Clement Lecigne обнаружил в ядре OpenBSD уязвимость, позволяющую повысить привилегии локального пользователя (получить root-доступ) либо вызвать отказ в обслуживании (kernel crash).
Описанной уязвимости подвержены версии OpenBSD вплоть до 4.6 включительно. Уязвимость принадлежит к типу null pointer dereference, и в системах версий 4.3 и младше позволяет пользователю повысить свои привилегии. В версиях 4.4 и выше такая возможность заблокирована, и при помощи данной уязвимости можно лишь обрушить ядро.
Патчи уже доступны на OpenBSD errata page. Всем администраторам, использующим OpenBSD, рекомендуется срочно произвести обновление.
В результате недельного обсуждения в tech-userlevel@ ряд разработчиков выразил заинтересованность во включении Lua в базовую систему NetBSD, в том числе и в ядро -- для реализации на Lua некоторых запутанных протоколов, в реализации которых легко допустить ошибку.
Сегодня, неожиданно отступив от привычного графика, Тео де Раадт объявил о выходе OpenBSD 4.6
Это 26 релиз на CD (27 на FTP). К тому же, сегодня проекту OpenBSD сегодня исполнилось 14 лет!
Изменений в этом релизе, как всегда, много, вот основные на мой взгляд:
Поддержка SGI Octane, SGI Origin 200 и SGI Fuel в порте на архитектуру sgi, поддержка плат MVME141 и MVME165 в порте mvme88k, улучшения в архитектурах sparc/sparc64
Множество новых драйверов и улучшений в существующих, поддержка нового оборудования
Первый релиз с собственным почтовым демоном OpenSMTPD - smtpd(8)
Импорт tmux(1), замены window(1); разработка теперь ведется в основной ветке OpenBSD
Автоматическое интеллектуальное разбиение на разделы в disklabel(8), поддержка undo
Улучшения в работе sysmerge(8), httpd(8), systat(1), gdb(1), sendbug(1), ftpd(8), relayd(8), softraid(4), sshd(8), route(8), rtsold(8), ifconfig(8)
Улучшения в pf(4):
pf теперь включен по умолчанию в rc.conf
Новое ключевое слово match, которое не меняет политики pass/block для пакета, но способно менять любые другие параметры, как то тегирование, маршрутизацию, очереди и т.д.
Изменение в поведении scrub: теперь scrub следует включать только в основных правилах, например match in all scrub, отдельных правил типа «scrub» больше нет. Также, оставлен только один тип нормализации, самый полный
Улучшение транзакционности в pf
Более жесткие проверки для ICMP и ICMPv6
Значительные улучшения в pfsync(4): поддержка режима работы кластера файерволлов active-active, уменьшение трафика репликации стейтов.
Улучшения в маршрутизации и демонах динамической маршрутизации:
Полная поддержка множественных RIB в OpenBGPD, можно фильтровать по отдельным RIB'ом, можно назначить соседу конкретный RIB и т.д.
Поддержка формата ASPLAIN для 32-х битных ASN в bgp.conf и bgpctl
Поддержка указания альтернативных доменов маршрутизации для OpenOSPFD
Другие небольшие улучшения в ospfd, ripd и dvmrpd
Новый демон маршрутизации OpenLDPD для поддержки MPLS
Улучшения в сетевом стеке:
Поддержка VRF в результате добавления множественных доменов маршрутизации
Поддержка указания используемого домена маршрутизации в ifconfig(8), ping(8), traceroute(8), arp(8), nc(1) и telnet(1)
Код, отвечающий за маршруты, теперь следит за состоянием используемых интерфейсов
Несколько запущенных dhclient(8) больше не мешают друг другу
Сообщения ICMP Redirect игнорируются по умолчанию
При маршрутизации проводные сетевые интерфейсы теперь имеют больший приоритет чем беспроводные
Интерфейсы tun(4) теперь эмулируют состояние подключения в зависимости от того, открыть ли дескриптор устройства
Информация из таблицы состояний pf теперь используется для ускорения принятия решения о маршрутизации
Переписан установщик системы с целью сделать процесс более простым и наглядным, также во время установки теперь поддерживается автоматическая разбивка на разделы
Теперь доступно более 5800 портов сторонних приложений
Как всегда, значительны улучшения в документации и чистоте кода
Система также включает следующий набор сторонних программных продуктов:
Xenocara (основан на X.Org 7.4 + патчи, freetype 2.3.9, fontconfig 2.6.0, Mesa 7.4.2, xterm 243 и другие)
Gcc 2.95.3 (+ патчи) и 3.3.5 (+ патчи)
Perl 5.10.0 (+ патчи)
Улучшенная версия Apache 1.3, с поддержкой SSL/TLS и DSO
OpenSSL 0.9.8k (+ патчи)
Groff 1.15
Sendmail 8.14.3, с libmilter
Bind 9.4.2-P2 (+ патчи)
Lynx 2.8.6rel.5 с поддержкой HTTPS и IPv6 (+ патчи)
Sudo 1.7.2
Ncurses 5.2
Последний KAME IPv6
Heimdal 0.7.2 (+ патчи)
Arla 0.35.7
Binutils 2.15 (+ патчи)
Gdb 6.3 (+ патчи)
Более полный список изменений можно посмотреть тут.
