The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск VirtualBox 6.0.6

17.04.2019 12:00

Компания Oracle сформировала корректирующие релизы системы виртуализации VirtualBox 6.0.6 и 5.2.28, в которых отмечено 39 исправлений. В новых выпусках также устранено 12 уязвимостей, из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Подробности не сообщаются, но судя по уровню CVSS устранены проблемы, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.

Основные изменения в выпуске 6.0.6:

  • Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169, 5.0 и 5.1. Добавлен лог с результатами сборки модулей для ядра Linux. Реализована сборка драйверов для загрузки в режиме Secure Boot. Повышена производительность и надёжность работы совместных каталогов (shared folder);
  • Внесены небольшие изменения в интерфейс пользователя. Налажено отображение прогресса удаления снапшотов. Исправлены проблемы с копированием файлов и отображением прогресса операций копирования во встроенном файловом менеджере. Исправлены ошибки, проявляющиеся при автоматизированной установке Ubuntu в гостевых системах;
  • Добавлена начальная поддержка формата QCOW3 в режиме только для чтения. Исправлены ошибки при чтении некоторых образов QCOW2;
  • Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA. Улучшена совместимость VMSVGA со старыми X-серверами. Обеспечена возможность использования VMSVGA при работе с интерфейсом прошивок EFI. Решены проблемы с пропаданием курсора, если не установлены дополнения для интеграции поддержки мыши. Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;
  • Решены проблемы с загрузкой сохранённого состояния для устройств LsiLogic;
  • Решены проблемы со вложенной виртуализацией на системах с процессорами AMD;
  • Улучшена эмуляция IDE PCI, обеспечена возможность работы IDE-драйверов NetWare c использованием режима bus-mastering;
  • Для бэкенда DirectSound добавлена возможность перебора имеющихся звуковых устройств;
  • В сетевой подсистеме решены проблемы с добавочным заполнением пакетов при использовании Windows на стороне хоста;
  • Решены проблемы с эмуляцией последовательного порта;
  • Исправлена ошибка, приводившая к дублированию совместно используемых каталогов (Shared folder) после восстановления виртуальной машины из сохранённого состояния;
  • Устранены проблемы при копировании файлов между хостом и гостевой системой в режиме Drag and drop;
  • Устранён крах при использовании VBoxManage;
  • Исправлена ошибка, приводившая к зависанию в случае попыток запуска виртуальной машины после сбоя;
  • В гостевых системах с Windows решены проблемы с использованием сложных конфигураций экрана с использованием драйвера WDDM (устранено зависание Skype for Business и крахи гостевых систем с WDDM);
  • Улучшена поддержка совместных каталогов для гостевых систем с OS/2;
  • В web-сервисах обеспечена поддержка Java 11;
  • Налажена компиляция с LibreSSL;
  • Решены проблемы со сборкой для FreeBSD.


  1. Главная ссылка к новости (https://www.mail-archive.com/v...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox
  4. OpenNews: Выпуск VirtualBox 6.0.4
  5. OpenNews: Релиз системы виртуализации VirtualBox 6.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимс (?), 12:23, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    > устранено 12 уязвимостей, из которых 7 имеют критическую степень опасности (CVSS Score 8.8)

    Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    > устранены проблемы, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы

    Страшный сон и головная боль для админов, которые используют в своей работе vbox.

     
     
  • 2.6, anonymous (??), 12:44, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.
    > Страшный сон и головная боль для админов, которые используют в своей работе vbox.

    ССЗБ.

     
     
  • 3.7, Анонимс (?), 13:03, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Перестать разрабатывать и/или использовать vbox. Тогда для вас с уязвимостями в vbox будет покончено.

    Может Вы ещё предложите перестать включать и пользоваться компьютером.

    > Когда уже с уязвимостями будет покончено раз и навсегда и что нужно для этого сделать?

    Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя которые можно свести наличие уязвимостей к нулю? Или человечеству ещё только предстоит придумать и изобрести какие-нибудь квантовые компьютеры, неподверженные уязвимостям и взлому?  

