суббота, 24 декабря 2011 г.

Поздравление с Рождеством от FreeBSD Security Team

No, the Grinch didn't steal the FreeBSD security officer GPG key,
and your eyes aren't deceiving you: 
We really did just send out 5 security advisories.
 -- Colin Percival (FreeBSD Security Officer)
Очень неожиданно, практически на кануне католического Рождества, было выпущено сразу 5-ть исправлений безопасности, что бы разъяснить сложившуюся ситуацию Colin Percival, даже написал отдельное письмо, в список рассылки freebsd-security@.
В письме отмечается, что хоть сейчас и не очень удачное время, обычно бюллетени безопасности стараются выпускать по средам, когда наибольшие число системных администраторов на работе, а так же, не в канун праздников. Но в данное время есть как минимум две серьёзных уязвимости, которые требуют незамедлительной реакции.
Первая, это уязвимость FreeBSD-SA-11:08.telnetd в сервисе telnet, которая позволяет удалённому пользователю получить права root, в том числе замеченно, что данную уязвимость уже используют. Из положительных моментов стоит отметить, то что сервис telnet отключен по умолчанию и большинство пользуются ssh, однако откладывать решение данного вопроса было нельзя.
Второй проблемой является уязвимость FreeBSD-SA-11:07.chroot, ради её исправления пришлось добавить дополнительный интефейс в libc, так что список обновляемых файлов получился внушительным, пользователей freebsd-update, просят обратить на это внимание и не пугаться.
Вот список сообщений безопасности, с краткими пояснениями
  • FreeBSD-SA-11:10.pam - функция pam_start() не проверяет имя сервиса. Некоторые сторонние приложения, например kcheckpass из KDE, могут передавать имя политики, в командной строке, а OpenPAM трактует его как относительный для директорий /etc/pam.d или /usr/local/etc/pam.d. Из-за этого пользователь, имеющий право запуска таких приложений может выполнить код с root привилегиями.
    Базовая система не содержит уязвимых приложений, рекомендации по проверке сторонних приложений приведены в SA.
  • FreeBSD-SA-11:09.pam_ssh - модуль pam_ssh неправильно предоставляет доступ, если пользователь имеет приватные ключи без пароля.
    В базовой система данный модуль не включен по умолчанию, не в одной из политик, если модуль pam_ssh включен, то злоумышленник может получить доступ к учётным записям имеющим приватные ssh ключи без парольной фразы.
  • FreeBSD-SA-11:08.telnetd - уязвимость в коде telnetd, ключи шифрования не проверяются при передачи и может вызвать переполнение буфера, который имеет фиксированный размер.
    Так как демон telnetd, по умолчанию, не запущен, то уязвимы только системы с принудительно запущенным сервисом. Сервис часто запускается не на прямую, а через inetd, следовательно не будет виден в списке процессов, рекомендации по проверке и устранению уязвимости приведены в CA.
  • FreeBSD-SA-11:07.chroot -выполнение произвольного коде если сервис ftpd запущен в chroot.
    Более подробно данная проблему уже обсуждалась в листе рассылке.
  • FreeBSD-SA-11:06.bind - удалённый взломщик может вызвать отказ в обслуживании (DoS) сервиса bind, неверно сформированным запросом, входящего в комплект поставки FreeBSD. Для проведения атаки злоумышленнику не обязательно иметь доступ к DNS серверу жертве, достаточно например послать специальную ссылку, и к серверу обратится любая система или даже автоматически сервис проверки спама.
UPD: появилось так же исправление уязвимости telnetd и libtelnet для NetBSD, официального объявления пока нет, но об этом написал в своём блоге написал Hubert Feyrer.

UPD2: для OpenBSD данная уязвимость telnetd не актуальна, так как ещё в 2005 году заявлено о удалении оного из системы, оно конечно весьма действенно :)
Об этом напомнил в своём твитере Peter N. M. Hansteen.

