FreeBSD

Crist J. Clark egy új opciót hozott létre az ipfw(8)-hez (csak az IPFW2-vel használható) amely automatikusan biztosítja az anti-spoofing védelmet. Az opció neve a "verrevpath", a Cisco parancs iránti tisztelet miatt.

Bővebb infó a dologról itt.

Jeffrey Hsu implementálta a Limited Transmit algoritmust a FreeBSD-ben.A 3042-es számú, 2001. januári RFC címe: "A TCP veszteség-helyreállásának javítása korlátozott küldéssel". Akinek ez túl "Kiskapus" volt, álljon itt az angol cím is: "Enhancing TCP's Loss Recovery Using Limited Transmit" :)

Az RFC kivonata:

"Ez a dokumentum egy új Transmission Control protocol (TCP) mechanizmust mutat be, amellyel hatékonyabban lehet az elveszett szegmenseket helyreállítani amikor egy kapcsolat torlódási ablaka (congestion window) kicsi, vagy amikor egy átviteli ablakban túl sok szegmens veszett el. A "Limited Transport" algoritmus egy új adatszegmenset küld válaszképpen minden egyes dupla nyugtázásra, amelyet a vevő kap. Ezen szegmensek küldése megnöveli annak az esélyét, hogy a TCP helyre tudjon állni egy szegmens elvesztéséből a gyors újraküldés algoritmussal (fast retransmit), ahelyett, hogy a költséges újraküldési időtúllépést (retransmission timeout) kelljen használnia. A Limited Transport használható a TCP SACK-kal (selective acknowledgement) és anélkül is."

Az RFC-ben olvasható, hogy az LT akkor növeli a teljesítményt, amikor a gyors újraküldés nem kerül meghívásra. A változtatás nem befolyásolja károsan a TCP teljesítményét, és nincs hatással a többi TCP kapcsolatra semmilyen körülmények között.

A kód alapértelmezésként ki van kapcsolva, a bekapcsolása a net.inet.tcp.rfc3042 sysctl-lel lehetséges.

Más változás is történt ugyanitt, amelyet a 3390-es RFC ír le. Ez a 2414-es RFC-t váltja le, a lényege pedig az, hogy a TCP által használható kezdeti ablakméretet egy, vagy két szegmensről körülbelül 4 kB-ra növeli. Az RFC-ben olvashatók ennek a megoldásnak az előnyei, hátrányai is.

Kapcsolódó oldalak:

RFC 3042 [FTP]

RFC 3390 [FTP]

RFC 3042 változtatás

RFC 3390 változtatás

Eric Anholt commit-olta a régen várt XFree86 4.3.0-át a FreeBSD ports fájába. Kéretik minden bugot, hibát közvetlenül neki jelenteni. Eric azt jalvasolja, hogy aki használni szeretné, az csináljon portupgrade-t, hogy biztos legyen a frissítés az XFree86 előző verzióiról.

Email bejelentés:Date: 11 Mar 2003 16:37:04 -0800

Subject: HEADSUP: XFree86 4.3.0 update

From: Eric Anholt

To: ports@FreeBSD.org

I've committed the update of XFree86 to 4.3.0 to ports. I think I've cleaned up after my mess at this point, but there may still be issues. Please report to me if you have any problems with the new ports or any issues with XFree86 that you didn't have in 4.2.0.

I think the ports should build fine with a plain make install from x11/XFree86-4 even if 4.2.0 is already installed (they did last time I tried), but it doesn't guarantee an update. Please use portupgrade to ensure you update fully.

graphics/drm-kmod isn't going to be updated for 4.3.0. I have a diff for the MFC of the drm up at:

http://people.freebsd.org/~anholt/dri/files.html

I would appreciate testers for this because I don't have a -stable machine at the moment.

