OpenBSD

Privilégium elkülönített named, [Patch 014] httpd

 ( trey | 2004. március 14., vasárnap - 17:49 )

Két hír az OpenBSD háza tájáról:



Jun-ichiro ``itojun'' Itoh és jacob@ munkájának köszönhetően megjelent az OpenBSD-ben a ``privilege separation'' funkció a név szerver daemon-hoz (named). CVS log itt.

Az OpenBSD projekt errata-t adott ki a sparc64 platformon futó httpd-hez.

ekkoBSD 1.0 BETA 2 (sparc64)

 ( trey | 2004. március 13., szombat - 8:43 )

Megjelent az ekkoBSD 1.0 sparc64 platformra szánt verziójának második kiadásra jelölt verziója.

Bejelentés itt.

OpenBSD 3.4-CURRENT -> 3.5-BETA

 ( Hunger | 2004. március 10., szerda - 9:50 )

Aki figyelemmel követi az OpenBSD fejlesztést és a tükörszervereken lévő snapshotokat az bizonyára észrevette, hogy megtörtént a verzióváltás. A 35 lett a tag a snapshot csomagoknál és a CVS-ben 3.5-beta szerepel.
Mint ahogy azt megszoktuk a 3.5-release kiadás (páratlan verzió esetén) valamikor május 1 körül lesz.

OpenBSD: javítás a CAN-2004-0171 hibára

 ( trey | 2004. március 9., kedd - 22:32 )

Egy héttel a FreeBSD-s javítás után megérkezett az OpenBSD-hez a TCP/IP stack-et érintő hiba javítása.

A patch letölthető az OpenBSD 3.3-hoz: Patch 018,
és az OpenBSD 3.4-hez: Patch 013

Bővebb információ az errata oldalon itt.

carp(4) nem OpenBSD rendszerekre

 ( trey | 2004. március 2., kedd - 23:12 )

Tavaly október közepén jelent meg az OpenBSD-ben a CARP. A CARP (Common Address Redundancy Protocol) egy olyan protokoll, amelynek a célja, hogy egy LAN-on lévő közös IP címen több számítógép is osztozhasson, miközben biztosítja bármelyik számítógép kiesése esetén is ennek elérését.

Az UCARP projekt sikeresen portolta az OpenBSD-s CARP-ot más operációs rendszerekre is, például Linuxra.

Mozgolódás az OpenBSD SMP körül

 ( netchan | 2004. február 27., péntek - 12:06 )

Bár az OpenBSD többprocesszoros támogatása simán beférne minden idők 10 legnagyobb vaporware-je közé, most úgy tűnik mégis haladnak a dolgok.

tcpdump(1) privilégium elkülönítéssel

 ( trey | 2004. február 20., péntek - 18:59 )

A tcpdump(1) programnak rossz híre van, számos sebezhetőséget találtak benne az elmúlt időkben. A tcpdump-ot többnyire root jogokkal futtatjuk, hogy a hálózati csatolón keresztülhaladó csomagokat el tudjuk kapni. Ebből kifolyólag a benne levő hibák kihasználása súlyos sebezhetőségnek számít.

Gondok az Apache licenc körül

 ( trey | 2004. február 20., péntek - 15:30 )

de Raadt: "...úgy látszik, hogy a httpd az OpenBSD-ben egy forkká válik."

Nem csak az XFree86 szerver licence körül vannak gondok mostanában. Pár nappal ezelőtt szárnyrakapott az a hír, miszerint az FSF szabad szoftveres linceceket felsoroló listáján nem szerepel az Apache Licence, Version 2.0. Ez azt jelenti, hogy az Apache nem GPL kompatibilis. Az ok: a benne található szoftver szabadalmakkal kapcsolatos kikötés.

ekkoBSD Beta-2

 ( trey | 2004. február 19., csütörtök - 8:08 )

Megjelent az ekkoBSD második beta kiadása. Az új teszt verzió néhány javítást, új binárisokat a /bin-ben /sbin-ben, új telepítési dokumentációt, stb. tartalmaz. Ebben a kiadásban a grafikus telepítő nem működik.

