На wiki проекта FreeBSD появилось любопытное описание процесса запуска бинарного окружения CentOS 5 внутри FreeBSD jail. Предлагаемая технология основана на использовании Linux-эмулятора из ядра FreeBSD 8, но требует наложения патчей для linprocfs.
Вначале во FreeBSD устанавливается rpm4 и штатный порт emulators/linux_base-f10, выполненный на основе пакетов Fedora 10. После этого берётся установочный образ CentOS из которого в отдельном chroot-окружении вручную устанавливаются все rpm-пакеты. Далее настраиваются параметры jail, корень которого будет содержать установленную из rpm-пакетов иерархию директорий. После запуска Jail в созданное CentOS-окружение можно зайти по SSH и работать в нём как в полноценном Linux. Если Jail размещен на ZFS-разделе можно использовать снапшоты и создавать новые Jail на основе клонирования разделов. Из основных недостатков которые были обнаружены в данный момент, мож
... Читать дальше »
Выпущены отчёты об исправлении пяти уязвимостей, затрагивающих базовую систему всех поддерживаемых веток FreeBSD (RELENG_7, RELENG_8, RELENG_9):
Возможность удалённого исполнения кода через демон telnetd, который отключен в конфигурации по умолчанию с 2001 года. Проблема связана с переполнением буфера при приёме ключей шифрования по протоколу TELNET (выделяется фиксированный буфер и не проверяется размер поступающего ключа, хвост которого может выйти за пределы буфера). В итоге, неаутентифицированный злоумышленник, может выполнить код на сервере с правами telnet-демона, который как правило запускается под пользователем root. Уязвимости подвержены все системы, в которых активен telnetd и не закрыт связанный с ним сетевой порт;
Представлен третий, заключительный, кандидат в релизы FreeBSD 9.0. Если не произойдёт непредвиденных проблем, формирование сборки финального релиза начнётся через неделю. Установочные образы FreeBSD 9.0-RC3 доступны в форме bootonly, DVD и Memstick для платформamd64, i386, powerpc, powerpc64, ia64 и ... Читать дальше »
Организация FreeBSD Foundation объявила о проведении ежегодной инициативы по сбору средств для финансирования проекта FreeBSD в 2012 году. В настоящий момент собрано 200 тыс. долларов пожертвований, при годовом плане в 400 тыс. долларов. Следует отметить, что недобор половины от намеченной суммы наблюдался и в прошлые годы, обычно оставшуюся половину суммы удаётся собрать в декабре.
Среди областей, куда планируется потратить средства, можно выделить:
Выделение грантов, направленных на финансирование реализации поддержки новых технологий для FreeBSD. Среди профинансированных в этом году работ: создание драйвера для видеокарт Intel с поддержкой KMS/GEM; обеспечение поддержки пяти новых алгоритмов контроля перегрузки TCP; реализация альтернативного метода синхронизации времени; доведение до готовности к интеграции с деревом исходных текстов FreeBSD проекта DIFFUSE (DIstributed Firewall and Flow-shaper Using Statistical Evidence) и реализация
... Читать дальше »
В списке рассылки Full-Disclosure опубликован эксплоит, позволяющий удалённому злоумышленнику выполнить на сервере код с правами root, при условии если у атакующего имеется рабочий пользовательский аккаунт в системе, работа которого ограничена домашней директорией через помещение в chroot (во FreeBSD ftpd используется /etc/ftpchroot). Уязвимости также подвержены анонимные FTP-серверы, на которых пользователь имеет возможность записи в директорию /home или в /lib и /etc (например, системы анонимной загрузки файлов с доступным на запись корнем). Наличие уязвимости подтверждено в ftpd из состава FreeBSD 8.2 и в ProFTPD, включая последний выпуск 1.3.4a.
Анонсирован второй, предпоследний, кандидат в релизы FreeBSD 9.0. Финальный релиз можно ожидать в конце декабря. Установочные образы FreeBSD 9.0-RC2 доступны в форме bootonly, DVD и Memstick для платформ amd64, i386, powerpc, powerpc64, ia64 и sparc64. С обзором новшеств FreeBSD 9.0 можно познакомиться в тексте анонса первой бета-версии.
Для упрощения перехода с прошлых версий обеспечена возможность бинарного обновления с использованием утилиты freebsd-update для платформ i386 и amd64. Поддерживается обновление FreeBSD 7.[34]-RELEASE, 8.[12]-RELEASE или 9.0-BETA[123]/RC1:
Перед обновлением необходимо немного изменить код утилиты freebsd-update, добавив возможность использования символа '@' и '%' в именах файлов (иначе в процессе обновления будет выведена ошибка):
Представлен отчёт о развитии проекта FreeBSD с июля по сентябрь 2011 года.
Основные достижения:Сетевая инфраструктура
Представлен проект CARP2, в рамках которого предпринята попытка полностью переписать реализацию протокола CARP (Common Address Redundancy Protocol) для FreeBSD. Протокол CARP, выступая в роли открытой альтернативы протоколам HSRP (Hot Standby Router Protocol) и VRRP (Virtual Router Redundancy Protocol), позволяет организовать совместное использование IP-адреса между несколькими серверами в локальной сети, что может примен
... Читать дальше »
Анонсирован кандидат в релизы FreeBSD 9.0. Финальный релиз можно ожидать через 3-4 недели. Установочные образы FreeBSD 9.0-RC1 доступны в форме bootonly, DVD и Memstick для платформamd64, i386, powerpc, powerpc64, ia64 и
... Читать дальше »
В реализации UNIX-сокетов во всех поддерживаемых версиях FreeBSD (7.x, 8.x и 9.x) найдена серьезная уязвимость, позволяющая локальному пользователю поднять свои привилегии в системе (запустить код с правами root), выйти за пределы изолированного Jail-окружения и обойти различные механизмы ограничения доступа. Обходных путей блокирования уязвимостей не существует. Для устранения уязвимости требуется установка бинарных обновлений или применение патча с последующей пересборкой ядра (патч подходит и для уже не поддерживаемой ветки FreeBSD 6.x, которая также подвержена уязвимости).
Проблема присутствует в реализации Unix-сокетов, которые используют единые с сетевыми сокетами системные вызовы, но используют в качестве ар
... Читать дальше »