Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной уязвимости пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось).
Уязвимость вызвана переполнением буфера в коде разбора ICMP-сообщений, приходящих в ответ на проверочный запрос. Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышеннымми привилегиями (утилита поставляется с флагом setuid root). Обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета. Выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.
Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера. В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке. В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода. Опасность проблемы смягчает то, что в момент проявления ошибки, процесс находится в состоянии изоляции системных вызовов (capability mode), что затрудняет получение доступа к остальной системе после эксплуатации уязвимости.
<<<

Ты советуешь покупать лицензию и ставить ЭТОТ продукт, создатели которого сотрудничают с ЦРУ? Ты совсем?
Это не про Debian.
у меня нет информации на этот счет
сегодня еще смотрел варианты solaris, open solaris. это постабильнее должно быть и zfs нормальный. но такой пакетный менеджер… я пока не догадался, как в нем Хы поставить.
Простой гуглеж. Наивно полагать, что это произошло без одобрения ЦРУ. Лично я крайне негативно отношусь к таким продуктам. Компания, которая присоединилось к бойкоту России и Белоруссии, у меня не вызывает теплых чувств.
Смотрел в сторону openindiana?
ну, ее и заинсталил без гуи. теперь не могу выяснить, как его поставить.
и что ты можешь мне рассказать про их QA? на зарплате или just for fun?
Я этим не интересовался. Думаю, есть и на зарплате. Да и пофиг. Работает нормально. Вот и все.
Как ты сказал, наивно полагать, что кучка добровольцев будут хорошо тестировать.
Пока не сломается. У меня другие критерии.
У них серьезный QA. Мне нечего добавить, так как я не знаю какие у тебя критерии.
proof?
в openindian’e по-прежнему ipf, старый соляровский файрвол. в оригинальной ос перешли на openbsdшный. он круче должен быть.
так что я бы оригинальную пробовал ставить, но хз, есть ли на нее такой же выбор пакетов, как на open.
короче говоря, у всей этой байды много сложностей и вопросов.
Я не знаю, какие критерии у тебя, но это все попахивает маргинальщиной…вот, посмотрел ихний баг тракер, и ужаснулся…
ничего массового не вижу. найди список для деба. традиционно долго баги висят.
Я имел в виду, что таких багов в Дебиане я не видал…например вот это
lightdm unable to switch to existing sessions.да я лет восемь назад рапортовал сегфолт, а потом считал, сколько он провисит… в сарже пофиксили, а в стейбле он еще полгода висел.
А сарж не староват для восьми лет назад?
не могу ручаться за свою память
Саржу лет 17, емнип. Я его на первом курсе универа покупал на двд в линуксцентре.
сейчас у меня в open solaris fc-cache начал падать на не тех файлах. любой дистрибутив, который я возьму, (и дебиан) обязательно будет содержать софт с ошибками. и меня эта падучесть опенсорса дико раздражает. хоть на windows server переходи.
Винда тоже бывает в корку падает с нихера, обычно из-за глючных дров.
точно знаешь? драйверы я бы подобрал, их немного.
Скажем так, я видел некоторое дерьмо, но это было на высоконагруженной системе.
я бы поставил в виртуалку. но торрент 20 гб, плюс инсталяция 30. :(
пытался ALMA/RHEL 9.1 поставить в виртуалке, так vbox additions (драйверы) не идут в поставке в виде RPM и даже не собираются компилятором. какой-то бред. корпоративное решение само с собой не дружит.:(
а VESA драйвер из RHEL 9 выкинули. в итоге нет графического режима. просто бред. чем дальше редхат катится, тем меньше я их понимаю.
А если попробовать поставить на KVM?
а под FreeBSD не работает сразу две виртуализации.
дебиановцы хотя бы молодцы, взяли LTS ядро 5.10. а редхатовцы 5.14, а 5.15 LTS не взяли, вот зачем они это делают…
Так поставь одну.
так я сразу несколько виртуальных машин могу использовать. часть у меня уже инсталирована в vbox. кучу времени тратить на все эти извраты со cli-виртуализацией.
Можно использовать
virt-manager.не во freebsd же
А ведь ты прав. Ничего не нашел про KVM. В freebsd handbook написано только про virtualbox, bhyve и xen. Ничего хорошего…
bhyve становится аналогом kvm на *bsd платформах.
vbox хорош именно кроссплатформенностью на linux, mac и bsd. но на bsd нет работы с usb и проброса.
Очень интересно. Спасибо за наводку. Нужно будет почитать.
и 20 лет во всех линуксах таскают перл ради старых скриптов…
Просто по субъективным наблюдениям, KVM работает лучше.
сейчас смотрю этот новый RHEL… запущен journald и rsyslogd. при этом файл настроек journald полностью чист (одни комменты). то есть по логике редхатовцев я должен знать все дефолты, с которыми он запущен??
даже тред создали без единого полезного ответа:(
https://unix.stackexchange.com/questions/529577/how-to-get-the-current-systemd-journald-running-configuration
зато теперь вместо простого
cat /etc/systemd/journald.confположено делать
@cocucka ты как программист видел этот изврат?? :()
В убунте эти 2 команды выдают одинаковый результат:
# This file is part of systemd. # # systemd is free software; you can redistribute it and/or modify it # under the terms of the GNU Lesser General Public License as published by # the Free Software Foundation; either version 2.1 of the License, or # (at your option) any later version. # # Entries in this file show the compile time defaults. # You can change settings by editing this file. # Defaults can be restored by simply deleting this file. # # See journald.conf(5) for details. [Journal] #Storage=auto #Compress=yes #Seal=yes #SplitMode=uid #SyncIntervalSec=5m #RateLimitIntervalSec=30s #RateLimitBurst=10000 #SystemMaxUse= #SystemKeepFree= #SystemMaxFileSize= #SystemMaxFiles=100 #RuntimeMaxUse= #RuntimeKeepFree= #RuntimeMaxFileSize= #RuntimeMaxFiles=100 #MaxRetentionSec= #MaxFileSec=1month #ForwardToSyslog=yes #ForwardToKMsg=no #ForwardToConsole=no #ForwardToWall=yes #TTYPath=/dev/console #MaxLevelStore=debug #MaxLevelSyslog=debug #MaxLevelKMsg=notice #MaxLevelConsole=info #MaxLevelWall=emerg #LineMax=48K #ReadKMsg=yesпонятно, что выдают один результат. тут претензия, что поттер переизобретает стандартные инструменты, как, например, cron.
Ты про journald.conf ? Ну там же написано:
# Entries in this file show the compile time defaults. # See journald.conf(5) for details.да тут уместно сказать, что я тупой:( вот из-за такой фигни последние годы и невозможно работать стало.
Судя по ману, конфиги journald могут находиться:
SYNOPSIS /etc/systemd/journald.conf /etc/systemd/journald.conf.d/*.conf /run/systemd/journald.conf.d/*.conf /usr/lib/systemd/journald.conf.d/*.conf /etc/systemd/[email protected]Моя не уверен, но вполне возможно, что команда systemd-analyze cat-config systemd/journald.conf должна выводить сводный список параметров из всех этих мест.
localhost ~ # mkdir -p /run/systemd/journald.conf.d/ localhost ~ # echo 'foo=bar' > /run/systemd/journald.conf.d/bla.conf localhost ~ # systemd-analyze cat-config systemd/journald.conf |grep bla # /run/systemd/journald.conf.d/bla.conf localhost ~ # systemd-analyze cat-config systemd/journald.conf |grep bar foo=barну да… сначала 4 диры для конфигов, а потом эти проблемы решаем…
Ну так… у каждой диры своё назначение - юниксвей йопт. =) Самое печальное что в Фряхе это перенимать начали… куда катится мир… эх.
да нету такого в unix way. там одна дира для конфигов. ну во фряхе две, ок, есть /usr/local/etc.
а вот, когда начинают делать windows-комбайны “все включено”, то начинается вот такое усложнение.
не знаю, может, все-таки надо поставить эту байду на реальное железо. уж больно фряха глючная. падает fsck и с raid массивом тоже явно как-то хреново работает, то звук заикнется, то вообще по-моему машину можно убить.
А почему именно RHEL? Сейчас все линуксы одинаковые: kernel+systemd+applications.
старый опыт на работе показал, что они лучше всех тестировались во времена RHEL6
https://linuxtalks.co/news/freebsd/41725?cid=42990
поставил официальный солярис. ораклы тоже облажались с бесплатной версией.
Accidentally, the package publisher was left pointing to the support repository which is not publicly available. One has to change it to the solaris/release publisher so that we can install packages from the public repository.
не смогли репу правильно прописать. все айти говно. и дебиан, и любое.
@odalist
Ненужно унывать.
Вот и говорю, что это дистрибутив, которым пользуются полтора землекопа.
это к проблеме тестирования, о которой я писал раньше. это ведь обычный гнутый софт обвалился. в других дистрах школо-линукса будет то же самое.
У меня такого нету…
ну а деб - это по сути филиал редхата
Да ладно…в тебе это злость говорит.
если не видел
https://linuxtalks.co/club/tox/11092?lastmod=1666085095987
вцелом дебиан неплохой дистрибутив
последний релиз индианы так и назвали: hipster:)
Как я понял это роллинг. Как arch linux.
такого тормозного pkg манагера, как в solaris, нигде не видел. буквально полчаса считает зависимости. даже yum бы давно отработал.