     
     
  • 4.8, Аноним (8), 13:16, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    к нулю не получится, т.к. не существует людей не допускающих ошибок
     
     
  • 5.18, nm0i (ok), 14:24, 17/04/2019 Скрыто модератором
  • +1 +/
     
     
  • 6.19, Аноним (8), 14:39, 17/04/2019 Скрыто модератором
  • +2 +/
     
  • 6.46, Аноним (46), 12:59, 18/04/2019 Скрыто модератором
  • +/
     
  • 4.9, Аноним84701 (ok), 13:22, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дополню вопрос, существуют ли техники программирования, языки и инструменты, используя
    > которые можно свести наличие уязвимостей к нулю?

    Coq, B-Method, Event-B, Isabelle и еще вагон и маленькая тележка – полная формальная верификация постарше многих анонимов будет.

    Однако, есть одно "маленькое" НО:
    На примере seL4 c его формальной верификацией корректности:
    https://www.sigops.org/sosp/sosp09/papers/klein-sosp09.pdf
    > Abstract
    > complete formal verification is the only known way to guarantee that a system is free of programming errors.

    [...]
    > f L4 provenance, comprises 8,700 lines of C code and 600 lines of assembler.

    [...]
    > The overall size of the proof, including framework, libraries, and generated proofs (not shown in the table) is 200,000 lines of Isabelle script.
    >  The abstract spec took about 4 person months (pm) to develop. About 2 person years (py) went into the Haskell prototype (over all project phases), including design, documentation, coding, and testing. for a total cost of [B]2.2 py[/B]

    Т.е.
    > 8,700 lines of C code and 600 lines of assembler.
    > [B]2.2 py[/B]

    Причем, эти совсем не 2 человеко-года "пэхапэшникус-вульгарисов" будут.

    Поэтому вопрос нужно ставить скорее так:
    Существуют ли желающие оплатить такую разработку?

     
     
  • 5.31, Аноним (31), 19:30, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никакая формальная верификация не может гарантировать отсутствие логических ошибок.
     
     
  • 6.32, Аноним84701 (ok), 19:40, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Никакая формальная верификация не может гарантировать отсутствие логических ошибок.

    И гарантий от метеорита тоже не дает. И от недетектируемого ECC битфлипа из-за космического излучения или дефекта в материале и прочем - в общем, да, на самом деле это все  "баловство и нинужна!".


     
     
  • 7.35, Аноним (31), 21:42, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не баловство и нужно, но не поможет «покончить с уязвимостями раз и навсегда».
     
     
  • 8.36, Аноним84701 (ok), 22:08, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А давайте тогда без передерга или хотя бы развернуто, а А то можно сразу Тюринг... текст свёрнут, показать
     
  • 5.43, пр (?), 12:38, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько это дороже обычных языков?
     
     
  • 6.49, Аноним (49), 23:33, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 2.2 питона или что-то типа programmer year? Строчек то вроде много, насколько
    > это дороже обычных языков?

    Person years:
    > person months (pm) to develop. About 2 person years (py) went into the Haskell prototype

    Строчек конечного кода немного - 8000, остальное обвязка проверки.
    Грубо и прикидочно - раз в 10-20,т.е. на порядок, плюс-минус лапоть.

     
  • 4.15, anonymous (??), 13:52, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может Вы ещё предложите перестать включать и пользоваться компьютером.

    Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то альтернативы виртуалбоксу есть на всех платформах, их и стоит использовать.

     
     
  • 5.52, нах (?), 11:21, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Людям, имеющим привычку впадать в крайности, возможно и не стоит пользоваться. Но вообще-то
    > альтернативы виртуалбоксу есть на всех платформах

    вообще-то если у вбокса и остался какой-то смысл, так это тот, что он-то как раз почти на всех платформах, а "альтернативы" - каждая на своей.

    На xen надежды мало, а больше ничего и тем более не будет.

     
  • 4.22, SysA (?), 16:02, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех, кто в танке: vbox ни разу не предназначался для корпоративного использования!
    Это система персонального пользования. Точка.
    И если народные умельцы - админы локалхостов как-то приспосабливают его в качестве многопользовательской системы, то я присоединяюсь к предыдущему оратору: ССЗБ! Ведь и "Запорожец" теоретически можно было бы использовать как такси... ;)
     
     
  • 5.51, нах (?), 11:18, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    надо же, а сановцы-то и не знали...

