FreeBSD

Andre Oppermann a hónap elején postázott egy levelet a freebsd-current@ listára, amelyben egy meglehetősen hosszú listán közölte, hogy mely részét szeretné megváltoztatni a FreeBSD TCP/IP vermének. A bejelentés szerint a munkák nem sokára, még ezen a nyáron megkezdődnének. A készülő változtatások számos fejlesztő tetszését elnyerték, voltak akik tanácsokat adtak, de ezzel egy időben megjelentek a flamek is.

A munkák többek közt az alábbi területeket érintenék: send buffer autoresizing, a tcp_reass() függvény átdolgozása, az IPv4 routing tábla optimalizációja, az IPFW API részleges újraírása, stb.

A szokatlanul hosszú thread itt indul.

A hét találós kérdése: "Ha a FreeBSD TCP/IP stacket cserél, akkor ki fog még?" :-)

A szokásos, a FreeBSD CVS-ében az elmúlt héten megjelenő újdonságokat tartalmazó összefoglaló:

http://www.xl0.org/FreeBSD/14-03-04.html

Jem Matzan egy érdekes felmérést készített a 32 bites x86 (Pentium 4) és a 64 bites AMD64 (a.k.a. x86-64) processzor főszereplésével FreeBSD 5.2.1-RELEASE alatt. Érdemes a cikket elolvasni, mert ismét képet kaphatunk arról, hogy szükséges-e régi 32 bites x86 technológiáról az új 64 bites AMD64 környzetre váltani.

A cikket megtalálod itt.

Úgy látszik, Mark Johnston megirigyelte a Debian/RedHat/Gentoo/anyámkínja disztribúciók heti hírlevelét, ezért önszorgalomból létrehozott egy hasonlót.Az érdeklődők a http://www.xl0.org/FreeBSD/ címen heti összefoglalót olvashatnak a FreeBSD CVS-ében azon a héten történt fontosabb változásokról, íly módon a levlisták olvasgatása nélkül is korrekten képben lehetnek az aktuális helyzetről.


Zahy

Tárgy: sok out-of-sequence TCP csomag által okozott denial-of-service (DoS)

Kategória: core

Modul: kernel

Bejelentve: 2004-03-02

Közreműködők: iDEFENSE

Érintett: összes FreeBSD kiadás

Javítva: 2004-03-02 17:19:18 UTC (RELENG_4)

2004-03-02 17:24:46 UTC (RELENG_5_2, 5.2.1-RELEASE-p1)

2004-03-02 17:26:33 UTC (RELENG_4_9, 4.9-RELEASE-p3)

2004-03-02 17:27:47 UTC (RELENG_4_8, 4.8-RELEASE-p16)

CVE név: CAN-2004-0171

FreeBSD specifikus: nemFrom "FreeBSD Security Advisories"

Subject [FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-04:04.tcp

Date Tue, March 2, 2004 12:55 pm

To "FreeBSD Security Advisories"

--------------------------------------------------------------------------------

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

=====================================

FreeBSD-SA-04:04.tcp Security Advisory

The FreeBSD Project

Topic: many out-of-sequence TCP packets denial-of-service

Category: core

Module: kernel

Announced: 2004-03-02

Credits: iDEFENSE

Affects: All FreeBSD releases

Corrected: 2004-03-02 17:19:18 UTC (RELENG_4)

2004-03-02 17:24:46 UTC (RELENG_5_2, 5.2.1-RELEASE-p1)

2004-03-02 17:26:33 UTC (RELENG_4_9, 4.9-RELEASE-p3)

2004-03-02 17:27:47 UTC (RELENG_4_8, 4.8-RELEASE-p16)

CVE Name: CAN-2004-0171

FreeBSD only: NO

I. Background

The Transmission Control Protocol (TCP) of the TCP/IP protocol suite

provides a connection-oriented, reliable, sequence-preserving data

stream service. When network packets making up a TCP stream (``TCP

segments'') are received out-of-sequence, they are maintained in a

reassembly queue by the destination system until they can be re-ordered

and re-assembled.

II. Problem Description

FreeBSD does not limit the number of TCP segments that may be held in a

reassembly queue.

III. Impact

A remote attacker may conduct a low-bandwidth denial-of-service attack

against a machine providing services based on TCP (there are many such

services, including HTTP, SMTP, and FTP). By sending many

out-of-sequence TCP segments, the attacker can cause the target machine

to consume all available memory buffers (``mbufs''), likely leading to

a system crash.

IV. Workaround

It may be possible to mitigate some denial-of-service attacks by

implementing timeouts at the application level.

V. Solution

Do one of the following:

1) Upgrade your vulnerable system to 4-STABLE, or to the RELENG_5_2,

RELENG_4_9, or RELENG_4_8 security branch dated after the correction

date.

OR

2) Patch your present system:

The following patch has been verified to apply to FreeBSD 4.x and 5.x

systems.

a) Download the relevant patch from the location below, and verify the

detached PGP signature using your PGP utility.

[FreeBSD 5.2]

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...:04/tcp52.patch

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...tcp52.patch.asc

[FreeBSD 4.8, 4.9]

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...:04/tcp47.patch

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/C...tcp47.patch.asc

b) Apply the patch.

# cd /usr/src

# patch and reboot the

system.

VI. Correction details

The following list contains the revision numbers of each file that was

corrected in FreeBSD.

