Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной уязвимости пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось).
Уязвимость вызвана переполнением буфера в коде разбора ICMP-сообщений, приходящих в ответ на проверочный запрос. Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышеннымми привилегиями (утилита поставляется с флагом setuid root). Обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета. Выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.
Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера. В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке. В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода. Опасность проблемы смягчает то, что в момент проявления ошибки, процесс находится в состоянии изоляции системных вызовов (capability mode), что затрудняет получение доступа к остальной системе после эксплуатации уязвимости.
<<<

Можно попробовать какой нибудь CentOS Stream…
да, как только они по дефолту уйдут с pulseaudio хотя бы на pipewire. там еще проблема, что под wayland нет привычного рабочего стола и я не знаю статус поддежки от nvidia.
2013-2022 я сидел на Oracle Linux 6
Ну, тогда можно сидеть на Devuan. Или Debian (из Debian можно) выпилить systemd, а пшш аудио необязательна там. Можно и на голой alsa сидеть. Есть поддержка pipewire.
да не, я говорю, не люблю школо-дистры. кто этот диван делает, - фиг знает.:(
Есть и старинные уважаемые дистры, генту и слака как минимум. А если ты про то, что за ними напрямую не стоят корпорации - так бзди такие же
за freebsd стоят. контрибьютят и спонсируют. что, видимо, не сильно помогает кодовой базе вцелом.
lol)))
Ну в ядро линукса тоже контрибьютят и спонсируют его
Ну, Debian не школо дистр. Да и systemd можно выпилить…но дело ваше.
ну а какой? я и работал с ним, и рапортовал баги. висят тоже бесконечно. комьюнити дистр, большая комьюнити - большой бардак. голосовать голосуют, а потом прогибаются под корпорации.
“выпилить” - это уже признак школьника и школодистра.
Если честно, я тебя не понимаю…это ведь линукс. Делай что хочешь.
Тогда, ставь Слаку…
проблема школо-линукса в его неоттестированности. все что-то делают, но никто не уделяет много усилий QA совместимости компонентов. редхат единственные, кто проводят (по мнению mv проводили) систематическое тестирование своей дистрибьюции. драйверы тестируются на их дистрибутиве. ПО от других корпораций. после работы в продакшене с разными дистрибутивами я опытным путем выяснил, что RHEL [по крайне мере было] самое то, что не взрывается само. для меня это ключевое.
у фряхи есть база, которую они якобы тестируют.
у openbsd тоже.
Ты советуешь покупать лицензию и ставить ЭТОТ продукт, создатели которого сотрудничают с ЦРУ? Ты совсем?
Это не про Debian.
у меня нет информации на этот счет
сегодня еще смотрел варианты solaris, open solaris. это постабильнее должно быть и zfs нормальный. но такой пакетный менеджер… я пока не догадался, как в нем Хы поставить.
Простой гуглеж. Наивно полагать, что это произошло без одобрения ЦРУ. Лично я крайне негативно отношусь к таким продуктам. Компания, которая присоединилось к бойкоту России и Белоруссии, у меня не вызывает теплых чувств.
Смотрел в сторону openindiana?
ну, ее и заинсталил без гуи. теперь не могу выяснить, как его поставить.
и что ты можешь мне рассказать про их QA? на зарплате или just for fun?
Я этим не интересовался. Думаю, есть и на зарплате. Да и пофиг. Работает нормально. Вот и все.
Как ты сказал, наивно полагать, что кучка добровольцев будут хорошо тестировать.
Пока не сломается. У меня другие критерии.
У них серьезный QA. Мне нечего добавить, так как я не знаю какие у тебя критерии.
proof?
в openindian’e по-прежнему ipf, старый соляровский файрвол. в оригинальной ос перешли на openbsdшный. он круче должен быть.
так что я бы оригинальную пробовал ставить, но хз, есть ли на нее такой же выбор пакетов, как на open.
короче говоря, у всей этой байды много сложностей и вопросов.
Я не знаю, какие критерии у тебя, но это все попахивает маргинальщиной…вот, посмотрел ихний баг тракер, и ужаснулся…
ничего массового не вижу. найди список для деба. традиционно долго баги висят.
Я имел в виду, что таких багов в Дебиане я не видал…например вот это
lightdm unable to switch to existing sessions.да я лет восемь назад рапортовал сегфолт, а потом считал, сколько он провисит… в сарже пофиксили, а в стейбле он еще полгода висел.
А сарж не староват для восьми лет назад?