Дистрибутив OpenBSD 4.6 как всегда доступен на CD. Набор из 3-х дисков, буклета и прикольных наклеек стоит всего $50. Помните, что продажа дисков это основной источник финансирования проекта, так что если вы или ваша организация используете OpenBSD в работе, подумайте о возможности приобретения такого набора. На второй дорожке второго диска также присутствует фирменная песенка, текст которой можно почитать тут. Там же ее можно и скачать. Те, кто не заказал диск или не хочет ждать доставки, могут загрузить дистрибутив с одного из многочисленных зеркал, полный список которых есть здесь.
Тео де Раадт благодарит артиста Ty Semaka за оформление диска и песенку, всех разработчиков за плодотворную работу, а также всех пользователей OpenBSD, особенно тех, кто присылал bugreport'ы, патчи, и оформил предзаказ на диск.
Конференция проходила в Доме Учителя по адресу г. Киев, ул. Владимирская 57
Темы докладов:
1)Ядро OpenBSD изнутри / Владимир Кириллов (UAOUG)
2)Сетевая подсистема OpenBSD в деталях / Сергей Присяжный (ATMNIS)
3)Динамическая маршрутизация в OpenBSD / Евгений Юнак (LF PP KA SHAG)
4)Использование PF для фильтрации входящего и исходящего трафика хостов ДМЗ / Юрий Дмитришин (ART)
5)Межпроцессный конфликт интересов. Пример простого скриптового диспетчера задач / Юрий Мирошник (ATMNIS)
5)ОС BBOS на страже информационной безопасности государства / Сергей Присяжный (ATMNIS)
Тихо и незаметно вышел очередной выпуск DragonFly BSD. Это клон семейства BSD являющийся форком FreeBSD 4.8 и представляющий собой альтернативный путь развития ядра (автор и идеолог Диллан, категорически не согласился с изменениями в ядре FreeBSD 5.0 и форкнул её уведя с собой ~200 разработчиков freebsd). Таким образом, сабж представляет собой альтернативное развитие freebsd-4.*.
Система интересна тем, что она оставаясь юниксом, имеет полностью асинхронное ядро основанное на модели LWKT Матвея Диллана. Относится к монолитно модульным ядрам, но с минимальным функционалом, драйверы и всё по максимуму выносится из ядра. Основная цель проекта DragonFly это изначальная поддержка кластерности ядром. То есть, создание сложной структуры управления кэшем для файловых систем, файлов, виртуальных машин, что позволяет очень интерактивным программам работать на многих узлах кластера одновременно с полной гарантией когерентности во всех аспектах работы программы. Включает в себя агрегацию ресурсов в том числе процессорных, методом контроля за виртуальной машиной, для безопасного предоставления ресурсов даже через Интернет (проект DragonFly BSD не ставит безопасность как свою первоочередную цель, для безопасности и корректности есть OpenBSD)
Существенным недостатком системы субъективно считаю сложность мат-модели, и как следствие, сложность написание программ под эту систему, хотя портирование более 6000 пакетов с BSD/GNU/Linux свидетельствует о хорошей совместимости... Пока работает только на x86 и amd64, в планах есть порты на другие архитектуры...
Желающим работать совет дождаться DragonFly BSD 2.4.1 примерно в конце октября сего года..
