OpenBSD

[Patch 015] isakmpd

 ( trey | 2004. március 18., csütörtök - 0:12 )

Számos bugot találtak a fejlesztők a ISAKMP daemon-ban. A bugok memória szivárgáshoz, és távolról előidézhető denial of service (DoS) állapothoz vezethetnek.

Azért csak lesz SMP az OpenBSD-ben :-)

 ( trey | 2004. március 17., szerda - 19:29 )

Régi szívfájdalmam (amelynek hangot is szoktam adni), hogy nincs SMP támogatás az OpenBSD-ben. Az OpenBSD-sek sokszor sok minden ígértek már ezzel kapcsolatban, de igazából gyenge probálkozásokon (még egy) kívül semmi nem történt e téren.
De majd most :-)

Theo de Raadt bejelentette, hogy van egy ember, aki már "teljes munkaidőben" dolgozik az i386 SMP implementálásán. Ahogy Theo írja, az SMP támogatás várhatóan az OpenBSD 3.5 után (vagy kicsit később) fog megjelenni. Ez a fejlesztő anyagilag támogatott.

Homebrew beágyazott BSD tűzfal (saját kezűleg)

 ( trey | 2004. március 15., hétfő - 11:31 )

Számos felhasználó üzemeltet különálló számítógépet mint tűzfal, vagy NAT eszköz. Többnyire ezeket a feladatokat valamilyen ``high-end'' 486-os gépek végzik, amelyek valóban képesek kiszolgálni egy SOHO (Small Office - Home Office) környzetet.

A probléma:
Sajnos ezek a gépek meglehetősen nagyok, zajosak, és bármelyik pillanatban félni lehet, hogy a bennük levő alkatrészek felmondják a szolgálatot. Plusz céges környeztben az sem néz ki túl jól, hogy a titkárnő kidobásra ítélt 486-os, förtelmesen lassú boxából készít valaki vállalati tűzfalat.
Természetesen meg lehet tenni, hogy az IT költségvetés terhére szép, új, garanciával rendelkező gépet vásárolunk, és azt állítjuk be csomagszűrő tűzfalnak vagy címfordítónak.

Új MirOS BSD #7-current snapshot

 ( trey | 2004. március 15., hétfő - 10:53 )

Tavaly szeptember végén jelent meg a MirOS BSD névre hallgató OpenBSD-re épülő operációs rendszer #7-es verziója. Most a fejlesztők egy új snapshotot készítettek.

A bejelentés szerint a MirOS BSD egy olyan operációs rendszer, amely BSD kernelt, BSD-szerű userland-et, GNU toolchain-t (binutils 2.14), GCC 3.2.3-at tartalmaz, emellett támogatást ad számos fordító programhoz, például: C, C++, Objective C, Fortran, Ada, Pascal és Java.

Privilégium elkülönített named, [Patch 014] httpd

 ( trey | 2004. március 14., vasárnap - 18:49 )

Két hír az OpenBSD háza tájáról:



Jun-ichiro ``itojun'' Itoh és jacob@ munkájának köszönhetően megjelent az OpenBSD-ben a ``privilege separation'' funkció a név szerver daemon-hoz (named). CVS log itt.

Az OpenBSD projekt errata-t adott ki a sparc64 platformon futó httpd-hez.

ekkoBSD 1.0 BETA 2 (sparc64)

 ( trey | 2004. március 13., szombat - 9:43 )

Megjelent az ekkoBSD 1.0 sparc64 platformra szánt verziójának második kiadásra jelölt verziója.

Bejelentés itt.

OpenBSD 3.4-CURRENT -> 3.5-BETA

 ( Hunger | 2004. március 10., szerda - 10:50 )

Aki figyelemmel követi az OpenBSD fejlesztést és a tükörszervereken lévő snapshotokat az bizonyára észrevette, hogy megtörtént a verzióváltás. A 35 lett a tag a snapshot csomagoknál és a CVS-ben 3.5-beta szerepel.
Mint ahogy azt megszoktuk a 3.5-release kiadás (páratlan verzió esetén) valamikor május 1 körül lesz.

OpenBSD: javítás a CAN-2004-0171 hibára

 ( trey | 2004. március 9., kedd - 23:32 )

Egy héttel a FreeBSD-s javítás után megérkezett az OpenBSD-hez a TCP/IP stack-et érintő hiba javítása.