пятница, 23 декабря 2011 г.

FreeBSD нужны тесты производительности?

После появления на сайте phoronix статьи FreeBSD 9.0 vs. Oracle Linux Server 6.1 Benchmarks, O. Hartmann направил в рассылки freebsd-performance@, freebsd-current@ и freebsd-stable@  следующие письмо Benchmark (Phoronix): FreeBSD 9.0-RC2 vs. Oracle Linux 6.1 Server.  И хотя, как сама статья, так и письмо в рассылку весьма спорны, а может и благодаря этому, в рассылках завязалась оживлённая дискуссия.
По итогам дискуссии, AlexanderLeidinger написал пост A phoronox benchmark creates a huge benchmarking discussion, а в дальнейшем создал в вики страничку tun­ing man-page и предлагает общими усилиями улучшить её содержание.
Началась работа, над актуализацией и исправлением странички Benchmark Advice.

Всем заинтересованным, предлагается присоединиться к работе и помочь в улучшении положения, в данной области.
Don't worry if you think your english is not good enough, even some one-word notes can help (and _my_ english got already corrected by other people on the benchmark page).

среда, 21 декабря 2011 г.

CTF: VirtualBox 4.1.8

Bernhard Froehlich (decke@) в списке freebsd-emulation@ сообщил о доступности для сборок под FreeBSD Oracle VirtualBox версии 4.1.8. Заинтересованные в этой версии (а также, бета-тестеры ;-) могут получить версию портов из репозитория RedPorts.Org, о запуске которого уже сообщалось.

Один из вариантов сборки:
   $ svn co http://svn.redports.org/virtualbox/ /usr/vbox

1) собрать kBuild:
   $ make -C /usr/vbox/devel/kBuild reinstall

2) собрать virtualbox-ose-kmod:
   $ make -C /usr/vbox/emulators/virtualbox-ose-kmod reinstall

3) собрать virtualbox-ose:
   $ make -C /usr/vbox/emulators/virtualbox-ose reinstall

4) reboot или kldunload/kldload для модулей VBOX

PS: до этого момента в репозитории была версия 4.1.6, в основное дерево не вливалось в связи с ожиданием релиза FreeBSD 9.0. Какая версия пойдет после разморозки - мне неизвестно.

понедельник, 19 декабря 2011 г.

Мини новости 19/12/11

Со значительной задержкой, но всё таки сделаем очередную подборку новостей, благо набралось немало.
  • У проектов основанных на FreeBSD, как и у материнского проекта, всё ближе конец релизного цикла 9-й версии, так актуальны сейчас FreeBSD-9.0-RC3 (судя по вики, следующим шагом должен быть релиз), GhostBSD 2.5 RC2 (на основе FreeBSD 9.0-RC2), PC-BSD 9.0-RC3 (на основе FreeBSD 9.0-RC3). Так же к предстоящему релизу подготовлен набор обоев PC-BSD.
  • В рассылке DragonFly BSD так же был дан ответ страждущим, о том когда же наконец релиз 2.12, пока точных сроков не названо, но скорее всего это произойдёт в ближайшие 4-6 недель, но уже сейчас можно производить установку из образов (Daily SNAPSHOT), они достаточно стабильны.
  • Перед выпуском, начата заморозка pkgsrc-2011Q4, для MirBSD-current объявлено о доступности бинарных пакетов pkgsrc-2011Q3.
В рамках проекта RetroBSD, на основе разработанного в конце 80-х для Эльбруса-Б ассемблера, создан новенький ассемблера MIPS32. (via ramlamyammambam)

Я тут немного разучился много писать, но надеюсь скоро вспомню, как это делалось, в ближайшее время сделаю подборку ссылок, где можно читать много букв и слушать.

UPD: раз уж тема "обоев"  так понравилась народу, то если кто не видел на официальном форуме FreeBSD есть вот такая замечательная тема A Call for FreeBSD Artwork, там правда не только обои, но оно пожалуй и к лучшему :)

воскресенье, 18 декабря 2011 г.

