В реализации UNIX-сокетов во всех поддерживаемых версиях FreeBSD (7.x, 8.x и 9.x) найдена серьезная уязвимость (http://security.freebsd.org/advisories/FreeBSD-SA-11:05.unix...), позволяющая локальному пользователю поднять свои привилегии в системе (запустить код с правами root), выйти за пределы изолированного Jail-окружения и обойти различные механизмы ограничения доступа. Обходных путей блокирования уязвимостей не существует. Для устранения уязвимости требуется установка бинарных обновлений или применение патча (http://security.FreeBSD.org/patches/SA-11:05/unix.patch) с последующей пересборкой ядра (патч подходит и для уже не поддерживаемой ветки FreeBSD 6.x, которая также подвержена уязвимости).
Проблема присутствует в реализации Unix-сокетов, которые используют единые с сетевыми сокетами системные вызовы, но используют в качестве аргумента путь к локальному файлу, вместо IP-адреса и номера порта. Проблема вызвана тем, что при прикреплении Unix-сокета к определённой точке файл...URL: http://security.freebsd.org/advisories/FreeBSD-SA-11:05.unix...
Новость: http://www.opennet.me/opennews/art.shtml?num=31887
Corrected:2011-09-28 вот блин, 26 только обновился..
Мир пересобрал что ли? а freebsd-update fetch install ?
Не катит если система собрана из исходников и выпилино все не нужное
Хорошо иметь -STABLE — патчи прилетают мгновенно. ;) Да и злоумышленники не знают точно, какой -STABLE у тебя: вчерашний или уже сегодняшний с патчами. ;)
им этого знать и не нужно, попробуют всё - не жалко.
Зубки обломают.
> Зубки обломают.С такими ыкспертами как ты - никаких хакеров не надо, само сломается.
Не вполне понял мысль. Ты обновляешься бинарно или из исходников ?
Если из исходников, то регулярные обновления вручную превращаются в проблему, особенно когда серверов несколько. Как тут постоянно иметь stable не вполне понятно.
> Если из исходников, то регулярные обновления вручную превращаются в проблемуРасскажите пожалуйста это какие проблеммы у вас при обновлении из исходников
P.S. за последние лет 5 у меня ни разу ни чего небыло такого при обновлении
Линуксятник ? видел фряху на картинках ?
>> Если из исходников, то регулярные обновления вручную превращаются в проблему
> Расскажите пожалуйста это какие проблеммы у вас при обновлении из исходников
> P.S. за последние лет 5 у меня ни разу ни чего небыло
> такого при обновленииСколько у тебя серверов ? 1 ? А если больше 10 ? Я охирею их каждый день руками из сырцов обновлять, даже раз в неделю охирею. А freebsd-update работает только с GENERIC ядром, в котором нет необходимых мне IPFIREWALL_FORWARD и ROUTETABLES.
> Линуксятник ? видел фряху на картинках ?
Ну умник, я тебя слушаю ?
>>> Если из исходников, то регулярные обновления вручную превращаются в проблему
>> Расскажите пожалуйста это какие проблеммы у вас при обновлении из исходников
>> P.S. за последние лет 5 у меня ни разу ни чего небыло
>> такого при обновлении
> Сколько у тебя серверов ? 1 ? А если больше 10 ?
> Я охирею их каждый день руками из сырцов обновлять, даже раз
> в неделю охирею. А freebsd-update работает только с GENERIC ядром, в
> котором нет необходимых мне IPFIREWALL_FORWARD и ROUTETABLES.
>> Линуксятник ? видел фряху на картинках ?
> Ну умник, я тебя слушаю ?у меня их больше 10
и даже больше 20и что? =))
планировщик, свои скрипты - всё решаемо.
заходить на каждый линуксовый и набирать одини и те же команды - тоже долго, заметим.
> заходить на каждый линуксовый и набирать одини и те же команды -
> тоже долго, заметим.Человеческий пакетный менеджер позволяет не заниматься подобными вещами.
>> заходить на каждый линуксовый и набирать одини и те же команды -
>> тоже долго, заметим.
> Человеческий пакетный менеджер позволяет не заниматься подобными вещами.в чём человечный? в возможности поставить галку про автообновление?
тогда вам в сторону винды надо смотреть
> Сколько у тебя серверов ? 1 ? А если больше 10 ?
> Я охирею их каждый день руками из сырцов обновлять, даже раз
> в неделю охирею. А freebsd-update работает только с GENERIC ядром, в
> котором нет необходимых мне IPFIREWALL_FORWARD и ROUTETABLES.Лично для вас ! и умников из яндекса и рамблера...
