Три уязвимости во FreeBSD

[Himik]

Во FreeBSD обнаружены три новые уязвимости:
# "amd64 swapgs local privilege escalation " - локальный злоумышленник может выполнить код в системе с привилегиями ядра (root), изменив состояние стека пользовательского приложения и инициировав GPF (General Protection Fault) в момент передачи управления приложению, после обработки ядром прерывания, trap или системного вызова. Уязвимости подвержена только amd64 сборка всех поддерживаемых версий FreeBSD. Проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.
# "nmount(2) local arbitrary code execution" - возможность выполнения кода локального злоумышленника в контексте ядра, в случае когда непривилегированным пользователям предоставлена возможность монтирования файловых систем. Уязвимость вызвана ошибкой в системном вызове nmount, передающем пользовательские данные ядру без надлежащей проверки границ. Проблеме подвержена только ветка FreeBSD 7, исправление внесено в 7.0-RELEASE-p4. В качестве временного решения можно запретить операции монтирования пользователям: "sysctl vfs.usermount=0".
# "Remote kernel panics on IPv6 connections " - удаленный злоумышленник может вызвать крах ядра (kernel panic), отправив по сети специальным образом модифицированный IPv6 (ICMPv6) пакет. Обязательным условием проявления уязвимости является необходимость наличия в системе IPv6 TCP сокетов, принимающих внешние соединения. Уязвимости подвержены все поддерживаемых версий FreeBSD, проблема устранена в 7.0-RELEASE-p4 и 6.3-RELEASE-p4.

(c) http://www.opennet.ru/opennews/art.shtml?num=17713

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[icb]

Это чтобы обновиться надо на каждой машине ядро перекомпилить?

[manefesto]

ага...и мир пересобрать

[ProFTP]

а 4.11 тоже нужо патчить этими патчами который для 7.0?

[hizel]

еще один некрофил

[ProFTP]

она стабильнее, и кстате, зачем выпускать сразу две ветки 6 и 7? может имееться ввиду что 7.0 это еще как каррент?

[f_andrey :)]

она стабильнее, и кстате, зачем выпускать сразу две ветки 6 и 7? может имееться ввиду что 7.0 это еще как каррент?

Ну что тут сказать только read handbook
Вродеж тут давно тусуешся и неужели до этого места не дочитал
А про патч для 7ки впихнутый в 4ку это весело

[hizel]

релиз 4.11 датирован январем 2005 года
больше релизова не было

не нашел правдо когда они сказали что 4.x ветку больше не будут поддреживать

[kmb]

а 4.11 тоже нужо патчить этими патчами который для 7.0?

разве только в задницу ей этот патч засунуть

[ev]

Код: Выделить всё

FreeBSD-SA-08:08.nmount
Affects:        FreeBSD 7.0-RELEASE, FreeBSD 7.0-STABLE
Corrected:      2008-09-03 19:09:47 UTC (RELENG_7, 7.1-PRERELEASE)
                2008-09-03 19:09:47 UTC (RELENG_7_0, 7.0-RELEASE-p4)

Код: Выделить всё

FreeBSD-SA-08:07.amd64
Affects:        All supported FreeBSD/amd64 versions.
Corrected:      2008-08-21 09:58:18 UTC (RELENG_7, 7.0-STABLE)
                2008-09-03 19:09:47 UTC (RELENG_7_0, 7.0-RELEASE-p4)
                2008-09-03 19:09:47 UTC (RELENG_6, 6.4-PRERELEASE)
                2008-09-03 19:09:47 UTC (RELENG_6_3, 6.3-RELEASE-p4)

Код: Выделить всё

FreeBSD-SA-08:09.icmp6
Affects:        All supported versions of FreeBSD.
Corrected:      2008-09-03 19:09:47 UTC (RELENG_7, 7.1-PRERELEASE)
                2008-09-03 19:09:47 UTC (RELENG_7_0, 7.0-RELEASE-p4)
                2008-09-03 19:09:47 UTC (RELENG_6, 6.4-PRERELEASE)
                2008-09-03 19:09:47 UTC (RELENG_6_3, 6.3-RELEASE-p4)

ключевое слово supported

[Alex Keda]

да пофигу.
у меня тоже 4-ка много где стоит.
очень хороший ОС - куда стабильней чем то что выпускают щас.
минусы - поддержка требует всё более и более высокой квалификации.

[Himik]

да пофигу.
у меня тоже 4-ка много где стоит.
очень хороший ОС - куда стабильней чем то что выпускают щас.
минусы - поддержка требует всё более и более высокой квалификации.

А 4-ка нормально заведется на современном железе?

[Raven2000]

не надо некрофилии ставь 6.х или опенок 4.3

[Alex Keda]

да пофигу.
у меня тоже 4-ка много где стоит.
очень хороший ОС - куда стабильней чем то что выпускают щас.
минусы - поддержка требует всё более и более высокой квалификации.

А 4-ка нормально заведется на современном железе?

на 4 пнях, Атлонах да ксенонах того же возраста - прекрасно пахала

[zg]

не надо некрофилии ставь 6.х или опенок 4.3

не всегда есть возможность, седьмой плеск только на 4ку и ставится...

[zingel]

я ставил и на 6.2

[Raven2000]

не надо некрофилии ставь 6.х или опенок 4.3

не всегда есть возможность, седьмой плеск только на 4ку и ставится...

про 7 и выше я ничего не говорил

[Himik]

Для применения патчей достаточно синхронизировать исходники ядра и пересобрать ядро?

[ev]

да, по идее мир можно не пересобирать

[Himik]

Спасибо

[Turbo]

а как после пересборки ядра поставить что-нить из портов или пакаджей? пишет нету такой ветки
http://forum.lissyara.su/viewtopic.php? ... 84#p102184

[zingel]

недавно на 7 ставил, 6.3, самый последний, граблей - море, но решается просто