    (система для персонального использования - с совершенно неудобным для любого использования, но детальнейшим cli api (и отдельно http, причем без веб-морды), поддержкой live migration с 2008го года (бдсмщики в своем пихайве до сих пор не осилят доделать), автофильтрами подключаемых устройств [интересно, у кого еще такие есть], сегментацией доступа пользователей, пусть и недоделанной - ну конечно же, никогда не предназначалась. На  персональном таком sunfire работала, в персональной стойке.)

    vbox просто мертв - как и его основной разработчик. Орацлу он не нужен. community вокруг не сложилось, да и невозможно это с их лицензией и их закрытыми кусками кода, доступными только в виде блоба. 3акапывайте, очень жаль :-(

     

  • 1.2, iPony (?), 12:26, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для гостевых систем и хостов с Linux добавлена поддержка ядер Linux 4.4.169

    наконец-то

     
  • 1.3, Аноним (3), 12:29, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    qemu kvm рулит и педалит...
     
     
  • 2.11, Аноним (11), 13:27, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У кого что болит.
     
  • 2.21, Аноним (21), 15:29, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    расскажешь рабочей ссылочкой как нормальный звук из виндов-гостей на kvm-хосте услышать? вот-вот, рули и педаль отсюда
     
     
  • 3.23, Аноним (23), 16:06, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    KVM не для игрулек, он чтоб работу работать.
     
     
  • 4.27, Аноним (21), 16:27, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не угадал. У меня там в винде собраны все виды мессенджеров с контактами по работе. Они постоянно пиликают, бибикают и пищат разными звуками и мелодиями. По звуку я понимаю важность сообщения или срочность ответа.
    Коммуникация - это важная часть моей работы.

    Так вот под kvm это всё хрипит и булькает, неважно альса или пульса. Опробовано на 3 разных компах, звуковые карты обычные встройки intel hda, дистриб убунту и свежая убунту с kvm-5.0. Со звуком из kvm всё одинаково плохо. Испробованные несколько рецептов настроек из интернета не помогают. Убиты несколько свободных вечеров.

    Но есть сабж из новости  - не тратишь ни время ни нервы - звук идеален из коробки.


     
     
  • 5.30, анон (?), 18:06, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    там с десяток эмулируемых карт, можеш все сразу выбрать или перебрать те которые нормально работают, так же выставить правильный буфер(зависит от железной карты) это важно тогда и ничего хрипеть не будет. у меня все отлично звук в квм.
     
  • 5.33, Аноним (33), 20:07, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Через SPICE пробовали?
     
  • 5.44, пр (?), 12:41, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    rdp не? Или на твоем же компе виртуалка в квм и запущена? Для декстопа то коробка удобне полюбому.
     
  • 4.28, Аноним (28), 16:31, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторым внезапно надо со звуком работу работать.
     
  • 3.24, anonymous (??), 16:09, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя пульса, то вот - https://passthroughpo.st/how-to-patch-qemu-and-fix-vm-audio/
    У меня сработало, заикания пропали.
     
     
  • 4.26, anonymous (??), 16:11, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, для альсы там тоже есть инструкция, но её я не пробовал.
     
  • 3.25, Тот кого нельзя называть (?), 16:09, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А в чём проблема? Использую устройство, которое virt-manager ставит по стандарту, потом устанавливаю дрова (https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/stable-virtio) в гостевой системе. Звук хороший. На хосте pulseaudio
     
     
  • 4.39, leap42 (ok), 04:56, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы тоже сравнили. У вас судя по линку Fedora, при всех её минусах, её делают программисты. У RH довольно сильная команда инженеров, которые могут починить что угодно.

    Убунтята же просто тащат из Debian нерабочее...

    P.S. нефанаты космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).

     
     
  • 5.41, iPony (?), 06:53, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > космоновта могут пойти и посмотреть вклад сотрудников Cannonical в действительно сложные проекты (например ядро).

    Да нормальное. Свои LTS версии ядра поддерживают, LivePatch для патченья на лету.

     

  • 1.4, Аноним (4), 12:43, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня после апдейта на 6 упала сильно производительность ио. Пол дня мусолит там чет и ничего не происходит. Дебиан часа 4-5 устанавливался. На 5ке было все ок, параллельно на qemu тоже за 15 мин все ставится. Причем не зависит от ОС. В винде тоже жутко все долго начало тупить(больше чем обычно на порядок). Кто нить сталкивался? Пофиксили?
     