Вообщето система обновляется (в том числе и пересборкой ядра) только на одной машине
на остальных просто настраивается rsync с последующим ребутом
умники блин
> Вообщето система обновляется (в том числе и пересборкой ядра) только на одной
> машине
> на остальных просто настраивается rsync с последующим ребутом
> умники блинАга, знайте что будет если сделать неатомарное обновление работающей системы через rsync ? Русская рулетка будет. Сразу видно, что сами вы никогда описанным вами способом системы не обновляли.
> Ага, знайте что будет если сделать неатомарное обновление работающей системы через rsync
> ? Русская рулетка будет. Сразу видно, что сами вы никогда описанным
> вами способом системы не обновляли.А ни кто и не говорит про обновление фряхи допустим с версии 7.0 на 8.2
если не глобальные обновления то это все делается элементарно
У меня половина серверов под фряхой а другая под деб, и скажу честно что с деб немного побольше проблемм при обновлении
Когда то пробывали федорку, там вообще после обновлений бывало что система не грузилась или вообще файлуха показала фигу
Смысла нету спорить что лучше так как для того что бы спорить надо знать несколько осей а не одну бубунту
Ни кто не просит обновлять рсинком какуой нибудь SQL.
кернел, /bin, /sbin, /usr/bin, /usr/sbin и так далее рсинком обновляются на ура
что удивительно зашел на http://security.freebsd.org и обнаружил что RELENG_9, 9.0-RC1 первый релиз кандидат ждем релиза
> Возможность бесконечного зацикливания или выполнения кода при распаковке командами compress и gzip специально оформленных поврежденных архивов.Интересно, что эта уязвимость очень старая - еще со времен 4.3BSD (1980-е годы), если не раньше. В upstream'ном gzip она, похоже, была исправлена не позже 1993-го года, а в FreeBSD'шном клоне gzip вот только сейчас. Помимо gzip, ей подвержено много других программ (думаю, такие есть и в поставках не-Unix систем - поддержка compress, gzip-сжатия, в том числе в сетевых протоколах, а также GIF-картинок). Некоторые были исправлены в дистрибутивах в этом августе (спасибо Red Hat, в том числе и за уведомления *BSD). А многие, вероятно, еще не идентифицированы (и, соответственно, не исправлены).
Tomas Hoger (Red Hat):
"As far as I can tell, FreeBSD gzip had the issues I reported, even
though my mails said gzip is not affected. If Savannah gzip git is to
be trusted, gzip had those issue addressed in the oldest version
available there (1.2.4, 1993)"http://www.openwall.com/lists/oss-security/2011/09/28/5
Ссылка на уязвимый код в 4.3BSD-Reno:
http://www.openwall.com/lists/oss-security/2011/09/28/7
Как я понимаю, исходно этот код был в public domain, и он попал и в 4.3BSD (под BSD-лицензию) и в gzip (под GPL).
Исправление называется "смерть троянизированным". Сдохли flash, skype и клиент Citrix.
> Исправление называется "смерть троянизированным". Сдохли flash, skype и клиент Citrix.и правда, сдохли. вот печаль-то...
> и правда, сдохли. вот печаль-то...Не баг а фич ;)
ага... фич, выявивший баг в линуксуляторе
http://lists.freebsd.org/pipermail/freebsd-security/2011-Sep...
Ну йопта, тоже мне решили проблему похерив линуксатор. Придeтся пока отказаться от этого патчика на ноуте и ждать нормального патча.
ожили. пофиксили линуксулятор
> URL: http://security.freebsd.org/advisories/FreeBSD-SA-11:05.unix...<angleton> lord that bsd bug
<angleton> it was known for quite some time
<drosenbe> i know
<drosenbe> it was used at defcon ctf this year
> <drosenbe> it was used at defcon ctf this yearА это откуда такое? Это где-то в IRC?
Да, IRC. Не буду рекламировать канал, хоть он и публичный. Поймите правильно: вряд ли люди там одобрят наплыв любопытных, если такой случиться.
Ты ж мягко говоря не юзаешь фрю, но сидишь на ихних irc каналах? интересно зачем.
Это не их канал. Просто там есть те, кто в курсе.
ну что ж тактика "знаю но никому ничего не скажу" тоже имеет право на жизнь, в особенности в мире опенсорца.
Уязвимость в ядре? Ядро пересобирать надо, чтобы пропатчиться?
почитайте оф. секюрити сообщения по данным проблемам, ссылки на которые есть в даной новости.
Понятно, бага в ядре, достаточно ядро пересобрать, а мир не надо