Bővebben a projekt honlapján itt.

setuid nélkül biztonságosabb az élet

 ( trey | 2004. február 11., szerda - 20:07 )

Az OpenBSD projekt folytatja korábban megkezdett harcát a setuid-es binárisok ellen. Most ismét eredményt értek el ebben az ügyben. Hozzáadtak egy ptm eszközt a pty(4)-hez. Ennek eredményeképpen privilégiummal nem rendelkező program megnyitva a /dev/ptm-et és használva a PTMGET ioctl(2)-t, képes megfelelő módon lefoglalni a pty-t, így az olyan programok futtatásához, mint az xterm vagy a screen nem szükséges a továbbiakban a setuid bitet beállítani.

Azokon a programokon, amelyek az openpty() függvényt használják, semmilyen változtatást nem kell eszközölni ehhez.

Todd C. Miller CVS commit-jéből:

BSD jelenlét a Solutions Linux 2004-en

 ( trey | 2004. február 10., kedd - 21:34 )

Nemrégiben került sor a Solutions Linux 2004 (ismert még Linux Ecpo Paris néven is) rendezvényre, amelyen jelentősnek mondható BSD jelenlét volt. Képviseltette magát a OpenBSD és az OpenSSH projekt is.

Privilégium-szint emelés

 ( trey | 2004. február 9., hétfő - 10:38 )

Kris Vangeneugden írt tavaly novemberben egy dokumentumot ``OpenBSD Privilege Escalation'' címmel az OpenBSD gépek elleni támadásokról, azok elleni védekezések lehetőségeiről.

A dokumentum a tavaly Georgi Guninski által bejelentett exploitot elemzi. Az exploit (msuxobsd2.c) az OpenBSD kernelben okoz túlcsordulást. A kód használata egy ún. stack alapú kernel túlcsorduláshoz vezet.

Patch 011: IPv6

 ( trey | 2004. február 8., vasárnap - 9:01 )

Daniel Hartmeier bejelentése szerint megszületett a patch az IPv6 -os gépek hibás MTU kezelésére.
A hibát még a hét közepén jelentette be Georgi Guninski. A hibát kihasználva a rosszindulatú támadó DoS támadást indíthat az OpenBSD gépek ellen. Az OpenBSD-n az IPv6 alapértelmezetten engedélyezve van, de a hiba csak akkor használható ki, ha a hostot IPv6-on el lehet érni.

A bejelentés:

IPv6-os OpenBSD boxok összeomlása

 ( trey | 2004. február 5., csütörtök - 19:48 )

Georgi Guninski (ismert a Windows sebezhetőségek felfedezéseiről) egy hibát talált az OpenBSD IPv6 stack-jében. Nem tiszta egyelőre, hogy a NetBSD sebezhető-e, viszont a FreeBSD nem sebezhető.

Guninski oldalán ez olvasható:

Lehet, hogy nemsokára a VIA processzorok lesznek a leghasználhatóbbak a VPN-re?

 ( trey | 2004. február 5., csütörtök - 8:00 )

Theo de Raadt néhány érdekes teljesítményteszt-eredményt postázott a minap az openbsd-misc@ listára.
A tesztben 3 processzoron mért AES titkosítási teljesítményt. Egy 1.6GHz-es amd64 processzor (32bit-es módban), egy 1Ghz-es Intel Pentium 3, és egy VIA C3 processzor versenyzett egymással.

Az új VIA C3 az új Nehemiah magra épül. A processzor tartalmaz egy on-die PadLock Advanced Cryptography Engine-t és két hardveres RNG-t (random number generator). A PadLock Advanced Cryptography Engine az amerikai kormány is által elfogadott Advanced Encryption Standard (AES) szerinti teljesítményre képes. Kriptografikus támogatást nyújt az e-mail-ek, személyes file-ok, online tranzakciók és a hálózatkezeléshez (pl. a 802.11g vezetéknélküli hálózatokhoz). Legnagyobb előnye az ára mellett (VIA C3 1GHz 133/100 ~8000Ft/db) az alacsony energia felhasználása.

Natív JDK

 ( trey | 2004. február 3., kedd - 8:11 )

Amint azt Peter Valchev levelében olvashatjuk, megjelent az OpenBSD-ben a natív jdk-1.3.1.

Peter levele itt.