не могу ручаться за свою память
Саржу лет 17, емнип. Я его на первом курсе универа покупал на двд в линуксцентре.
сейчас у меня в open solaris fc-cache начал падать на не тех файлах. любой дистрибутив, который я возьму, (и дебиан) обязательно будет содержать софт с ошибками. и меня эта падучесть опенсорса дико раздражает. хоть на windows server переходи.
Винда тоже бывает в корку падает с нихера, обычно из-за глючных дров.
точно знаешь? драйверы я бы подобрал, их немного.
Скажем так, я видел некоторое дерьмо, но это было на высоконагруженной системе.
я бы поставил в виртуалку. но торрент 20 гб, плюс инсталяция 30. :(
пытался ALMA/RHEL 9.1 поставить в виртуалке, так vbox additions (драйверы) не идут в поставке в виде RPM и даже не собираются компилятором. какой-то бред. корпоративное решение само с собой не дружит.:(
а VESA драйвер из RHEL 9 выкинули. в итоге нет графического режима. просто бред. чем дальше редхат катится, тем меньше я их понимаю.
А если попробовать поставить на KVM?
а под FreeBSD не работает сразу две виртуализации.
дебиановцы хотя бы молодцы, взяли LTS ядро 5.10. а редхатовцы 5.14, а 5.15 LTS не взяли, вот зачем они это делают…
Так поставь одну.
так я сразу несколько виртуальных машин могу использовать. часть у меня уже инсталирована в vbox. кучу времени тратить на все эти извраты со cli-виртуализацией.
Можно использовать
virt-manager.не во freebsd же
А ведь ты прав. Ничего не нашел про KVM. В freebsd handbook написано только про virtualbox, bhyve и xen. Ничего хорошего…
bhyve становится аналогом kvm на *bsd платформах.
vbox хорош именно кроссплатформенностью на linux, mac и bsd. но на bsd нет работы с usb и проброса.
Очень интересно. Спасибо за наводку. Нужно будет почитать.
и 20 лет во всех линуксах таскают перл ради старых скриптов…
Просто по субъективным наблюдениям, KVM работает лучше.
сейчас смотрю этот новый RHEL… запущен journald и rsyslogd. при этом файл настроек journald полностью чист (одни комменты). то есть по логике редхатовцев я должен знать все дефолты, с которыми он запущен??
даже тред создали без единого полезного ответа:(
https://unix.stackexchange.com/questions/529577/how-to-get-the-current-systemd-journald-running-configuration
зато теперь вместо простого
cat /etc/systemd/journald.confположено делать
@cocucka ты как программист видел этот изврат?? :()
В убунте эти 2 команды выдают одинаковый результат:
# This file is part of systemd. # # systemd is free software; you can redistribute it and/or modify it # under the terms of the GNU Lesser General Public License as published by # the Free Software Foundation; either version 2.1 of the License, or # (at your option) any later version. # # Entries in this file show the compile time defaults. # You can change settings by editing this file. # Defaults can be restored by simply deleting this file. # # See journald.conf(5) for details. [Journal] #Storage=auto #Compress=yes #Seal=yes #SplitMode=uid #SyncIntervalSec=5m #RateLimitIntervalSec=30s #RateLimitBurst=10000 #SystemMaxUse= #SystemKeepFree= #SystemMaxFileSize= #SystemMaxFiles=100 #RuntimeMaxUse= #RuntimeKeepFree= #RuntimeMaxFileSize= #RuntimeMaxFiles=100 #MaxRetentionSec= #MaxFileSec=1month #ForwardToSyslog=yes #ForwardToKMsg=no #ForwardToConsole=no #ForwardToWall=yes #TTYPath=/dev/console #MaxLevelStore=debug #MaxLevelSyslog=debug #MaxLevelKMsg=notice #MaxLevelConsole=info #MaxLevelWall=emerg #LineMax=48K #ReadKMsg=yesпонятно, что выдают один результат. тут претензия, что поттер переизобретает стандартные инструменты, как, например, cron.
Ты про journald.conf ? Ну там же написано:
# Entries in this file show the compile time defaults. # See journald.conf(5) for details.да тут уместно сказать, что я тупой:( вот из-за такой фигни последние годы и невозможно работать стало.
