https://www.opennet.ru/openforum/vsluhforumID3/68793.html Во всех поддерживаемых версиях FreeBSD 7.x и 8.x обнаружена уязвимость (http://security.freebsd.org/advisories/FreeBSD-SA-10:07.mbuf.asc), позволяющая локальному пользователю повысить свои привилегии в системе или вызвать повреждение содержимого любого файла. Ветка FreeBSD 6.x проблеме не подвержена.<br><br><br><br><br>Источником проблемы является ошибка в реализации технологии mbufs, используемой для организации промежуточного хранения данных в сетевой подсистеме и при межпроцессном взаимодействии. Mbuf определяет базовый буфер памяти, в котором небольшой блок данных может сохраняться напрямую или в виде ссылки на внешний буфер. Системный вызов sendfile для организации прямой передачи данных использует маппинг файла в цепочку mbuf-блоков, предусматривая возможность установки специального флага для обеспечения доступа к режиме только для чтения.<br><br><br>Ошибка связана с тем, что флаг read-only не наследуется при дублировании ссылки на mbuf-буфер. При вызове sendfile для передачи данных через loopback...<br><br>URL: http://securit https://www.opennet.ru/openforum/vsluhforumID3/68793.html#71 Thu, 22 Jul 2010 13:16:42 GMT Области использования IIS всего две:<br>1) там, где админ ниасилил что-то иное<br>2) там, где установленная проприетарщина требует IIS, и ничего кроме IIS<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#70 Fri, 16 Jul 2010 22:51:16 GMT &gt;По поводу быстрого залатывания дырок)))) Только что мне пришел ответ на баг-репорт, <br>&gt;взгляните на даты))) <br>&gt;<br>&gt;Arrival-Date: Mon Feb 26 15:20:04 GMT 2007 <br>&gt;Closed-Date: <br>&gt;Last-Modified: Wed Jul 14 06:25:00 UTC 2010 <br><br> Sadly this is not telling us enough to get this going (at least it<br> is not telling me enough to get this rolling): can you have a look<br> at http://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug.html<br> and follow the instructions listed there? That way we have a better<br> and detailed view on what is going on.<br> <br> In addition, are you perhaps able to confirm whether this is also<br> the case on 6.x?<br> <br> Thanks!<br> remko<br> <br> <br> -- <br> Kind regards,<br> <br> Remko Lodder ** remko at elvandar.org<br> FreeBSD ** remko at FreeBSD.org<br> <br> /* Quis custodiet ipsos custodes */<br><br><br>Оттуда?<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#69 Fri, 16 Jul 2010 13:11:52 GMT &gt;&gt;Интересная аргументация. <br>&gt;<br>&gt;Боюсь, что в известной степени он прав.<br><br>Ну это просто смотря с чем сравнивать.<br>Если с этим же продуктом, то есессно, что более старые версии полегче и пошустрее будут.<br>Хотя... це тоже смотря где - можно поиграться с разными worker'ами.<br>У 1.3 - это, вроде, только prefork.<br>У 2.х - их поболя, особенно с SMP и потоками.<br>Можно подобрать более оптимальный под какую то ситуацию.<br><br>Но суть в чем.<br>Если сравнивать разные продукты одного функционала (т.е. не с nginx), то разница будет видна.<br>А если сравнивать с IIS... =)<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#68 Fri, 16 Jul 2010 10:46:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Интересная аргументация. <br>&gt;&gt;<br>&gt;&gt;Боюсь, что в известной степени он прав. Не случайно многие администраторы Web-проектов <br>&gt;&gt;до сих пор стараются использовать 1.3 (который сам по себе тоже <br>&gt;&gt;не сахар). Ветка 2.x только-только стала действительно относительно стабильной. Но в <br>&gt;&gt;реальности именно Apache HTTPd сервер сдаёт позиции. Зато обороты набирает Tomcat, <br>&gt;&gt;да. :)) <br>&gt;<br>&gt;В современных мультфильмах ежы тоже сдают голой заднице! Что делать? <br><br>Арестовать 310dej и посадить на двадцать лет в карцер, так как это он во всём виноват.