Úton van az AMD64 támogatás

 ( trey | 2004. február 2., hétfő - 9:54 )

A Deadly.org szerint megkezdődött az AMD64 processzorhoz szükséges támogatás beemelése (és átírása) az OpenBSD-be. A forrás a NetBSD forrásfájából kerül felhasználásra.
Üdvözölendő lépés, de azt hiszem, hogy emelett nekiállhatnának az SMP támogatás elkészítésének is, mert lassan sikerrel pályázhatnak az év vaporware-e kategóriában (jól emlékszem, hogy de Raadt a 3.0-ra ígérte az SMP támogatást?).

A Deadly.org cikke híre itt.

OpenSSH-t használ a HP az Insight Manager-ben

 ( trey | 2004. január 21., szerda - 8:28 )

A Hewlett Packard (HP) az OpenSSH-t használja az Insight Manager névre hallgató központosított hardver és szoftver menedzsment programjában.
Az Insight Manager a HP (korábban Compaq) szerverek elengedhetetlen tartozéka, amely a szerver állapotáról fontos információkat szolgáltat a szerver üzemeltetőjének.

Két új funkció a laptop használóknak

 ( trey | 2004. január 17., szombat - 11:17 )

Theo de Raadt két új, ügyes funkciót jelentett be a openbsd-misc@ levlistán. Az új dolgoknak a laptop felhasználók fognak örülni. Az egyik újdonság, hogy a laptop processzor sebesség szabályozás már működik bizonyos gépeken. Mostantól lehetőség van állítani a CPU sebességét, így ha a laptop akkuról üzemel, jelentős üzemidő növekedést lehet elérni.

Patch 009: isakmpd

 ( trey | 2004. január 15., csütörtök - 7:41 )

Az OpenBSD projekt kiadta a Patch 009-es számú javítást az OpenBSD 3.4-hez. A patch szerepe az, hogy javítsa az isakmpd azon hibáját, amelyet a rosszindulatú támadó kihasználva megakadályozhatja a normális IPsec setup-ot. A hiba egy ideje már javítva van a -current-ben.

Interjú az ekkoBSD fő fejlesztőjével

 ( trey | 2004. január 10., szombat - 15:47 )

A BSDVault interjút készített Rick Collette-tel, az ekkoBSD projekt vezetőjével.

MBR támogatás az EDD olvasásokhoz (> 8 GB)

 ( trey | 2004. január 1., csütörtök - 15:51 )

Mint az a hivatalos OpenBSD FAQ-ban olvasható, az OpenBSD jelenleg nem tud bootolni 8GB-nál nagyobb partícióról. Ennek az az oka, hogy az OpenBSD boot folyamat néhány helyen a régebbi CHS (cylinder-head-sector) olvasási metódust alkalmazza.
Ahhoz, hogy az OpenBSD-ben megszűnjön ez a korlátozás, az kell, hogy a boot folyamat alkalmazza az LBA (logical block addressing) lemez-szektor olvasási sémát. Ehhez azokat a BIOS hívásokat kell alkalmazni, amelyek a Phoenix Enhanced Disk Drive Specification (EDD) névre hallgató dokumentumban van lefektetve.

Ahhoz, hogy az OpenBSD tudjon 8GB-nál nagyobb partícióról bootolni, az alábbi alrendszereket úgy kell módosítani, hogy azok LBA-képesek legyenek:

ekkoBSD Firewall 1.0 Alpha 1

 ( trey | 2003. december 27., szombat - 0:27 )

Megjelent az ekkoBSD Firewall 1.0 Alpha 1. A rendszer nem más, mint egy teljes értékű, biztonsági szempontból megerősített operációs rendszer állapot tartó csomagszűrővel, és NAT tűzfallal.

A rendszer jellemzői:

Az OpenBSD mostantól saját BGP daemon-nal rendelkezik

 ( trey | 2003. december 20., szombat - 19:39 )

henning@ munkájának köszönhetően az OpenBSD mostantól saját BGP daemon-nal (bgpd) rendelkezik.



A BGP (Border Gateway Protocol) (RFC: 1771) az útválasztásban használt protokoll.

CVS szinkronizálás cvsync programmal

 ( trey | 2003. december 17., szerda - 20:06 )

A cvsync egy újabb CVS repo szinkronizációs segédprogram, amelyet MAEKAWA Masahide fejleszt. Nagyon hasonlít a CVSup-hoz, de azzal nem kompatibilis. A fejlesztő C-ben írta és a pthreads könyvtárat használja.