     
  • 2.5, Аноним (4), 12:44, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всмысле не зависит от ос которая виртуализирована
     
  • 2.10, Аноним (11), 13:26, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они намекают что уже пора заплатить.
     
  • 2.40, leap42 (ok), 05:00, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так если qemu работает зачем вам вообще vbox? Чем вот это

    #!/bin/bash
    qemu-system-x86_64 \
    -machine type=pc,accel=kvm \
    -enable-kvm \
    -cpu host \
    -m 2048 \
    -nic user,model=virtio,hostfwd=tcp::10022-:22 \
    -drive file=debian9.img,media=disk,if=virtio,l2-cache-size=2097152,refcount-cache-size=524288 \
    -vga qxl \
    -device virtio-serial-pci \
    -spice port=5900,disable-ticketing \
    -device virtserialport,chardev=spicechannel0,name=com.redhat.spice.0 \
    -chardev spicevmc,id=spicechannel0,name=vdagent \
    -display gtk

    например хуже онтопика?

     
     
  • 3.45, пр (?), 12:43, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тут на 14 строк в скрипте больше чем нужно для запуска онтопика. Не благодарите.
     
     
  • 4.47, нах (?), 14:42, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    только вот эти 14 строк (на самом деле - одна) запускают не ненужно-гуй онтопика, а создают и конфигурируют виртуальную машину - что в онтопике вообще, внезапно, невозможно сделать в одну строку - сперва создай-ка виртуальный контроллер, потом уже сможешь подключать к нему диски, каждая операция отдельна и синтаксис интересный.

    подключение существующих дисков - это вообще праздник какой-то, потому что вместо имен файлов зачем-то нужны uuid'ы, которые еще поди достать из файла.

    Но ты кликай, кликай свою верную мышь - я вот поржу как ты это будешь делать из какого-нибудь места с rtt 200 (причем канал может быть хоть десятигигабитным - не поможет).

     

  • 1.12, ryoken (ok), 13:32, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >>  Улучшена поддержка совместных каталогов для гостевых систем с OS/2;

    ВАХ!

     
     
  • 2.14, Тот (?), 13:46, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Слава богу мы дожили
     

  • 1.13, Skullnet (?), 13:35, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Они уже исправили вылеты, при воспроизведении звука?
     
  • 1.16, Аноним (16), 13:58, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    OS/2 еще жива?! Я в ауте...
     
     
  • 2.17, ryoken (ok), 14:20, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > OS/2 еще жива?! Я в ауте...

    Ну и сидите там дальше :D.
    Это вы ещё про eComstation & ArcaOS не слышали, видимо :D.

     
     
  • 3.20, Аноним (23), 14:56, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это у вас называется "жива"? мда...
     

  • 1.29, Аноним (29), 16:33, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Увидел "6.0_6.0-6" и ужаснулся! )
     
     
  • 2.38, gsdh (?), 00:00, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    погоди еще 6.6.6 релизнут
     

  • 1.34, Аноним (34), 21:22, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сижу на 5.2.х, ибо 6.х - тормозное ***** даже с SSD.

    Первый стартует мгновенно - второй 2-3 секунды.

    Первый запускает виртуалки мгновенно, второй с паузой до 2 сек.

    Нафиг.

    // b.

     
     
  • 2.37, Аноним (37), 23:05, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сижу на 5.2.х, ибо 6.х - тормозное

    Ибо старое/слабое железо

     

  • 1.42, Аноним (42), 07:45, 18/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Внесены многочисленные исправления, связанные с эмулируемым графическим устройством VMSVGA<...>Решены проблемы с запоминанием размера экрана гостевой системы и использованием RDP;

    Не ведитесь, сидите на 5.x. Да, глючит чуть меньше и чуть по-другому, но все равно неюзабельно. Непонятно откуда взявшуюся тормознутость классического vmvga тоже не исправили.

     
  • 1.50, Аноним (50), 23:39, 18/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где то накосячили. Под арчем в 6.0.6 венда не грузится, вылетает с синим экраном. В 6.0.4 - нормально.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру