Уязвимости в Linux ядре и NFS. Изменение сетевой подсистемы в ядре 2.6.28

20.10.2008 20:57

Обнаружено несколько уязвимостей:

В DRM (Direct Rendering Manager) модуле для видеокарт Intel i915 найдена уязвимость, позволяющая локальному злоумышленнику повысить свои привилегии в системе или вызвать отказ в обслуживании. Для успешной эксплуатации уязвимости необходимо наличие на машине чипсета Intel G33 или более нового. Исправление проблемы ожидается в версии 2.6.27.3, пока патч доступен только в снапшоте 2.6.27-git8;
Выпущен релиз Linux ядра 2.4.36.8 в котором устранена проблема, которую можно использовать для вызова отказа в работе файловой системы. Также в версии 2.4.36.8 добавлена защита от передачи NULL указателя на функцию в коде drivers/video/tvaudio.c;
В пакете nfs-utils, с реализацией NFS-сервера для Linux, найдена возможность обхода "netgroups" ограничений, заданных через конфигурацию TCP-wrapper (hosts.allow, hosts.deny). Проблема исправлена в nfs-utils 1.1.3.

В заключение, небольшой обзор новшеств, одобренных для включения в состав Linux ядра 2.6.28:

Пять новых драйверов для сетевых плат:
- atl2 – Attansic L2 10/100 Mbit;
- enic – Cisco 10 Gbit;
- jme – JMicron Gigabit;
- qlge – Qlogic 10 Gbit;
- smsc95xx – USB 2.0 10/100 Mbit адаптеры на базе SMSC LAN9500.
Улучшение существующих драйверов:
- В драйвере ath5k для беспроводных карт Atheros, появилась поддержка Mesh-сетей (каждая клиентская точка сети связана через соседние точки) и новых чипов Atheros AR2417 v2;
- В драйвере rt2x00 появилась поддержка акселерации шифрования данных для некоторых WiFi чипов RaLink;
- cxgb3 - появится поддержка Aeluros 2005 PHY;
- e1000e - будет реализована поддержка 82574L, 82567LM-4, 82567LM-3 и 82567LF-3 (ICH10D);
В состав включена подсистема cfg80211 (Wireless Regulatory Infrastructure), которая в будущем должна заменить разрозненный регулятивный (обеспечение требования разных стран по вещанию в определенном диапазоне частот) код из разных wifi драйверов, одной централизованной системой;
Появившаяся в ядре 2.6.27 система Multiqueue networking будет снабжена новым планировщиком, позволяющим помещать пакеты в очереди, в соответствии с заданным приоритетом. Multiqueue networking позволяет для каждого сетевого устройства организовать несколько независимых очередей пакетов (некоторые беспроводные карты, реализующие спецификацию Wireless Multimedia Extensions, поддерживают несколько независимых очередей, например, для передачи видео, голосового трафика и данных);
Будет добавлена возможность прокидывания Ethernet бриджей поверх GRE туннелей (Ethernet over GRE);
В netfilter будет добавлена нормальная система для организации прозрачного проксирования, появления которой ждали 5 лет. Система фильтрации внутри Ethernet бриджей ebtables будет теперь работать на основе инфраструктуры Xtables. Появилась поддержка IPv6 и Generic Netlink interface в коде netfilter модуля IPVS (IP Virtual Server);
Интегрирован Phonet стек (Phonet Pipe protocol) для работы модемов для сотовых сетей, разработанный компанией Nokia в рамках проекта Maemo;
Добавлена поддержка протокола DSA (Distributed Switch Architecture);

Возможности 2.6.28 ядра, ранее упоминаемые в новостях на opennet.ru:

Код файловой системы ext4 в дереве исходных текстов Linux ядра ранее развивался под именем extdev, в 2.6.28 он будет переименован в ext4, что сигнализирует о завершении процесса разработки и готовности данной ФС для повсеместного тестирования.
Старые PATA/IDE драйверы будут заменены на параллельно развиваемые аналоги, базирующиеся на libata. Появится поддержка датчиков ударов, имеющихся на некоторых ноутбуках и позволяющих операционной системе экстренно парковать головки дисков. Будет улучшена поддержка SSD накопителей, например, для SSD-дисков планировщики ввода/вывода не будут учитывать время перемещения головки, появится возможность информирования SSD о прекращении использования определенных блоков данных. Реализована возможность привязки обработчика ввода/вывода, при обработке запросов одной очереди, к определенному процессору (IO CPU Affinity).
В состав 2.6.28 Linux ядра принят код подсистемы GEM (Graphics Execution Manager), разработанной компанией Intel и предназначенной для низкоуровневого взаимодействия с GPU (DRM (Direct Rendering Manager) модуль для управления памятью и переключению видеорежимов). GEM также позволяет, через специальное GEM API, организовать совместный одновременный доступ нескольких приложений к видеокарте. При использовании GEM с видеокартами Intel i915 было отмечено увеличение производительность игры OpenArena примерно на 50%, скорость выполнения glxgears тестов выросла на 60%.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/18492-linux

Ключевые слова: linux, kernel

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Аноним (-), 22:55, 20/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В netfilter будет добавлена нормальная система для организации прозрачного проксирования, появления которой ждали 5 лет. как эта так? как можно в линухе что-то ждать 5 лет? ужос и холокост. а еще на фрю чета косите. Кстати в bsd с этим уже тыщу лет как все в порядке.