--

Eric Anholt eta@lclark.edu

http://people.freebsd.org/~anholt/ anholt@FreeBSD.org

Simon L. Nilsen egy levelet postázott a freebsd-ipfw@freebsd.org címre amiben arról számol be, hogy készített egy pach-et az ipfw2-hoz, hogy az képes legyen a syslogba priorizáltan logolni.

Greg Lewis bejelentette az elérhetőségét a JDK 1.4 harmadik patchset-jének FreeBSD OS-re. Az előző kettő verziótól eltérően ez már használható széleskörű tesztelésre. A használatához nagyon friss verziójú FreeBSD kell, a részleteket a BUILD fileban olvashatod.

Greg levele:Date: Fri, 7 Mar 2003 05:32:36 +1030

From: Greg Lewis

To: freebsd-java@freebsd.org

Subject: 1.4.1 patchset 3

It is with great pleasure that I announce the third patchset in the series for the JDK 1.4 on FreeBSD.

Unlike the previous two patchsets, this patchset is ready for

widespread testing. Thanks to everyone who tested the earlier

patchsets and submitted a problem report.

Use of this patchset requires a very recent version of FreeBSD; see the BUILD file for details.

Again, I would like to thank Alexey Zelkin who has single handedly been working on the 1.4 port. I'd also like to thank the FreeBSD Foundation who have provided the funding to allow Alexey to continue his work. Thank you also to everyone in the FreeBSD Java community who has donated to the FreeBSD Foundation so far. Unfortunately lack of funds places Alexey's continued work on the 1.4 port in jeopardy and I would urge people to donate if they are able.

You'll find information and download instructions for the patchset at

http://www.eyesbeyond.com/freebsddom/java/jdk14.html.

--

Greg Lewis Email : glewis@eyesbeyond.com

Eyes Beyond Web : http://www.eyesbeyond.com

Information Technology FreeBSD : glewis@FreeBSD.org

Szomorú igazság az, hogy nagyon óvatosnak kell lennünk, ha a gépünket az internetre kapcsoljuk. Számtalan gonosz cracker leselkedik készen arra, hogy a rendszerünket veszélyeztesse. Dru Lavigne aktuális cikkében a trójai programok és a rootkitek elleni védekezést, és azok felismerésének techikáját ismerteti, olyan eszközökön keresztül, mint a tripwire, amely egy nyílt forrású file-integritást ellenőrző biztonsági eszköz.Dru Lavigne egy hálózati ismeretek oktató tanárnő, instruktor egy magániskolában Kingstonban (ON). Az a hír járja róla, hogy a célja az, hogy minél több operációs rendszer tudjon bootolni egyszerre a tesztgépén. 1997-ben egy bug után nyomoztott az Interneten, a Yahoo keresője a FreeBSD oldalára vetette, azóta megszállott FreeBSD felhasználó. Szabadidejében TCP/IP adminisztációs könyveket és RFC-ket olvas.

A cikket megtalálod itt.

Maksim Yevmenkin bejelentette a FreeBSD bluetooth stack-jének legfrissebb verzióját. Az új verzió kódja szépen működik SMP kernellel, bár még nem 100%-ig SMP kompatibilis.

Maksim levele:Date: Wed, 05 Mar 2003 15:24:10 -0800

From: Maksim Yevmenkin

To: current@freebsd.org

Cc: net@freebsd.org

Subject: Bluetooth stack for FreeBSD

Dear Hackers,

I'm very pleased to announce that another release is available for download at

http://www.geocities.com/m_evmenkin...20030305.tar.gz

The Bluetooth sockets layer has been cleaned up. People should not see any WITNESS complains with new code. Locking issues have been revisited and code in much better shape now, although it probably is not 100% SMP ready just yet. The code should work on SMP system anyway because sockets layer is still under Giant. Minor bug in OpenOBEX library has been fixed and OPEX Put-Empty command now works. Also ng_ubt(4) now supports Wireless Transceiver for Bluetooth from Microsoft. Thanks to Dustin Boontheekul for testing.

IMPORTANT!