<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#66 Fri, 16 Jul 2010 06:20:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Ой, да ладно, Вы сравнивали? Апач сейчас жирный, неповоротливый и дырявый монстр, <br>&gt;&gt;&gt;совсем не то легкое перышко, что у него в логотипе.<br>&gt;&gt;<br>&gt;&gt;Интересная аргументация. <br>&gt;<br>&gt;Боюсь, что в известной степени он прав. Не случайно многие администраторы Web-проектов <br>&gt;до сих пор стараются использовать 1.3 (который сам по себе тоже <br>&gt;не сахар). Ветка 2.x только-только стала действительно относительно стабильной. Но в <br>&gt;реальности именно Apache HTTPd сервер сдаёт позиции. Зато обороты набирает Tomcat, <br>&gt;да. :)) <br><br>В современных мультфильмах ежы тоже сдают голой заднице! Что делать?<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#65 Fri, 16 Jul 2010 06:12:55 GMT &gt; А если вдруг надо обновить библиотеки из kdelibs или gnome - или не дай бог что-то из xorg ?<br><br># init 3 && init 5<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#64 Thu, 15 Jul 2010 21:53:13 GMT &gt;&gt;&gt;Думайте, пожалуйста, головой, а не жопой. В апаче дырок меньше, чем в <br>&gt;&gt;&gt;IIS, при большей, чем у IIS, популярности.<br>&gt;&gt;<br>&gt;&gt;Ой, да ладно, Вы сравнивали? Апач сейчас жирный, неповоротливый и дырявый монстр, <br>&gt;&gt;совсем не то легкое перышко, что у него в логотипе.<br>&gt;<br>&gt;Интересная аргументация. <br><br>Боюсь, что в известной степени он прав. Не случайно многие администраторы Web-проектов до сих пор стараются использовать 1.3 (который сам по себе тоже не сахар). Ветка 2.x только-только стала действительно относительно стабильной. Но в реальности именно Apache HTTPd сервер сдаёт позиции. Зато обороты набирает Tomcat, да. :))<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#63 Thu, 15 Jul 2010 21:04:07 GMT &gt;&gt;Думайте, пожалуйста, головой, а не жопой. В апаче дырок меньше, чем в <br>&gt;&gt;IIS, при большей, чем у IIS, популярности.<br>&gt;<br>&gt;Ой, да ладно, Вы сравнивали? Апач сейчас жирный, неповоротливый и дырявый монстр, <br>&gt;совсем не то легкое перышко, что у него в логотипе.<br><br>Интересная аргументация.<br>Хотя с nuclight только такие аргументы и остаются - в предметном споре сольете =)<br>В дистрибутивах с компилируемым софтом (Gentoo/FreeBSD) при установке апача можно явно указывать собираемый функционал.<br>Так же можно собрать апач по старинке: ./configure с кучей параметров, make, make install.<br>Хотя даже при бинарной сборке все тоже не так плохо - закомментировал лишние модули и нормалек.<br><br>А вообще, имхо, чем больше проект, тем меньше шансов нарваться на дырку у обычного пользователя.<br>Так как основной функционал лучше вылизан.<br>С одной оговоркой - продуктов MS это не касается)<br> https://www.opennet.ru/openforum/vsluhforumID3/68793.html#62 Thu, 15 Jul 2010 11:34:08 GMT Мда, сразу видно оранжевого человека. Да, в юниксах библиотеки не выгружаются. Но, извини меня, здесь достаточно перезапустить сервисы, чтобы прочитать новые конфиги. <br><br>&gt; ха-ха три раза если обновляется glibc - вот и нашелся второй повод для рестарта.<br><br>Ну, как бы, такие обновления планируют, под них выделяется время в продакшне, предварительно проводятся обновления на тестовых машинах. Это в случае обновлений ядра и подобных glibc библиотек. А на десктопе своем перегружайтесть сколько хотите<br><br>