2.2, Georges (ok), 23:08, 20/10/2008 [^] [^^] [^^^] [ответить]	+/–
>В netfilter будет добавлена нормальная система для организации прозрачного проксирования, появления которой >ждали 5 лет. > >как эта так? как можно в линухе что-то ждать 5 лет? ужос >и холокост. а еще на фрю чета косите. Кстати в bsd >с этим уже тыщу лет как все в порядке. это не связка NAT + прокси сервер. это коечто другое

2.4, неаноним (?), 23:49, 20/10/2008 [^] [^^] [^^^] [ответить]	+/–
>В netfilter будет добавлена нормальная система для организации прозрачного проксирования, появления которой >ждали 5 лет. > >как эта так? как можно в линухе что-то ждать 5 лет? ужос >и холокост. а еще на фрю чета косите. Кстати в bsd >с этим уже тыщу лет как все в порядке. Как раз на BSD (как минимум, FreeBSD) это, в текущий момент, к сожалению, невозможно. (поднимать пакеты со 2-го на 3-й уровень). Были патчи от luigi, но только для 5.х

3.17, Touch (?), 14:02, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
Скажите, это то при помощи чего можно сделать прозрачно https ?..

3.28, Sem (ok), 17:04, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
Это о чем речь? Не очень понятно. Можно ссылку?

4.29, Touch (?), 21:12, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
так понимаю речь об этом http://osdir.com/ml/freebsd.devel.ipfw/2003-09/msg00083.html

5.30, Sem (ok), 23:34, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
>так понимаю речь об этом http://osdir.com/ml/freebsd.devel.ipfw/2003-09/msg00083.html Все это ради того, что бы иметь forward на бридже? Ну мне кажется, что не стоит оно того, что бы городить такие костыли.

1.3, Аноним (3), 23:22, 20/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А нормальная считалка трафика в netfilter появится лет через десять ))

2.6, Аноним (-), 04:52, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

>А нормальная считалка трафика в netfilter появится лет через десять ))

омайгод. зачем, зачем в firewall пихать считалку трафика!!??

3.15, vadiml (?), 12:37, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

>>А нормальная считалка трафика в netfilter появится лет через десять ))
>
>омайгод. зачем, зачем в firewall пихать считалку трафика!!??

Чтоб не пихать на шлюз кучу дополнительных программ

у меня на шлюзе крутится только 1 программа -- squid, через который пушены только 80 и 443 порты и ftp
а трафик хочется знать весь

вот и считается весь forward через дополнительные цепочки

4.16, uldus (ok), 14:00, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
Главная причина другая, уже при потоках а 50Мбит/сек на достаточно мощном сервере ULOG начинает терять пакеты из-за большого числа переключений контекста в user space и лишнего копирования между буферами. Поэтому и пытаются избавиться от составляющей, работающей на уровне пользователей, производя минимальное агрегирование на уровне ядра.

5.31, Аноним (-), 02:19, 22/10/2008 [^] [^^] [^^^] [ответить]	+/–
http://sourceforge.net/projects/ipt-netflow/

5.34, Аноним (3), 15:06, 23/10/2008 [^] [^^] [^^^] [ответить]	+/–
Странный у вас ULOG. Я в начале 2005 на средненьком по тем временам сервере (2-х процессорные одноядерные xeon'ы на базе p4, свежий 64-х битный RHEL4) когда прикручивал ULOG, гонял на гигабитном трафике - потерь не было абсолютно, все считалось идеально точно (в отличие от pcap, который даже на сотне мегабит терял пакеты). Данные выгребались ipcad'ом, в ULOG стояла максимальная агрегация (50, кажется, пакетов). Ищите проблему в настройке ulog/netfilter/ядре/железе..

3.24, Аноним (-), 14:33, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

точна, нафига она нужна, сами напишет, че нам.
Как и везде в свободном ПО - что вам нада пишите сами.

2.7, ineu (ok), 04:53, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

>А нормальная считалка трафика в netfilter появится лет через десять ))

Чем ipt_NETFLOW не устраивает?

3.18, Аноним (-), 14:09, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
И чтожы мне придется еще настроить и поставить, что все нормально ИГРАБЕЛЬНО считало, а не сваливало в кучу типа "а остальное сами допишыте"

4.21, ineu (ok), 14:15, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
>И чтожы мне придется еще настроить и поставить, >что все нормально ИГРАБЕЛЬНО считало, а не сваливало в кучу >типа "а остальное сами допишыте" Жы-шы пишы с буквай ы? Чтоб самому ничего не делать, платите деньги за готовые решения. Не хотите платить деньги - думайте головой. Как собирать трафик с iptables, я Вам сказал.