После полутора лет затишья (после версии 1.6), вышла новая версия desktop-ориентированной среды Desktop BSD 1.7 на базе FreeBSD 7.2 (стабильной и безопасной системы).
Версии компонентов:
KDE 3.5.10
OpenOffice.org 3.1.1
Java SE 6 environment
X.Org release 7.4
Web-браузер Firefox 3.5.2
почтовый клиент Thunderbird 2.0.0.23
IM-клиент Pidgin 2.6.1
В релиз включен простой графический инсталятор и утилиты для конфигурирования системы.
Вслед за младшей сертификацией BSD Associate (которая доступна уже болeе года) готовится сертификация BSD Professional. Для того, чтобы лучше определить какие задачи наиболее важны для экзаменуемых, всем опытным системным администраторам BSD предлагается заполнить опросник: http://surveys.bsdcertification.org/p...
Вышла первая версия простой библиотеки для работы с XML -- yoctoXML (yXML). Это очень компактная и простая библиотека, открытая по лицензии "modified BSD" (GPL-совместима). yXML всех возможностей XML не поддерживает, однако достаточна для хранения и обработки конфигурационных данных, к примеру. Очень проста в использовании. Написана на Си и занимает менее 300 строк (комментарии есть, разобраться и модифицировать легко).
Imageworks (подразделение Sony Pictures) открыло 5 программных продуктов:
1. Open Shading Language - язык программирования шейдеров (полная спецификация, компилятор в байткод, интерпретатор, большая библиотека) API - C++. Возможно создание альтернативных backend'ов (например для исполнения на GPU).
2. Scala Migrations - реализация подхода, использованного в RoR Migrations на Scala.
3. Field3D - библиотека хранения объёмных пикселей (вокселей). Данные структурированы во внутреннем представлении классов С++.
Для доступа к ним можно использовать методы и свойства соответствующих классов. Формат файлов базируется на HDF5.
4. PyString - реализация типа данных string из Python на С++.
5. Maya Reticle - plugin для Maya, который позволяет делать разные сетки для камеры.
Все продукты имеют лицензию BSD и располагаются на Google Code. Компания планирует открывать и дальше продукты, если данная попытка докажет свою жизнеспособность.
В дерево исходных текстов FreeBSD 8-CURRENT внесена большая порция изменений в звуковую подсистему. Реализованы следующие улучшения:
Поддержка раздельного и независимого управления громкостью для каждого приложения (канала, потока), без изменения основного уровня громкости;
Новый высококачественный конвертер частоты дискретизации (sample-rate-converter), основанный на методе SINC интерполяции;
Параметрический программный эквалайзер (feeder_eq), поддерживающий управление частотными характеристиками воспроизводимого pcm-аудиопотока (басы, низкие частоты). Внесенный код предоставляет средства для управления тональностью, как для удовлетворения акустических предпочтений, так и для частотной компенсации звука под заданные характеристики воспроизводящей аппаратуры (например, для оптимизации воспроизведения через наушники или телефон);
В реализацию виртуальных аудиоканалов добавлена поддержка прозрачного адаптивного/динамического смешивания каналов с аудиоданными разных форматов и частот;
Режим прямой передачи немодифицированных, чистых pcm-потоков на устройства вывода, в обход средств DSP обработки (например, смешивания или преобразования частоты);
Режим эксклюзивного доступа к любым видам PCM-потоков (работает через открытие файла с флагом O_EXCL и напоминает режим 'passthrough' для виртуального звукового канала, при котором приглушаются все остальные каналы);
Мультиканальная матричная обработка для бесшовного преобразования или перенаправления каналов;
Открыт прием докладов на конференцию разработчиков и системных администраторов OpenBSD OpenKyiv 2009.
OpenKyiv - это единственная регулярная конференция на постсоветском пространстве, посвященная исключительно BSD системам, и, в частности, OpenBSD. Конференция проходит первого августа в Киеве.
Deadline на прием докладов - первое июля, так что у вас еще есть время подготовить интересный и содержательный доклад, дерзайте! Программный комитет активно участвует в формировании и определении программы конференции, поэтому, если Вы ещё не подали заявки на выступление, лучше это сделать заранее! Помните, чем раньше Вы подадите заявку, тем более проработанный в результате получится доклад. Лучшая импровизация - хорошо подготовленная импровизация!