A patch letölthető az OpenBSD 3.3-hoz: Patch 018,
és az OpenBSD 3.4-hez: Patch 013

Bővebb információ az errata oldalon itt.

carp(4) nem OpenBSD rendszerekre

 ( trey | 2004. március 3., szerda - 0:12 )

Tavaly október közepén jelent meg az OpenBSD-ben a CARP. A CARP (Common Address Redundancy Protocol) egy olyan protokoll, amelynek a célja, hogy egy LAN-on lévő közös IP címen több számítógép is osztozhasson, miközben biztosítja bármelyik számítógép kiesése esetén is ennek elérését.

Az UCARP projekt sikeresen portolta az OpenBSD-s CARP-ot más operációs rendszerekre is, például Linuxra.

Mozgolódás az OpenBSD SMP körül

 ( netchan | 2004. február 27., péntek - 13:06 )

Bár az OpenBSD többprocesszoros támogatása simán beférne minden idők 10 legnagyobb vaporware-je közé, most úgy tűnik mégis haladnak a dolgok.

tcpdump(1) privilégium elkülönítéssel

 ( trey | 2004. február 20., péntek - 19:59 )

A tcpdump(1) programnak rossz híre van, számos sebezhetőséget találtak benne az elmúlt időkben. A tcpdump-ot többnyire root jogokkal futtatjuk, hogy a hálózati csatolón keresztülhaladó csomagokat el tudjuk kapni. Ebből kifolyólag a benne levő hibák kihasználása súlyos sebezhetőségnek számít.

Gondok az Apache licenc körül

 ( trey | 2004. február 20., péntek - 16:30 )

de Raadt: "...úgy látszik, hogy a httpd az OpenBSD-ben egy forkká válik."

Nem csak az XFree86 szerver licence körül vannak gondok mostanában. Pár nappal ezelőtt szárnyrakapott az a hír, miszerint az FSF szabad szoftveres linceceket felsoroló listáján nem szerepel az Apache Licence, Version 2.0. Ez azt jelenti, hogy az Apache nem GPL kompatibilis. Az ok: a benne található szoftver szabadalmakkal kapcsolatos kikötés.

ekkoBSD Beta-2

 ( trey | 2004. február 19., csütörtök - 9:08 )

Megjelent az ekkoBSD második beta kiadása. Az új teszt verzió néhány javítást, új binárisokat a /bin-ben /sbin-ben, új telepítési dokumentációt, stb. tartalmaz. Ebben a kiadásban a grafikus telepítő nem működik.

Bővebben a projekt honlapján itt.

setuid nélkül biztonságosabb az élet

 ( trey | 2004. február 11., szerda - 21:07 )

Az OpenBSD projekt folytatja korábban megkezdett harcát a setuid-es binárisok ellen. Most ismét eredményt értek el ebben az ügyben. Hozzáadtak egy ptm eszközt a pty(4)-hez. Ennek eredményeképpen privilégiummal nem rendelkező program megnyitva a /dev/ptm-et és használva a PTMGET ioctl(2)-t, képes megfelelő módon lefoglalni a pty-t, így az olyan programok futtatásához, mint az xterm vagy a screen nem szükséges a továbbiakban a setuid bitet beállítani.

Azokon a programokon, amelyek az openpty() függvényt használják, semmilyen változtatást nem kell eszközölni ehhez.

Todd C. Miller CVS commit-jéből:

BSD jelenlét a Solutions Linux 2004-en

 ( trey | 2004. február 10., kedd - 22:34 )

Nemrégiben került sor a Solutions Linux 2004 (ismert még Linux Ecpo Paris néven is) rendezvényre, amelyen jelentősnek mondható BSD jelenlét volt. Képviseltette magát a OpenBSD és az OpenSSH projekt is.

Privilégium-szint emelés

 ( trey | 2004. február 9., hétfő - 11:38 )

Kris Vangeneugden írt tavaly novemberben egy dokumentumot ``OpenBSD Privilege Escalation'' címmel az OpenBSD gépek elleni támadásokról, azok elleni védekezések lehetőségeiről.

A dokumentum a tavaly Georgi Guninski által bejelentett exploitot elemzi. Az exploit (msuxobsd2.c) az OpenBSD kernelben okoz túlcsordulást. A kód használata egy ún. stack alapú kernel túlcsorduláshoz vezet.

