https://www.opennet.ru/openforum/vsluhforumID3/82033.html Выпущены (http://lists.freebsd.org/pipermail/freebsd-security-notifications/2011-December/000165.html) отчёты об исправлении пяти уязвимостей, затрагивающих базовую систему всех поддерживаемых веток FreeBSD (RELENG_7, RELENG_8, RELENG_9):<br><br><br><br>- Возможность (http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc) удалённого исполнения кода через демон telnetd, который отключен в конфигурации по умолчанию с 2001 года. Проблема связана с переполнением буфера при приёме ключей шифрования по протоколу TELNET (выделяется фиксированный буфер и не проверяется размер поступающего ключа, хвост которого может выйти за пределы буфера). В итоге, неаутентифицированный злоумышленник, может выполнить код на сервере с правами telnet-демона, который как правило запускается под пользователем root. Уязвимости подвержены все системы, в которых активен telnetd и не закрыт связанный с ним сетевой порт;<br><br>- Отсутствие (http://security.freebsd.org/advisories/FreeBSD-SA-11:10.pam.asc) проверки...<br><br>URL: http://lists.f https://www.opennet.ru/openforum/vsluhforumID3/82033.html#215 Wed, 11 Jan 2012 16:11:56 GMT &gt; Ага, с проверенными багами типа вылета компилера по интернал еррорам,<br><br>Ждём пруфов из портов. Что именно там не собирается.<br><br><br>&gt; Конечно, известные трапы компилера с внутренней ошибкой, которые починены в новой версии - намного прикольнее.<br><br>ждём пруфом из портов -2.<br><br>&gt; А я вот видел прикольный интернал еррор древнего гцц на вполне безобидном <br>&gt; сырце. По поводу чего бсдельники как обычно убили в 10 раз <br>&gt; больше времени чем пингвиноиды на элементарную операцию.<br><br>с чьих тестикул вы соскребли эти сырцы?<br><br>&gt; Ну вот тебя устраивают - ты и пользуйся.<br><br>Да.<br><br>&gt; А вот две сабжевых конторы как видим не устроило.<br><br>И что мне с этого?<br><br>&gt; А слабо LFS сразу? И майнтайнить от и до самому? А то недостаточно хардкорненько.<br><br>какая трогательная забота.<br><br>&gt; Вы так говорите как будто у ынтырпрайза основное - это собирать и майнтайнить<br><br>Ну что вы - исключительно сидеть и по пакетикам заворачивать, старательно онанируя на каждый deb :)<br><br>&gt; А вот руководилы оных как видите иного мнения.<br><br>Этих - такого, других - https://www.opennet.ru/openforum/vsluhforumID3/82033.html#214 Wed, 11 Jan 2012 05:20:20 GMT &gt; Просто если это надо в промышленных масштабах, в дебианообразных через пакетную систему <br>&gt; можно сделать сие покультурнее, имхо.<br><br>опишите, сравним.<br><br>&gt; В общем случае ничем существенным не воздается а вот затраты труда обеспечивает.<br><br>затраты труда в чём состоят? кинуть нужный конфиг ядра и команду собрать?<br> <br>&gt; Реально нужно только в сильно некоторых, очень специфичных случаях.<br><br>да как бы встречается, тем не менее.<br><br>&gt; А все нужное обычно и так есть в дефолтном ядре. Бывают исключения но их опять же едва ли 1% наберется.<br><br>опять-таки - встречалось.<br><br>&gt; Кому нужно? Вам?<br><br>именно.<br><br>&gt; А то вон гугл например наоборот уже работает по нему. Можете и IPv4 выключить, чтобы уж наверняка.<br><br>О, сэр учится на острослова?<br><br>&gt; Тем более что отключить его можно и без перекомпила ядра.<br><br>Задача была не отключить. Выпилить. Совсем.<br><br>&gt; Интересно, что за параметры такие. Вот так сходу даже придумать затрудняюсь что <br>&gt; нельзя подкрутить через sysctl что нужно на практике и чисто hardcoded <br>&gt; в ядре. Это бред ка https://www.opennet.ru/openforum/vsluhforumID3/82033.html#213 Sun, 08 Jan 2012 11:35:45 GMT &gt; Просто их степень неприятности для эксплуатационщиков разная. И отношение к их починке <br>&gt; - тоже. Бсдуны вон уперплись рогом что gcc-4.2 и все тут.<br><br>да прочтите уже наконец то, что тут написали, хватит уже измышлениями сыпать. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/82033.html#212 Sun, 08 Jan 2012 11:27:28 GMT &gt; А чего в этом такого? Так можно их просто менять на большой группе хотов. Так можно сохранять старые версии. Так можно без проблем вернуться к дефолтам.<br><br>Стремление всё сделать через пакетный менеджер похвально. Может, пора делать apt-get ssh &lt;host&gt;, apt-get tar jxvf &lt;archive&gt;.tbz2? Но есть задачи, которые более и rjnjhst менее решаемы им. И менее настолько, что где-то в определённый момент стирается грань между "я сделал это пакетным менеджером" и "я сделал это через ж...". вы не забывайте об этой грани. Так вот касательно конфигов через пакетный менеджер: 1) это не cамое элегантное решение 2) пакетный менеджер таки есть везде :)<br><br>&gt; А крики ненависти - от тех кому надо стабильно работающую систему с предсказуемыми моментами<br><br>стабильно неработающая Empathy в 2 релизах подряд для ноутов можно считать предсказуемостью?<br><br>&gt; в которые потенциально возможен факап. А не так что "ой, <br>&gt; прога версии 2.0 накатилась, а она теперь несовместима с бывшей у <br>&gt; нас 1.0, потому что ее автор так решил.