Возможно, вам есть чем поделиться со всем нашим OpenBSD community. Возможно, вы хотели бы получить новые знания в области программирования, использования или системного администрирования BSD систем или компьютерной безопасности, а также увидеть в живую тех людей, которые стоят за громким именем OpenBSD. Возможно, ваша компания выявит желание оказать конференции информационную или иную поддержку конференции и оказаться в списке спонсоров. Возможно, вы просто хотели бы весело провести теплый летний день в компании единомышленников.
Будем рады увидеться с Вами первого августа в Киеве!
В квартальном отчете проекта FreeBSD сообщается о желании заменить набор компиляторов GNU Compiler Collection на связку LLVM и Clang, в текущее время развиваемого корпорацией Apple. Сообщается, что на текущий момент новый компилятор удачно справляется с 99% пакетов, в том числе и с ядром FreeBSD на архитектурах i386 и amd64. Разработчики команды FreeBSD уже отправили более 100 багрепортов в проект Clang.
Свежие снапшоты OpenBSD включают в себя новый инсталлятор, работы над которым велись последние три недели.
Желающие могут попробовать ftp://ftp.openbsd.org/pub/OpenBSD/sna... Любые отзывы очень приветствуются, следует только помнить, что это пока dev версия и до 4.6 пока далеко.
Итак, сегодня, как всегда, точно по графику, вышла новая версия замечательной операционной системы OpenBSD 4.5!
Самые любопытные, на мой взгляд, изменения:
Новый порт на ARM (это уже третий, после cats и zaurus). Заявлена поддержка OpenMoko и основанных на XScale Gumstix. Порт находится на ранней и активной стадии развития. Всего теперь поддерживается 17 платформ, еще 11 либо заброшены, либо малоактивны, либо в ранней стадии развития.
Как всегда, значительно улучшены отличные драйверы подсистемы sensors.
Множество новых драйвер для сетевых чипов, в том числе Intel WiFi Link 5100/5300, Attansic L1, Atheros AR81xx (aka Attansic L1E), Moschip MCS7730/7830 10/100, JMicron JMC250/JMC260 10/100, устройства Ralink USB IEEE 802.11a/b/g/Draft-N, ICH9 IGP M, IGP M AMT, Yukon-2 FE+ (88E8040, 88E8042).
Множественные улучшения в подсистеме ACPI.
Поддержка SDHC карт.
Поддержка WPA-PSK в драйвере ath, поддержка аппаратного CCMP шифрования в драйверах wpi и iwn.
Улучшения звуковой подсистемы, включая поддержку новых устройств, вывод через S/PDIF, общее улучшение производительности.
Значительные улучшения в поддержке железа от Sun, новые драйвера для X, ускоренный фреймбуфер, драйвера для виртуальных жестких дисков и сетевых карт в логических доменах sun4v.
Поддержка нескольких новых EVDO/UMTS устройств, драйверы для IBM'овских SATA/SCSI ServeRAID контроллеров, новых MegaRAID SAS (Intel, LSI Logic, Dell).
Расширенный формат resolv.conf и соответственно доработанный libc resolver.
Новые средства защиты в malloc. Учетные структуры теперь защищены mprotect, и аллоцируются в по возможности случайных адресах. Таким образом расширен и без того внушительный список средств защиты malloc.
Улучшена поддержка C99 в libc, особенно gdtoa.
Улучшены системные программы apropos, aucat, ifconfig, systat, vnconfig, disklabel, dhcpd. На самом деле, это только самые значительный изменения, подробности в changelog'e.
Новый OpenSSH 5.2
Более 5500 портов, около 5000 откомпилированных пакетов под основные архитектуры.
Изменения в синтаксисе pf scrub в пользу match не включены в этот релиз, не смотря на то, что уже сравнительно давно висят в -current. Будет в 4.6. Также есть шансы, что в 4.6 попадет OpenSMTPd, ведется активная работа над поддержкой MPLS.
Тео де Раадт в своем письме в misc@ также предупредил пользователей, заинтересованных в тестировании новой версии, что качать образы стоит только с официальных ftp зеркал, перечисленных на http://openbsd.org/ftp.html, так как в сети присутствуют фейки, в частности, на ftp://ftp.kd85.com/.