Организация FreeBSD Foundation начала акцию по сбору средств

Традиционно в конце года, некоммерческий Фонд FreeBSD объявил о проведении ежегодной инициативы по сбору средств для финансирования проекта FreeBSD в 2012 году. Как обычно, в качестве жертвы не обязательно могут выступать деньги. Ознакомиться с вариантами поддержки можно здесь. Однако, денежный перевод представляет для проекта наибольшую ценность, ознакомиться с которой можно по этой ссылке. Такая поддержка, также, может быть знаком благодарности разработчикам системы.
Желающие поучавствовать могут получить исчерпывающую информацию здесь.
Специально для тех, кто желают помочь проекту, но испытывает определенные трудности с переводом денег напрямую в FreeBSD Foundation, два популярных ресурса, посвященные BSD системам: BSDPortal.Ru и Lissyara.Su проводят свой собственный сбор средств. Цель этих мероприятий - использование альтернативных методов оплаты, которые могут оказаться более доступными ряду людей.
Ознакомиться с этими вариантами можно на соответствующих форумах здесь и здесь, там же организаторы ведут трекинг поступивших средств.

UPD:  о деятельности фонда можно узнать из прошлогодней презентации Александра Еренкова Фонд FreeBSD (откроет просмотр PDF). Самостоятельно перевести средства очень просто, с помощью ставших доступных виртуальных карт VISA, MasterCard, если вы пользуетесь яндекс деньгами, то это легко делается так. Так же подобные услуги есть у всяких контор по приёму денег, через терминалы, но проценты там иногда больше. Тут сегодня проскочила новость, что Петербургский Мегафон ввёл подобную услугу и там она вообще бесплатна. Так что при желании всегда можно найти пути.
Сам платёж в фонд происходит без взимания процентов.

суббота, 17 декабря 2011 г.

Вышел декабрьский номер журнала BSD Magazine

Вышел декабрьский номер журнала BSD Magazine, в котором освещаются следующие темы:


  • Google Code-In and FreeBSD’s Participation. Google Code-In (GCIN) - это программа от компании Google, целью которой является вовлечение в мир разработки открытого программного обеспечения студентов в возрасте 13-17 лет. В статье дается описание программы и текущее положение в нем дел относительно проекта FreeBSD

  • Installing PC-BSD on a Mac. Начиная с версии 9.0-RC1, PC-BSD может быть установлена на компьютеры Мак и Макбук посредством Boot Camp. В статье даются детальные инструкции как это сделать.

  • Keeping Your Configuration Files Shiny Using sysmerge(8) - Описание инструмента sysmerge(8) в OpenBSD для обновления ASCII-based конфигурационных файлов.

  • Rolling Your Own FreeBSD Kernel - В статье дается понимание того, в каких случаях сборка собственного ядра в FreeBSD может быть полезна, а также даются инструкции по данной процедуре.

  • OpenBSD 5.0: PHP, Cacti, and Symon - Статья класса HowTo описывает установку и настройку мониторинга на базе Cacti и SyMon в OpenBSD.

  • Extracting Useful Information From Log Messages - Статья знакомит читателя с более мощной по функциональности, нежели syslogd, программе сборщика логов Syslog-NG.

  • Anatomy of a FreeBSD Compromise - Первая часть статьи из серии, посвященной компьютерной безопасности. Автор исследует пути предотвращения атак на системы и описывает рекомендации к действиям, когда дела развиваются по худшему сценарию.

  • Hardening BSD with Security Levels - Еще одна статья о безопасности, дающая представление о принципах работы securelevel в Open/Free/Net/DragonFly-BSD системах.

  • FreeBSD Foundation Update - В статье подводится итог по работе некоммерческого фонда FreeBSD в уходящем 2011 году.
    Ссылка на скачивание.