Due to changes in API userland tools must be in sync with the kernel. People should install new include files, recompile and reinstall all userland tools as part of upgrade. I'm sorry about that.

IMPORTANT!

New taskqueue_swi_giant has been introduces recently in FreeBSD. The socket code has been converted to use it. If you system is not recent you will need

1) upgrade to recent -current

or

2) change taskqueue_swi_giant to taskqueue_swi and compile code.

People are advised to upgrade and try the new code. Please do ask question and submit success stories/bug reports to me. Please also CC to one the FreeBSD mailing lists (mobile, net or current) for archive purposes.

thanks,

max

Roberto Nunnari sikerrel párosított össze egy FreeBSD-t és egy Oracle 9i -t. Állítása szerint meg tesztelésre szorul, de már működőképes, és klienssel is el lehet érni.

az eredeti:

Subject: Re: Oracle 9i on FreeBSD 4.7-Stable

Date: Fri, 31 Jan 2003 08:18:02 +0100

From: Roberto Nunnari

To: Roberto Nunnari , Georg.Koltermann@mscsoftware.com

Hi all.

I just want to tell a success story.

I managed to run Oracle 9i on a FreeBSD 5.0-Release box.

The steps were as follows:

- install Oracle 9i on a Linux RedHat 7.2 box

- copy the whole thing on the FreeBSD box

- apply the kernel patches supplied by Georg.Koltermann@mscsoftware.com

- tune the kernel as stated in

http://www.freebsd.org/doc/en_US.IS...emu-oracle.html

but using the values specified by Oracle for 9i

- install the modified kernel

- run it!

Watch out.. I didn't test it yet... but it started normally

without any error/warning and I can connect from a windows

box using Oracle DBA Studio.. I'll report more later after

some tests..

Thanks to all who replied and especially to Georg Kolterman

Best regards.

(http://daily.daemonnews.org/)

Az ISS egy puffer túlcsordulási hibát fedezett fel a sendmailben, amely akkor lép fel amikor a sendmail a headereket ellenőrzi. A hiba a sendmail összes verziójában jelen van az 5.79-es verziótól kezdve. A FreeBSD csapat is számos lépést tett a hiba elhárítására.

Bejelentés, patchek:From: FreeBSD Security Advisories

To: FreeBSD Security Advisories

Date: Mon, March 3, 2003 10:11 am

Subject: FreeBSD Security Advisory FreeBSD-SA-03:04.sendmail

------------------------------------------------

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

==============================

FreeBSD-SA-03:04.sendmail Security Advisory

The FreeBSD Project

Topic: sendmail header parsing buffer overflow

Category: contrib

Module: contrib_sendmail

Announced: 2003-03-03

Credits: Mark Dowd (ISS)

Affects: All releases prior to 4.8-RELEASE and 5.0-RELEASE-p4

FreeBSD 4-STABLE prior to the correction date

Corrected: 2003-03-03

FreeBSD only: NO

I. Background

FreeBSD includes sendmail(8), a general purpose internetwork mail routing facility, as the default Mail Transfer Agent (MTA).

II. Problem Description

ISS has identified a buffer overflow that may occur during header parsing in all versions of sendmail after version 5.79.

In addition, Sendmail, Inc. has identified and corrected a defect in buffer handling within sendmail's RFC 1413 ident protocol support.

III. Impact

A remote attacker could create a specially crafted message that may cause sendmail to execute arbitrary code with the privileges of the user running sendmail, typically root. The malicious message might be handled (and therefore the vulnerability triggered) by the initial sendmail MTA, any relaying sendmail MTA, or by the delivering sendmail process. Exploiting this defect is particularly difficult, but is believed to be possible.

The defect in the ident routines is not believed to be exploitable.

IV. Workaround

There is no workaround, other than disabling sendmail.

V. Solution

Do one of the following:

1) Upgrade your vulnerable system to 4-STABLE; or to the RELENG_5_0,

RELENG_4_7, or RELENG_4_6 security branch dated after the correction

date (5.0-RELEASE-p4, 4.7-RELEASE-p7, or 4.6.2-RELEASE-p10,

respectively).

