Во FreeBSD обнаружены три опасные уязвимости:
- В коде NFS-клиента обнаружена уязвимость (http://security.freebsd.org/advisories/FreeBSD-SA-10:06.nfsc...), позволяющая локальному злоумышленнику организовать выполнение кода в контексте ядра и получить привилегии суперпользователя. Для успешной эксплуатации уязвимости в системе должен быть активирован отключенный по умолчанию режим vfs.usermount, позволяющий обычным пользователям выполнять операции по монтированию разделов. Уязвимость вызвана ошибкой в коде проверки длины передаваемых при монтировании параметров. Проблеме подвержены все выпуски FreeBSD начиная с версии 7.2, в качестве временной меры достаточно запретить возможность монтирования непривилегированными пользователями (sysctl vfs.usermount=0).
Разработчики отмечают, что даже после применения устраняющего уязвимость патча функции монтирования непривилегированными пользователями не могут быть отнесены к категории безопасных. Большинство реализаций файловых систем...URL: http://security.freebsd.org
Новость: https://www.opennet.ru/opennews/art.shtml?num=26749
Когда-то BSD считался стабильным, а Linux глючным. Теперь всё иначе... С появлением таких требований как виртуализация, хитрые ФС со снапшотами и прочей дребеденью, усложнённые методы авторизации и шифрования и проч. BSD уже не может вылезать вперёд за счёт своей простоты. Тут уже сказывается качество тестирования, которое у Linux-вендоров хотя-бы имеет место быть.
подтвердите, плз, свое высказывание
Ну что подтверждать... Когда-то в начале 90-х мой университет выбирал, что ему подходит больше: Linux или FreeBSD. Я наслышан об этой истории в подробностях. Теперь когда нужно выбирать, то выбирают между дистрибутивами Linux (раньше такого обилия не было). FreeBSD же применяют в очень узкоспециализированных местах, где он себя отлично показывал и показывает...
Ну так вот - сам факт того, что когда-то всерьез выбирали между Linux и FreeBSD, означает, что у человека есть основание для таких выводов.
А с моей ламерской точки зрения - ну подумаешь, 4 уязвимости! Их в любом случае иногда находят, даже в базовом наборе OpenBSD 1 уязвимость за 20 лет есть. По сравнению с серверными Windows это - ничто. Разве что с FreeBSD может не быть привычки часто обновляться.
>Ну что подтверждать... Когда-то в начале 90-х мой университет выбирал, что ему
>подходит больше: Linux или FreeBSD. Я наслышан об этой истории в
>подробностях. Теперь когда нужно выбирать, то выбирают между дистрибутивами Linux (раньше
>такого обилия не было). FreeBSD же применяют в очень узкоспециализированных местах,
>где он себя отлично показывал и показывает...просто раньше было обилие других дистрибутивов. но это так, ремарка
>Ну так вот - сам факт того, что когда-то всерьез выбирали между
>Linux и FreeBSD, означает, что у человека есть основание для таких
>выводов.у какого человека? у выбиравшего или у того, кто написал безграмотный каммент?
>А с моей ламерской точки зрения - ну подумаешь, 4 уязвимости! Их
>в любом случае иногда находят, даже в базовом наборе OpenBSD 1
>уязвимость за 20 лет есть. По сравнению с серверными Windows это
>- ничто. Разве что с FreeBSD может не быть привычки часто
>обновляться.поясните, что вы хотели сказать?
>поясните, что вы хотели сказать?не кормите тролля
"в начале 90-х мой университет выбирал, что ему подходит больше: Linux или FreeBSD"
Мой университет, когда я учился в нем (90ые годы), тоже делал выбор.
И выбор пал на БСД. Теперь _все_ компьютерные классы имеют для загрузки FBSD. И лишь в узкоспециализированных лабах применяется линукс. ДА. Винда тоже есть, но приоритетно учат в первую очередь фре.
"А с моей ламерской точки зрения - ну подумаешь, 4 уязвимости! Их в любом случае иногда находят, даже в базовом наборе OpenBSD 1 уязвимость за 20 лет есть."
В Опенке уязвимостей больше - одна, уже не одна, а две или три - удаленных. Молодой человек, подтяните матчасть.
>[оверквотинг удален]
>Мой университет, когда я учился в нем (90ые годы), тоже делал выбор.
>
>И выбор пал на БСД. Теперь _все_ компьютерные классы имеют для загрузки
>FBSD. И лишь в узкоспециализированных лабах применяется линукс. ДА. Винда тоже
>есть, но приоритетно учат в первую очередь фре.