Судя по ману, конфиги journald могут находиться:
SYNOPSIS /etc/systemd/journald.conf /etc/systemd/journald.conf.d/*.conf /run/systemd/journald.conf.d/*.conf /usr/lib/systemd/journald.conf.d/*.conf /etc/systemd/[email protected]Моя не уверен, но вполне возможно, что команда systemd-analyze cat-config systemd/journald.conf должна выводить сводный список параметров из всех этих мест.
localhost ~ # mkdir -p /run/systemd/journald.conf.d/ localhost ~ # echo 'foo=bar' > /run/systemd/journald.conf.d/bla.conf localhost ~ # systemd-analyze cat-config systemd/journald.conf |grep bla # /run/systemd/journald.conf.d/bla.conf localhost ~ # systemd-analyze cat-config systemd/journald.conf |grep bar foo=barну да… сначала 4 диры для конфигов, а потом эти проблемы решаем…
Ну так… у каждой диры своё назначение - юниксвей йопт. =) Самое печальное что в Фряхе это перенимать начали… куда катится мир… эх.
да нету такого в unix way. там одна дира для конфигов. ну во фряхе две, ок, есть /usr/local/etc.
а вот, когда начинают делать windows-комбайны “все включено”, то начинается вот такое усложнение.
не знаю, может, все-таки надо поставить эту байду на реальное железо. уж больно фряха глючная. падает fsck и с raid массивом тоже явно как-то хреново работает, то звук заикнется, то вообще по-моему машину можно убить.
А почему именно RHEL? Сейчас все линуксы одинаковые: kernel+systemd+applications.
старый опыт на работе показал, что они лучше всех тестировались во времена RHEL6
https://linuxtalks.co/news/freebsd/41725?cid=42990
поставил официальный солярис. ораклы тоже облажались с бесплатной версией.
Accidentally, the package publisher was left pointing to the support repository which is not publicly available. One has to change it to the solaris/release publisher so that we can install packages from the public repository.
не смогли репу правильно прописать. все айти говно. и дебиан, и любое.
@odalist
Ненужно унывать.
Вот и говорю, что это дистрибутив, которым пользуются полтора землекопа.
это к проблеме тестирования, о которой я писал раньше. это ведь обычный гнутый софт обвалился. в других дистрах школо-линукса будет то же самое.
У меня такого нету…
ну а деб - это по сути филиал редхата
Да ладно…в тебе это злость говорит.
если не видел
https://linuxtalks.co/club/tox/11092?lastmod=1666085095987
вцелом дебиан неплохой дистрибутив
последний релиз индианы так и назвали: hipster:)
Как я понял это роллинг. Как arch linux.
такого тормозного pkg манагера, как в solaris, нигде не видел. буквально полчаса считает зависимости. даже yum бы давно отработал.
основная проблема в том, что RHEL после шестой версии, то есть версии семь и восемь скатились в г*вно. я сейчас пытаюсь девятую заинсталить в vbox и оно даже графический инсталятор не может запустить. то ли vesa больше нет в поставке, то ли еще что.
https://bugzilla.redhat.com/show_bug.cgi?id=1961092
А что? Там у них нету инсталятора с TUI? Как в Debian.
not anymore. они убили классику, какой-то чистый cmd line остался, но я хз, насколько он полноценный. сегодня инсталировался по VNC, потому что графика не стартовала. а вообще они там делают web-версию со всем известным названием cock+pit.
Слышал. Тут писали. Инсталятор, который занимает 6 гигов. Настоящий член Пита.
Странно это все.
а графический инсталятор с кнопками по углам не странно? они же там после шестой версии совсем с ума посходили.
сегодня смотрел еще OpenSuse. хоть там инсталятор классический. зато приветствует после входа в систему:
PackageKit has crashed. о чем я и говорю. в этом весь линукс.
Ну, не у всех ведь такое…У меня тот же самый Debian и Devuan работают нормально.
ну и честно сказать, дома с линукса хотелось бы срулить… все-таки дистр “с двумя часами” (дублирование systemd основных функций типа крона) это так се…
Solaris цельный и логичный, но говорят, что он там сдыхает
https://news.ycombinator.com/item?id=21266765
На OpenBSD было бы совсем круто перейти, но что делать без виртуализации??
Для меня этот вопрос давно закрыт. Видеокарта не поддерживается.
интересно, pipewire на solaris портировали уже или нет…
Не знаю. Думаю, что нет. Технология то новая…хотя на том самом Debian 11 работает нормально.
там выходит такой чеклист:
Так а чому только рхел из линуксов? Есть же другие дистрибутивы без системды
школьно-дистры не оч. интересуют
«школьно-дистры не оч. интересуют FreeBSD OpenBSD» лол.