, только тогда вообще спать спокойно не сможете).
Если врубить мозг, то...
1) Для юзежа бага юзер должен быть локальным.
2) Ему должно хватать прав на монтирование как я понимаю. Если у него столько прав - он и так может напортачить.
3) Баг не вызывает разрушение данных.Итого? Да, непорядок. Но не вижу какую опасность на практике оно представляет для меня или для данных.
>Если врубить мозг, то...
>1) Для юзежа бага юзер должен быть локальным.
>2) Ему должно хватать прав на монтирование как я понимаю. Если у
>него столько прав - он и так может напортачить.
>3) Баг не вызывает разрушение данных.
>
>Итого? Да, непорядок. Но не вижу какую опасность на практике оно представляет
>для меня или для данных.это вы про какой баг?
я, например, вижу это:Ошибка проверки прав доступа при обработке IOCTL
"EXT4_IOC_MOVE_EXT" может быть использована для перезаписи файлов с root привилегиями через отправку специально оформленного IOCTL запроса.и понимаю, что как минимум можно вызвать разрушение данных, а если врубить мозг, то и получение привилегий тут же окопалось.
Брехня в зюзе обновлений нет, мейтейнеры ядра зюзи как всегда в анабиозе