>"А с моей ламерской точки зрения - ну подумаешь, 4 уязвимости! Их
>в любом случае иногда находят, даже в базовом наборе OpenBSD 1
>уязвимость за 20 лет есть."
>В Опенке уязвимостей больше - одна, уже не одна, а две или
>три - удаленных. Молодой человек, подтяните матчасть.В OpenBSD две удалённые уязвимости в установке по умолчанию, это написано на главной странице сайта http://www.openbsd.org/ . Первая была вызвана взломом сервера ftp.openbsd.org, который по совместительству cvs.openbsd.org, и вставкой «закладки» (сервер предоставлен университетом, поэтому сообществом OpenBSD напрямую не контролируется, там ещё много проекто сосуществует; вопрос чисто экономический, к сожалению) в OpenSSH; пострадали все, кто успел за примерно сутки заюзать «подправленный» пакет. Вторая — уязвимость в IPv6-стеке (проект KAME — IPv6 для *BSD); если не ошибаюсь, фряха тоже постарадала от неё или аналогичной.
А вообще, один из столпов OpenBSD — proactive security. Это когда находят уязвимость в старой версии, которая в новой была исправлена или нейтрализована чисто за счёт дополнительных защитных техник. :)
>Когда-то в начале 90-х мой университет выбирал, что ему подходит больше: Linux или FreeBSDLinux был анонсирован Торвальсом в августе 1991г. в виде версии 0.01. Наверное, юзабельным стал года два спустя.
FreeBSD появился в 1993г.
Так что же выбирал университет в начале 90-х?
>Linux был анонсирован Торвальсом в августе 1991г. в виде версии 0.01. Наверное, юзабельным >стал года два спустя.
>FreeBSD появился в 1993г.
>Так что же выбирал университет в начале 90-х?Это FreeBSD в 1993 появилась, а BSD намного раньше
http://ru.wikipedia.org/wiki/BSD
Линукс используется на 99% серваков (среди тех на которых нет Windows). Можно, конечно сказать что они все ошибаются, словно мухи летящие сами знаете на что. А можно сказать, что у Линукса есть "вендоры", то бишь поставщики. Они типа должны следить, чтобы таких обидных багов, как в новости не находили и за это получают деньги. Вот и всё.
>Линукс используется на 99% серваков (среди тех на которых нет Windows)Откуда дровишки?
> Линукс используется на 99% серваков (среди тех на которых нет Windows)может Вы хотели сказать *nix? *nix != Linux, в их число входят и все БСД системы
>Линукс используется на 99% серваков...Неподтвержденные ничем глупости.
Не смеши людей, фря по качеству кода намного превосходит пингвинов, которые ежедневно добавляют кучу новых багов. Про существующие как правило разрабы не любят распространяться, фиксят потихоньку. Глянь любой release notes на kernel.org
>Не смеши людей, фря по качеству кода намного превосходит пингвиновне надо на бредовое сообщение отвечать таким же бредом, только с обратной стороны.
Хм! Есть ещё люди в опеннетах! А я думал только крикунишки остались :(
Жирный +1 !
пост ни о чем. Причем тут сабж?
Вы не в теме, не стоит говорить о том, чего не знаете.
Уверен большинство BSD-пользователей скорей всего пройдут мимо и не оставят комментарий - они не нужны: найдены уязвимости, механизм бинарного апдейта их устраняет, при этом 2 из 3 можно использовать лишь сознательно.
Но в моем понимании делать вывод о дырявости системы лишь по устраняемым уязвимостям - верх идиотизма.
Для любителей безопасности есть разновидность BSD - openBSD, в которой приверженность к безопасности выходит за все мыслимые рамки.А суть статьи - кто предупрежден, тот вооружен.
>Уверен большинство BSD-пользователей скорей всего пройдут мимо и не оставят комментарий -
>они не нужны: найдены уязвимости, механизм бинарного апдейта их устраняет, при
>этом 2 из 3 можно использовать лишь сознательно.Отчасти да, только №2 реально стрёмный, а №3 больше похож на то, что FreeBSD позволило админу прострелить себе ногу. Хотя это тоже не дело, конечно.
>Но в моем понимании делать вывод о дырявости системы лишь по устраняемым
>уязвимостям - верх идиотизма.Более того, если разработчики системы молчат (от стыда?) о найденных уязвимостях, то ничего хорошего сказать о них не получится.