5.23, Аноним (-), 14:29, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

да все собирается, на базе Дебиан+НетАМС.

комерческие Линукс решения без "отвертки" не поставишь,
или дорого ОЧЕНЬ, виндовс системы дешевле в разы.

Вот и крутица все на бесплатном сурагате,
но вполне надежно(после нескольких месяцев отладки),
без перезагрузок и вообще вмешательства.

1.5, Logo (ok), 01:27, 21/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В драйвере ath5k для беспроводных карт Atheros, появилась поддержка Mesh-сетей (каждая клиентская точка сети связана через соседние точки)... Mesh-сети кто то пробовал? Реально пропускная способнось выше?

1.8, luserz (?), 08:12, 21/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ethernet over GRE ням ням ням

2.9, абырвалг (?), 08:34, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
Сейчас OpenVPN для этого юзаем. Скоро жизнь станет проще (года через полтора, когда вендоры выпустят дистры на этом ядре). :)

3.10, kay (ok), 09:34, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
а чем openvpn хуже?

4.32, User294 (ok), 21:56, 22/10/2008 [^] [^^] [^^^] [ответить]	+/–
>а чем openvpn хуже? Наверное тем что в юзерспейсе?Хотя по пролезанию через наты и фаерволы он куда лучше всяких хитрых штук типа GRE, а заодно умеет и внятное сжатие и шифрование на основе SSL если оно вдруг надо.

2.11, Аноним (-), 09:38, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
да уж господа вы похоже стандарты не читаете :) нет ethernet over gre есть ethernet over ip, причем реализация данного протокола уже есть давно в БСД лет 5 как минимум

3.22, vitek (??), 14:17, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
TAP что ли? или о каких стандартах речь? или по другому, а что именно есть в bsd лет 5 как минимум? :-)

1.12, Аноним (3), 09:55, 21/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ошибка в тексте: atl2 -- это драйвер Attansic L2. К Atheros он не имеет отношения

1.13, Аноним (3), 10:53, 21/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Еще появится новый API в подсистеме dvb/v4l. Называется S2API ... ждали его два года. Позволит из под Linux работать со спутниковыми потоками в стандарте DVB-S2 ( до этого только DVB-S )

1.19, Аноним (3), 14:11, 21/10/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сделали бы наконец Linux API...

2.20, vitek (??), 14:13, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
>Сделали бы наконец Linux API... и что Вы под этим понимаете?

3.25, Аноним (-), 14:39, 21/10/2008 [^] [^^] [^^^] [ответить]

+/–

что же что и win32 API
только Linux API

Работа через API — это наиболее близкий к системе способ взаимодействия с ней из прикладных программ. Более низкий уровень доступа, необходимый только для драйверов устройств, в текущих версиях Windows предоставляется через Driver Model.

Только для того чтобы так все зЪделать, нада хотя бы в порядок все привести,
а тут даже нет единства, где конфиги хранить.

Ну и ессно это выкинЕт подход _делай сам_.

4.26, vitek (??), 14:52, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
системных вызовов не хватает? POSIX не достаточно? LSB?... если эти API Вы имели в виду - то их предостаточно. все они в общественном доступе и легко доступны (начать например с википедии) >Работа через API — это наиболее близкий к системе способ взаимодействия с ней из прикладных программ. это называется так: привычка - вторая натура. хуже нет, чем не правильно сформированные понятия. И много ли эта WinAPI помогает прикладным разработчикам? Например, под .net? Delphi? Для написания прикладных программ нужны знания языка и библиотек. И в этом плане библиотека Qt например ни чем не хуже VCL. Классы на все случаи жизни и очень не плохо документированы. + кросс платформенная. + бинденги почти на все остальные языки....

4.27, Mike (??), 15:08, 21/10/2008 [^] [^^] [^^^] [ответить]	+/–
>[оверквотинг удален] > >Работа через API — это наиболее близкий к системе способ взаимодействия с >ней из прикладных программ. Более низкий уровень доступа, необходимый только для >драйверов устройств, в текущих версиях Windows предоставляется через Driver Model. > >Только для того чтобы так все зЪделать, нада хотя бы в порядок >все привести, >а тут даже нет единства, где конфиги хранить. > >Ну и ессно это выкинЕт подход _делай сам_. Уже много-много раз мусолили эту тему. Гугл вам поможет. В исходниках ядра, в разделе документации есть отдельный файл в котором написано, почему этого делать не надо. И насколько мне известно - Driver API стабильно.

4.33, User294 (ok), 22:52, 22/10/2008 [^] [^^] [^^^] [ответить]	+/–
Спасибо, такого счастья под виндовсом хватает С запасом А нормальные програмы по... большой текст свёрнут, показать

игнорирование участников | лог модерирования

Добавить комментарий

Текст: