Kernel

Egyesek szerint ritkán, mások szerint gyakran lehet a Linux kernel futása közben oops üzenetet fogni (az oops-ról bővebben hupwiki://oops). Hogy mi ilyen esetben a teendő, hogyan kell az oops üzeneteket kezelni és mit kell velük tenni, az jól le van írva a kernel forrásban található Documentation/oops-tracing.txt fileban.

Ha valakinek ez nem lenne érthető, de szeretné megtudni, hogy miért crash-elt a rendszere, annak jó kiindulópont lehet Denis Vlasenko mini-HOWTO-ja.Denis egy RFC-t postázott az LKML-re `` HOWTO find oops location'' tárggyal. A dokumentum egy konkrét példán keresztül lépésről lépésre bemutatja, hogy hogyan kell egy oops üzenetet nyomonkövetni (trace) és megállapítani a kernel forrásban a hiba helyét.

A HOWTO megtalálható itt.

Linus ma kiadta a Linux kernel 2.6.8-as verzióját. Az rc4-hez képest néhány sparc64, parisc frissítés került bele, de találunk benne hálózati driver, SATA és ARM patcheket is.

Ahogy Brad igérte, a GrSecurity project átköltözött egy új szerverre, több lehetőséggel. Új szerver pedig új kinézetet is jelent, plusz már az összes lapon látszik melyik az utolsó kiadás. A lap elérhető a http://www.grsecurity.net/ címen.

Jeff Garzik a Linux kernel jelenlegi SATA (serial ATA) driverének szerzője megunta, hogy rendszeresen elözönlik az olyan kérdések és bugreportok, amelyek arról szólnak, hogy ``A Linux nem támogatja a hardver SATA RAID-emet''.

Jeff az oldalán leírja, hogy az Intel ICH5/ICH5-R/ICH6/ICH6-R, VIA SATA RAID, Silicon Image SATA RAID, Adaptec 1210SA SATA RAID anyagok nem hardver RAID-ek, a Promise TX2 SATA, Promise TX4 SATA, Promise SX4 SATA RAID chipek pedig ugyan rendelkeznek több-kevesebb RAID képességekkel, de ennek ellenére ezek sem igazi hardver RAID eszközök.Ezért Jeff létrehozott egy Linux SATA RAID FAQ oldalt, amelyet melegen ajánl minden problémával küzdő SATA RAID tulajdonos figyelmébe...

A FAQ oldal itt.

A mai nap folyamán megjelent egy újabb rc kernel, és 3 órával később hozzá az első -mm patch is. Elérhető a szokásos helyen.rc4: patch-2.6.8-rc4.bz2

rc4-mm1: 2.6.8-rc4-mm1.bz2

Változások listája rc4-hez itt és az rc4-mm1-hez pedig itt érhető el.

Paul Starzetz az ISEC Security Research tagja egy kritikus hibát talált a Linux kernelben. A hiba érinti a
A hibát felfedező szakemberek állítják, hogy tapasztaltak már olyat, hogy az ssh-n keresztül bejelentkezett root felhasználó jelszava megmaradt a memóriában.

A hiba bejelentése itt.

Megjelent a GrSecurity patch 2.0.1-es verziója a 2.4.27-es és a 2.6.7-es kernelekhez rengeteg javítással/frissítéssel.

Brad hangúlyozza, hogy a 2.6.7-es verziót használók építsék be az egyéb biztonsági javításokat is, mert a 2.6.8-as kernelhez csak később lesz PaX patch a sok változás miatt.Megjelent a GrSecurity patch 2.0.1-es verziója a 2.4.27-es és a 2.6.7-es kernelekhez.

Brad hangúlyozza, hogy a 2.6.7-es verziót használók építsék be az egyéb biztonsági javításokat is, mert a 2.6.8-as kernelhez csak később lesz PaX patch a sok változás miatt.

Letöltés:

grsecurity-2.0.1-2.4.27.patch

grsecurity-2.0.1-2.6.7.patch

gradm-2.0.1.tar.gz

Sid-et használóknak lett egy repo is fixált libc6-al, egyebekkel:

deb http://grsecurity.net/debian/ unstable main

deb-src http://grsecurity.net/debian/ unstable main

Bejelentés:

From: spender@grsecurity.net

To: grsecurity@grsecurity.net

Subject: [grsec] grsecurity 2.0.1 released for Linux 2.4.27 and 2.6.7

grsecurity 2.0.1 has been released for Linux 2.4.27 and 2.6.7. gradm has

been updated to 2.0.1 for this release. This release includes PaX

updates, proper locking that resolves NULL pointer oopses that some were

experiencing, role de-authentication no longer requires a password, role

name and subject name are displayed with every log if the RBAC system is

enabled, the random TCP source ports feature won't fail before all ports

are used, IP-based role support has been added to special roles,

capability inheritance is fixed, the regular expression matching code

for RBAC objects has been enhanced to support expected results of

filename matching better and also handles [a-Z] style matching, stack

usage has been reduced, kernel memory usage has been reduced, domain

support has been added which allows you to group separate user roles

together in the RBAC system, fixed XFS sleep-on-locking errors in 2.6,

and automatic exploit bruteforcing deterrence, which delays an attack in

services like apache where a parent forks off several children all

sharing the same randomized address space layout and the attacker

attempts to bruteforce the children by exhausting every possible

randomized address. This release also fixes an important security issue

discovered by stealth which allowed an attacker to kill protected

processes in the RBAC system through a system call added recently to

Linux. The chroot restrictions were unaffected by the addition of the

system call. Some naming conventions were also changed, so

/etc/grsec/acl has become /etc/grsec/policy. gradm will automatically

move the file for you. gradm also supports directory including again,

and several bugs have been fixed.

If you're going to use 2.6.7, please also apply fixes for the numerous

security bugs present in that kernel. Due to significant changes in the

"stable" 2.6 tree that break much of PaX, a 2.6.8 patch may not be

coming soon.

Grsecurity has recently enlisted the help of former developer Michael

Dalton who will be focusing on userland changes. These changes will be

made initially for the Debian distribution and can be obtained by adding

the following lines to your /etc/apt/sources.list:

deb http://grsecurity.net/debian/ unstable main

deb-src http://grsecurity.net/debian/ unstable main

As of this writing, glibc 2.3.2 packages for i386 and sparc(64) are

available that include Stefan Esser's unlink sanity check and remove

LD_DEBUG for suid apps to prevent leaking of randomization information.

We will be moving to a new server shortly that will have more space for

these packages.

Thanks to my sponsors and everyone who has donated for making this possible.

Enjoy

-Brad

_______________________________________________

grsecurity mailing list

grsecurity@grsecurity.net

http://grsecurity.net/cgi-bin/mailman/listinfo/grsecurity

Marcelo tegnap kiadta a 2.4.27-os kernel hatodik kiadásra jelölt verzióját, amely pár typo javításon kívül semmi egyebet nem tartalmazott. A kiadáskor azt ígérte, hogy a végleges verzió pár óra múlva elérhető lesz.Ez később meg is történt, így hosszú szünet után újra van stabil 2.4-es Linux kernel. A 2.4.27 nem más, mint a 2.4.27-rc6 változtatások nélkül kiadott verziója.

A bejelentés, változások listája Marcelo levelében itt.

Letölthető patch, FULL

Ha valaki flame-et akar gerjeszteni bejáratott út a GPL licenc vs. BSD licenc kérdés. 100% biztos a siker, még erőlködni sem kell.

Pár nappal ezelőtt Linus kiadta a 2.6.8-rc3-as kernelt, amelyben megjelent egy x86-ra optimalizált assembly-ben írt AES (Advanced Encryption Standard) kód. A kód eredeti verzióját Dr. Brian Gladman írta még 2001-ben. Korábban Linus elutasította a kódot, mert úgy gondolta, hogy a licence nem teljesen GPL kompatibilis. Csak azután volt hajlandó foglalkozni a kóddal, miután a szerző beleegyezett a kód kettős licencelésébe.

A kódon dolgozott Jari Ruusu is, aki a kódbeolvasztás bejelentése után azzal állt elő, hogy a aes-i586.S fileon végzett munkája csakis az eredeti három cikkelyes BSD licenc alatt terjeszthető. Azt állította, hogy Linusnak nincs joga megváltoztatni az általa kiadott licencet, és felszólította, hogy vagy használja az eredeti BSD licencet, vagy távolítsa azt el a kernel forrásából.James Morris -aki a patchet eredetileg készítette- azt a kérdést tette fel Ruusu-nak, hogy vajon állíthat-e fel olyan megkötéseket, amelyek felülbírálják az eredeti szerző (Brian Gladman) döntését?

Linus jelezte, hogy azonnal dobja a kódot. A kóddal kapcsolatban a szándék az, hogy újraírásra kerül úgy, hogy az eredeti kóddal együtt megfeleljen a kettős licencelésnek.

Természetesen a dologból flame lett. Ruusu állította, hogy az engedélye nélkül nem lehet a kódot felhasználni GPL alatt. Linus arra kérte Ruusu-t, hogy haggya abba a patcheinek terjesztését. Mint írta, ha úgy gondolja, hogy a licenc nem GPL kompatibilis, akkor nincs joga arra, hogy kernel patch-ként terjessze. Vagy mondja azt, hogy GPL kompatibilis. De a kettő együtt nem megy. Ruusu azt írta, hogy maga a loop-AES kód nagy része GPL kompatibilis, csak bizonyos file-ok kerültek kevésbé szigorú licencelés alá (BSD). Linus erre azt válaszolta, hogy Ruusu egy kicsit zavartan beszél, jó lenne, ha eldöntené, hogy mit akar.

Ruusu próbálta felvilágosítani Linust a GPL működéséről, Linus pedig a maga igazát bizonygatta. Végül Ruusu elismerte, hogy 7 évvel ezelőtt olvasta a GPL licencet utoljára, és hogy tévedett. A munkáját elérhetővé tette GPL licenc alatt is, és engedélyezte a kód újra-licencelését. Linus örült, hogy Ruusu meggondolta magát.

Ezek után kíváncsi leszek, hogy a következő kiadásban benne lesz-e a patch vagy sem. A példából is látszik, hogy a fejlesztőknek mennyire kell vigyázniuk a kódok felhasználásakor. Bármikor előállhat valaki, aki pár percnyi népszerűségért (vagy anyagi haszont remélve) megkérdőjelezheti munkájának beolvasztását a kernelbe (vagy bármely szabad szoftverbe).

A thread itt és itt.

Linus ma kiadta a 2.6.8-as Linux kernel harmadik kiadásra jelölt verzióját. Benne számos kisebb javítás, driver frissítés kapott helyet.

Linus levele itt.