>Для любителей безопасности есть разновидность BSD - openBSD, в которой приверженность к
>безопасности выходит за все мыслимые рамки.Ну, кому выходит, а кому нет. Вон, Михаил Шигорин из ALT Linux рассказывал, что опёнководы их параноиками называют (и отчасти я с ними соглашусь). :) Другое дело, что в OpenBSD хорошо знают: если защита мешает работать, то от неё нет толку, ибо её всё равно выключат. Тем, кто ставят (зачастую долгие) таймауты на первый же неправильный ввод пароля в su/sudo, не мешало бы об этом вспоминать…
>Тем, кто ставят (зачастую долгие) таймауты на первый же неправильный
>ввод пароля в su/sudo, не мешало бы об этом вспоминать…Только сейчас понял, что этот таймаут можно и отключить)
Но если не знаешь как и лень узнавать, то он остается.
Получается безопасность от незнания, как отключить, "security by obscurity")
щас набегут линуксоиды... ТИпа, какой отстой ваша фря. А стоит появиться статье "очередные 40 багов, исправленных на неделе" - будут вопить, что это не баги, это фичи, и вообще все дураки.
"исправленных в линуксе", конечно.
>щас набегут линуксоиды... ТИпа, какой отстой ваша фря. А стоит появиться статье
>"очередные 40 багов, исправленных на неделе" - будут вопить, что это
>не баги, это фичи, и вообще все дураки.Я понимаю, что самопиар — это нескромно, но так как я сам про разговор дело и напомнили мне со стороны, то не считается. :) http://ibash.org.ru/quote.php?id=12920
далеко не полный список.
надо добавить - винда, трухин, дотнет,.. трухин... я не повторяюсь?:Dps:
господа бздишнеги, все ваши комменты напоминают попытки оправдаться.
зачем?
или в "непогрешимой" бзд найдены ошибки, как и в любом ПО, а это задевает?
блин, если так, то ВЫ ещё более красноглазые чем Я!:D
а ты кто?
там сверху написано.
>далеко не полный список.
>надо добавить - винда, трухин, дотнет,.. трухин... я не повторяюсь?:D
>
>ps:
>господа бздишнеги, все ваши комменты напоминают попытки оправдаться.
>зачем?
>или в "непогрешимой" бзд найдены ошибки, как и в любом ПО, а
>это задевает?
>блин, если так, то ВЫ ещё более красноглазые чем Я!:DКрасноглазики есть везде. Даже среди дворников. Вас это удивляет? :)
>Красноглазики есть везде. Даже среди дворников. Вас это удивляет? :)Это неправильные красноглазые - у них глаза красные не от того... :P
>>Красноглазики есть везде. Даже среди дворников. Вас это удивляет? :)
>
>Это неправильные красноглазые - у них глаза красные не от того... :PА ещё есть кролики!..
опера, фф...
я вообще предлагаю на опеннете говорить о ба.. женщинах.
да и то поспорим. в исходниках или без :D
>далеко не полный список.
>надо добавить - винда, трухин, дотнет,.. трухин... я не повторяюсь?:DГде же Трухин, я волнуюсь.
>щас набегут линуксоиды... ТИпа, какой отстой ваша фряНу так ведь это правда! Истина она как луч света: сначала ослепляет, потом жжёт. Не понимаю, как вы до сих пор не можете её принять
а мне понравилось.
хорошо так сказал. ослипительно жжет - не плохо.:D
Истина в том что фря - стабильная серверная система, а линукс стал вторым виндовсомИстина в том что работа человека под стабильную надежную систему намного выше, так как ему нет нужды переучиваться под каждый выкидыш новой версии. То, что сделано во фре нормально, работает на 5 мейджор версий вперед, а в линухе - до ближайшего ее автоапдейта, саморазрушающаяся система
и последнее.
Что такое истина? - Это река. (С) Стражински
Под первое хорошо попадают пользователи PC-BSD. Там-то vfs.usermount выставлен по дефолту в 1.
Почему о багах в Фри сообщается пачками? В прошлый раз на рождество сразу три баги, теперь сейчас. С трудом верится, что вот только вчера нашли все три.
просто багов так мало, что их накапливают чтоб новость хотя бы три строчки занимала.
>просто багов так мало, что их накапливают чтоб новость хотя бы три
>строчки занимала.И только когда сделано самое важное дело - накоплено N строчек на новость - начинают разбираться (о фиксе и речь не идет)?
Целых три дырки ураа!!!
Посмотрим, что творится на серваках?
$ uname -r
6.3-STABLE
$ sysctl vfs.usermount
vfs.usermount: 0
$ uname -r
7.0-STABLE
$ sysctl vfs.usermount
vfs.usermount: 0
Один клиент, другой сервер NFS
Одноразовых паролей нет, тюрьмы(клетки,jail) - нет.