[NOTE: At the time of this writing, the FreeBSD 4-STABLE branch is labeled `4.8-RC1'.]

2) To patch your present system:

The following patch has been verified to apply to FreeBSD 5.0, 4.7, and 4.6 systems.

a) Download the relevant patch from the location below, and verify the detached PGP signature using your PGP utility.

ftp://ftp.FreeBSD.org/pub/FreeBSD/C.../sendmail.patch

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...dmail.patch.asc

b) Execute the following commands as root:

# cd /usr/src

# patch
# cd /usr/src/lib/libsm

# make obj && make depend && make

# cd /usr/src/lib/libsmutil

# make obj && make depend && make

# cd /usr/src/usr.sbin/sendmail

# make obj && make depend && make && make install

3) For i386 systems only, a patched sendmail binary is available.

Select the correct binary based on your FreeBSD version and whether or not you want STARTTLS support. If you want STARTTLS support, you must have the crypto distribution installed.

a) Download the relevant binary from the location below, and verify the detached PGP signature using your PGP utility.

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...6-crypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...nocrypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...6-crypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...nocrypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...6-crypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...nocrypto.bin.gz

ftp://ftp.FreeBSD.org/pub/FreeBSD/C...ypto.bin.gz.asc

b) Install the binary. Execute the following commands as root. Note that these examples utilizes the FreeBSD 4.7 crypto binary. Substitute BINARYGZ with the file name which you downloaded in step (a).

# BINARYGZ=/path/to/sendmail-4.7-i386-crypto.bin.gz

# gunzip ${BINARYGZ}

# install -s -o root -g smmsp -m 2555 ${BINARYGZ%.gz} /usr/libexec/sendmail/sendmail

c) Restart sendmail. Execute the following command as root.

# /bin/sh /etc/rc.sendmail restart

VI. Correction details

The following list contains the revision numbers of each file that was corrected in FreeBSD.

Path Revision

Branch

- -------------------------------------------------------------------------

src/contrib/src/sendmail.h

src/contrib/sendmail/src/daemon.c

src/contrib/sendmail/src/headers.c

src/contrib/sendmail/src/main.c

src/contrib/sendmail/src/parseaddr.c

- -------------------------------------------------------------------------

VII. References

URL: http://www.kb.cert.org/vuls/id/398025

URL: http://www.iss.net/issEn/delivery/x...l.jsp?oid=21950

URL: http://www.cve.mitre.org/cgi-bin/cv...e=CAN-2002-1337

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.2.1 (FreeBSD)

iD8DBQE+Y4sVFdaIBMps37IRAudhAJ9eOnD1h6UOANKPpD4OW7

lTk3tjnwCfV4sW

1KK2fkVaPFNIDC7VEPh+Aew=

=lWwz

-----END PGP SIGNATURE-----

Murray Stokely - a FreeBSD Release Engineering Team tagja - bejelentett, hogy a FreeBSD 4.8-RC1 i386 mini ISO és az FTP telepítés már az ftp-master-eken vannak. Ahogy említette, az Alpha kiadás is rövidesen elérhető lesz. A terv az, hogy a FreeBSD 4.8 csak i386 és Alpha platformokra lesz majd elérhető. A FreeBSD 5.1 természetesen elérhető lesz majd a többi platformra is (sparc64, ia64, stb.).

Murray levele:Date: Sun, 2 Mar 2003 18:39:45 -0800

From: Murray Stokely

To: hubs@FreeBSD.org

Cc: re@FreeBSD.org

Subject: 4.8-RC1

i386 mini ISO and FTP installation directory are on ftp-master. Full disc1 coming later tonight. Alpha bits most likely coming later

tonight, but possibly early tomorrow.

No need to let me know when you have the bits -- this is just a heads up for admins that a few more gigabytes of data will be on ftp-master soon.

- Murray