Patch 011: IPv6

 ( trey | 2004. február 8., vasárnap - 10:01 )

Daniel Hartmeier bejelentése szerint megszületett a patch az IPv6 -os gépek hibás MTU kezelésére.
A hibát még a hét közepén jelentette be Georgi Guninski. A hibát kihasználva a rosszindulatú támadó DoS támadást indíthat az OpenBSD gépek ellen. Az OpenBSD-n az IPv6 alapértelmezetten engedélyezve van, de a hiba csak akkor használható ki, ha a hostot IPv6-on el lehet érni.

A bejelentés:

IPv6-os OpenBSD boxok összeomlása

 ( trey | 2004. február 5., csütörtök - 20:48 )

Georgi Guninski (ismert a Windows sebezhetőségek felfedezéseiről) egy hibát talált az OpenBSD IPv6 stack-jében. Nem tiszta egyelőre, hogy a NetBSD sebezhető-e, viszont a FreeBSD nem sebezhető.

Guninski oldalán ez olvasható:

Lehet, hogy nemsokára a VIA processzorok lesznek a leghasználhatóbbak a VPN-re?

 ( trey | 2004. február 5., csütörtök - 9:00 )

Theo de Raadt néhány érdekes teljesítményteszt-eredményt postázott a minap az openbsd-misc@ listára.
A tesztben 3 processzoron mért AES titkosítási teljesítményt. Egy 1.6GHz-es amd64 processzor (32bit-es módban), egy 1Ghz-es Intel Pentium 3, és egy VIA C3 processzor versenyzett egymással.

Az új VIA C3 az új Nehemiah magra épül. A processzor tartalmaz egy on-die PadLock Advanced Cryptography Engine-t és két hardveres RNG-t (random number generator). A PadLock Advanced Cryptography Engine az amerikai kormány is által elfogadott Advanced Encryption Standard (AES) szerinti teljesítményre képes. Kriptografikus támogatást nyújt az e-mail-ek, személyes file-ok, online tranzakciók és a hálózatkezeléshez (pl. a 802.11g vezetéknélküli hálózatokhoz). Legnagyobb előnye az ára mellett (VIA C3 1GHz 133/100 ~8000Ft/db) az alacsony energia felhasználása.

Natív JDK

 ( trey | 2004. február 3., kedd - 9:11 )

Amint azt Peter Valchev levelében olvashatjuk, megjelent az OpenBSD-ben a natív jdk-1.3.1.

Peter levele itt.

Úton van az AMD64 támogatás

 ( trey | 2004. február 2., hétfő - 10:54 )

A Deadly.org szerint megkezdődött az AMD64 processzorhoz szükséges támogatás beemelése (és átírása) az OpenBSD-be. A forrás a NetBSD forrásfájából kerül felhasználásra.
Üdvözölendő lépés, de azt hiszem, hogy emelett nekiállhatnának az SMP támogatás elkészítésének is, mert lassan sikerrel pályázhatnak az év vaporware-e kategóriában (jól emlékszem, hogy de Raadt a 3.0-ra ígérte az SMP támogatást?).

A Deadly.org cikke híre itt.

OpenSSH-t használ a HP az Insight Manager-ben

 ( trey | 2004. január 21., szerda - 9:28 )

A Hewlett Packard (HP) az OpenSSH-t használja az Insight Manager névre hallgató központosított hardver és szoftver menedzsment programjában.
Az Insight Manager a HP (korábban Compaq) szerverek elengedhetetlen tartozéka, amely a szerver állapotáról fontos információkat szolgáltat a szerver üzemeltetőjének.

Két új funkció a laptop használóknak

 ( trey | 2004. január 17., szombat - 12:17 )

Theo de Raadt két új, ügyes funkciót jelentett be a openbsd-misc@ levlistán. Az új dolgoknak a laptop felhasználók fognak örülni. Az egyik újdonság, hogy a laptop processzor sebesség szabályozás már működik bizonyos gépeken. Mostantól lehetőség van állítani a CPU sebességét, így ha a laptop akkuról üzemel, jelentős üzemidő növekedést lehet elérni.

Patch 009: isakmpd

 ( trey | 2004. január 15., csütörtök - 8:41 )

Az OpenBSD projekt kiadta a Patch 009-es számú javítást az OpenBSD 3.4-hez. A patch szerepe az, hogy javítsa az isakmpd azon hibáját, amelyet a rosszindulatú támadó kihasználva megakadályozhatja a normális IPsec setup-ot. A hiba egy ideje már javítva van a -current-ben.

Interjú az ekkoBSD fő fejlesztőjével

 ( trey | 2004. január 10., szombat - 16:47 )

A BSDVault interjút készített Rick Collette-tel, az ekkoBSD projekt vezetőjével.