<br><br>хрень кака https://www.opennet.ru/openforum/vsluhforumID3/82033.html#210 Fri, 06 Jan 2012 04:58:48 GMT &gt;&gt; в этом случае быстрее переставить сервер, чем килять какие-то пакеты и ставить новые, <br>&gt; В случае с бсдами наверное. В случае deb-based переставлять все когда можно <br>&gt; 2 пакета культурно перетасовать - дурь несусветная. И в десять раз <br>&gt; больше затрат времени на хзчто.<br><br>угу, поменять ядро, монтируемые удаленные системы, полный набор софта, конфиги... сразу видно, что вы теоретик.<br><br><br>&gt;&gt;&gt; Не вижу смысла таскать что-то туда-сюда при наличии пакетного манагера.<br>&gt;&gt; Очень простой пример: у вас есть 10-ть серверов, например, под мускуль, ставились <br>&gt;&gt; сервера не сразу, по-этому у них разное железо и, соответственно, разные <br>&gt;&gt; проц-память-возможности, каждый нужно настроить под его конкретные возможности, <br>&gt; За такое "администрирование" гнать надо. Сразу. Ссаными тряпками и сраной метлой. Потому <br>&gt; что админ будет дофига времени заниматься абстрактным "настроить под его конкретные <br>&gt; возможности". Особенно на бсдях.<br><br>Ну это у вас админ будет заниматься, а у нас все сделает автоматика.<br><br>&gt;&gt; тот же ke https://www.opennet.ru/openforum/vsluhforumID3/82033.html#209 Fri, 06 Jan 2012 03:09:01 GMT &gt; Они не правы, когда не замечают то, что ЕСТЬ и РАБОТАЕТ.<br><br>Давай тебе на авто с фабрики пенопластовые тормозные колодки привинтим. И дадим двутомный талмуд где на 392-й странице второго тома с третьего абзаца сверху расписана процедура замены колодок на нормальные. А если ты не читая эти два тома поехал и впечатался - сам дурак - маны читать надо, да? :)<br><br>&gt;&gt; дерьмо, которое я потом могу напильником доработать? Это вообще нормально?<br>&gt; В систему не может быть принят исходный код, распросраняемый под GPL без <br>&gt; исключений и оговорок со стороны производителя стороннего продукта,<br><br>А в результате деятели из пары крупных контор открытым текстом сказали что им проще засунуть свою гордость куда подальше и скушать GPL чем бодаться с преодолением искусственных трудностей. Тебе не кажется что если посылают даже те кто открытым текстом сообщил что BSDL им удобнее чем GPL - для такого надо изрядно полимеров просрать, а?<br><br>&gt; кроме как через коллекцию портов, используя которую вся ответственность за установку <br>&gt; про https://www.opennet.ru/openforum/vsluhforumID3/82033.html#208 Fri, 06 Jan 2012 02:30:15 GMT &gt; очень трудно угодить с дефолтными версиями всем. для одного - древнее кривое <br>&gt; барахло. для другого - проверенная версия.<br><br>Ага, с проверенными багами типа вылета компилера по интернал еррорам, починеная в более новых гцц. При том авторы софта в гробу видали воркэраундить эти баги этого антика в своей программ - в такой ситуации они зачастую просто шлют открытым текстом, т.к. не обязаны они баги древних компилеров воркэраундить. А ты как хочешь так и вертись. <br><br>&gt; для одного - новая версия с новыми фичами, для другого - непроверенная хрень<br>&gt; с неизвестными глюками. <br><br>Конечно, известные трапы компилера с внутренней ошибкой, которые починены в новой версии - намного прикольнее. Тогда можно распостранять и базовую систему версии этак шестой-седьмой. Ну или какая там версия была современна компилеру 4.2. А то двойными стандартами так и прет.<br><br>&gt; тебя не устраивает дефолтная версия компилятора. я за всю свою практику <br>&gt; НИ РАЗУ не сталкивался с тем, что проблемы в софте вызваны компилятором.<br><br>А я вот вид https://www.opennet.ru/openforum/vsluhforumID3/82033.html#207 Thu, 05 Jan 2012 20:11:53 GMT &gt; используется, есть родной bsdauth.<br><br>То же самое что сказать что "есть родной ушастый запорожец".<br><br> https://www.opennet.ru/openforum/vsluhforumID3/82033.html#206 Thu, 05 Jan 2012 20:10:48 GMT &gt; конфиги пакетом, это пять.<br><br>А чего в этом такого? Так можно их просто менять на большой группе хотов. Так можно сохранять старые версии. Так можно без проблем вернуться к дефолтам. <br><br>&gt; прямое продолжение это тенденции - роллинг релиз, и он вызывает страшные по <br>&gt; силе эмоций крики боли и ненависти убунтодебианщиков. <br><br>Сам по себе дебианоубунтовый пакетный манагер никак этому не мешает. А крики ненависти - от тех кому надо стабильно работающую систему с предсказуемыми моментами в которые потенциально возможен факап. А не так что "ой, прога версии 2.0 накатилась, а она теперь несовместима с бывшей у нас 1.0, потому что ее автор так решил. Эй, парни, у нас тут факап - а ну даешь быстренько переписание конфига этой приблуды в 5 утра в пожарном порядке?!".<br><br>&gt; Если сэры такие чистюли, может им взяться за дженту из минимала ;) (шутка).<br><br>У меня есть чудные минимальные образа серверной убунты из темплейтов для виртуалочек. Занахрена мне гемор с гентами?<br><br>&gt; Да, толковый софт по дефолту это плюс. Но цена воп