Branch Revision

Path

- -------------------------------------------------------------------------

RELENG_4

src/UPDATING 1.73.2.90

src/sys/conf/newvers.sh 1.44.2.33

src/sys/netinet/tcp_input.c 1.107.2.40

src/sys/netinet/tcp_subr.c 1.73.2.33

src/sys/netinet/tcp_var.h 1.56.2.15

RELENG_5_2

src/UPDATING 1.282.2.9

src/sys/conf/newvers.sh 1.56.2.8

src/sys/netinet/tcp_input.c 1.217.2.2

src/sys/netinet/tcp_subr.c 1.169.2.4

src/sys/netinet/tcp_var.h 1.93.2.2

RELENG_4_9

src/UPDATING 1.73.2.89.2.4

src/sys/conf/newvers.sh 1.44.2.32.2.4

src/sys/netinet/tcp_input.c 1.107.2.38.2.1

src/sys/netinet/tcp_subr.c 1.73.2.31.4.1

src/sys/netinet/tcp_var.h 1.56.2.13.4.1

RELENG_4_8

src/UPDATING 1.73.2.80.2.19

src/sys/conf/newvers.sh 1.44.2.29.2.17

src/sys/netinet/tcp_input.c 1.107.2.37.2.1

src/sys/netinet/tcp_subr.c 1.73.2.31.2.1

src/sys/netinet/tcp_var.h 1.56.2.13.2.1

- -------------------------------------------------------------------------

VII. References

Eredeti bejelentés itt.

A FreeSBIE sikere után itt egy újabb LiveCD, ezúttal FreeBSD - KDE párosítással.

LiveBSD honlap

Letöltöttem, kiírtam, bevágtam az egyik PC-mbe (válogatás nélkül), bebootoltam, válaszoltam 2 darab kérdésre (billenytűzet kiosztásra vonatkozott mindkettő). Megkaptam a prompt-ot, majd beírtam, hogy ``startx''. Az X elindult, és már futott is az XFce. A bootolás kezdete és az X elindulása közt nem telt el több idő, mint másfél perc.

A FreeSBIE (korábbi cikkünk) egy teljes értékű ``Live'' FreeBSD disztribúció (jelenleg FreeBSD 5.2.1-RELEASE), amely CD-ről fut. Készítettem néhány screenshotot:

Firefox, MPlayer, stb.

Gimp 2.0 (pre), xterm, nyugalom...

Evolution, XChat, MPlayer, XMMS.... bootolható FreeBSD 5.2.1-en... :-)

Megjelent a FreeSBIE 1.0-ás kiadása. A FreeSBIE fejlesztői majd egy év fejlesztés után adták ki az anyagot. A FreeSBIE egy teljes értékű FreeBSD disztribúció, amely CD-ről fut. A rendszer a FreeBSD 5.2.1-en alapul, jelenleg i386 platformra érhető el.

A FreeSBIE célközönsége:

- adminisztrátorok

- fejlesztők

- végfelhasználók

Kik futtathatják haszonnal?

- akiknek multimédia alkalmazások kellenek

- akik komolyabb hálózati analízisre adják fejüket

- akik sérült FreeBSD rendszert akarnak helyreállítani

- akik ki szeretnék próbálni a FreeBSD funkcióit, de nem akarják telepíteni azt (pl.: notebookra?)

- akiknek egy teljes egészében működő FreeBSD rendszer kell

- akik demozni akarnak

- akinek a FreeBSD ereje kell, de nem akarják még telepíteni/konfigurálni

Mit tartalmaz?

A FreeSBIE mindennapi használatra is kiválóan alkalmas. Benne az alábbi alkalmazások találhatók:

- Evolution

- Gaim

- Pan

- XMMS és MPlayer

- XChat

Az anyag letölthető:

ftp://ftp.freesbie.org

ftp://ftp2.freesbie.org

Bővebb infó, csomaglista a bejelentésben itt.

Már töltöm is :-)))

Három ``HEADS UP'' is napvilágot látott az elmúlt órákban (openssh, pf, routed):

Az egyik Dag-Erling Smorgrav nevéhez fűződik. Dag-Erling bejelentette, hogy a FreeBSD-CURRENT-ben mostantól az OpenSSH 3.8p1 található. A frissítéshez néhány figelmeztetést is mellékelt:

- mostantól (alapértelmezetten) a szerver nem fogadja az SSH protokoll 1-es verzióját

- mostantól (alapértelmezetten) a szerver nem fogadja a jelszó authentikációs kéréseket

Akinek a kliense nem támogatja az SSH protokoll 2-t vagy a keyboard-interactive authentikációt, annak itt az ideje frissíteni. Bejelentés itt.Max Laier arról informál minket, hogy megkezdték az OpenBSD-s csomagszűrő (pf) importját a saját portjából (security/pf). A bejelentés itt.

Bruce M Simpson levele szerint beolvasztásra került a rhyolite.com-féle routed 2.27-es verziója. A bejelentés itt.

Tárgy: a jail_attach függvény hibája lehetővé teszi egy root jogokkal, jailben futó processz számára, hogy átkerüljön egy másik jailbe.

Kategória: core

Modul: kernel

Bejelentve: 2004-02-25

Érintett verziók: FreeBSD 5.1-RELEASE, FreeBSD 5.2-RELEASE

Javítva: 2004-02-19 23:26:39 UTC (RELENG_5_2, 5.2.1-RC2), 2004-02-25 20:03:35 UTC (RELENG_5_1, 5.1-RELEASE-p14)

CVE név: CAN-2004-0126

FreeBSD-specifikus: igen

Bejelentés itt.