Вот блин, опять облом
>[оверквотинг удален]
>6.3-STABLE
>$ sysctl vfs.usermount
>vfs.usermount: 0
>$ uname -r
>7.0-STABLE
>$ sysctl vfs.usermount
>vfs.usermount: 0
>Один клиент, другой сервер NFS
>Одноразовых паролей нет, тюрьмы(клетки,jail) - нет.
>Вот блин, опять обломДайте догадаюсь... один сервер льет бэкапы на другой через NFS? Другие задачи?
Ох, ох, ох... [Качаю головой]... Чтож вы не обновляетесь. :( Даже не в дырах дело, а как бэ, 7.2 много приятней 6.3
Не пущает админ, говорит: "Работает, не трогай"
До 6.3 обновлял с 5.2.1 всё всегда шло хорошо,
а вот когда до 6.3 послений раз, кривизна рук подвела,
с тех пор и не подпускают к серверам.
>Дайте догадаюсь... один сервер льет бэкапы на другой через NFS? Другие задачи?Заливает, были и "другие задачи", но благополучно умерли.
Ой забыл у меня еще есть, мой комп.
# uname -r
8.1-PRERELEASE
# sysctl vfs.usermount
vfs.usermount: 1
#
NFS нету и всего остального тоже.
И здесь облом.
>Ой забыл у меня еще есть, мой комп.
># uname -r
>8.1-PRERELEASE
># sysctl vfs.usermount
>vfs.usermount: 1
>#
>NFS нету и всего остального тоже.
>И здесь облом.О, вы таки тоже обнаружили при обновление до stable приятную надпись 8.1-PRERELEASE... :)
>О, вы таки тоже обнаружили при обновление до stable приятную надпись 8.1-PRERELEASE...
>:)Вы так говорите, как будто PRERELEASE это что-то плохое, у меня до сих пор на одном из серверов 7.1-PRERELEASE крутится - коллеги, сидящие с пол девятого до пол десятого на работе, никак не дают обновиться, хотя я вроде и мир уже собрал...
/me как раз говорил в позитивном ключе.
>>О, вы таки тоже обнаружили при обновление до stable приятную надпись 8.1-PRERELEASE...
>>:)
>
>Вы так говорите, как будто PRERELEASE это что-то плохое, у меня до
>сих пор на одном из серверов 7.1-PRERELEASE крутится - коллеги, сидящие
>с пол девятого до пол десятого на работе, никак не дают
>обновиться, хотя я вроде и мир уже собрал...Бедные пыонэры не понимают разницы между -STABLE и -PRE? :)
по секрету - ее нет
>Ой забыл у меня еще есть, мой комп.
># uname -r
>8.1-PRERELEASE
># sysctl vfs.usermount
>vfs.usermount: 1
>#
>NFS нету и всего остального тоже.
>И здесь облом.Интересно,
serv# uname -r
8.1-PRERELEASE
serv# sysctl vfs.usermount
vfs.usermount: 0ЧЯДНТ?
> ЧЯДНТ?Патчик забыли приложить. Бармина.
>О, вы таки тоже обнаружили при обновление до stable приятную надпись 8.1-PRERELEASE... :)Да наверное уже неделя прошла.
И ко всему прочему являюсь "локальным злоумышленником"
это-ж как надо постараться, что-бы эти дырки использовать.
>>О, вы таки тоже обнаружили при обновление до stable приятную надпись 8.1-PRERELEASE... :)
>
>Да наверное уже неделя прошла.
>И ко всему прочему являюсь "локальным злоумышленником"
>это-ж как надо постараться, что-бы эти дырки использовать.Шаред-хостинг(не VPS, конечно, а как у Ру-Центра сделано) с Jails и ssh-доступом для end-user'ов можно себе представить.
Там же / клиента может быть на NFS, с правами на монтирование...В одном правы BSD-пользователи: некрасиво писать про решето и пр, никто не застрахован...
дык никто и не пишет.
они стали оправдываться до каких-либо обвинений :D
а это умиляет :)
>дык никто и не пишет.
>они стали оправдываться до каких-либо обвинений :D
>а это умиляет :)ну там были, но их потерли. хотя отвечать фанатикам (вне зависимости от используемой ими платформы) - моветон, imho. в общем - не надо было и начинать.
а так - кому надо - тот обновился. кто данные системы не пользует - все равно. хотя, в общем - лучше подписаться на секьюрити-адвайзер рассылку.
А почему никто не сказал, что информация об уязвимостях была опубликована в списках рассылки FreeBSD? Там же указаны ссылки на патчи и рекомендации для тех, кто обновляется csup'ом о возможности скачать уже исправленные исходники. Про бинарники не смотрел, просто мельком пробежался по тексту.
По ссылкам значит не ходим? Ну, ССЗБ.