Устранены уязвимости в ZFS, ntpd и BIND
Разработчики FreeBSD выпустили errata-уведомление об исправлении ряда ошибок во FreeBSD 8.0, связанных со стабильностью и производительностью
🕛 07.01.2010, 23:46
* Медленный реконнект NFS клиента при использовании TCP; * Крах ядра при попытке изменения файла в ZFS-снапшоте, находящимся в режиме только для чтения. Крах также наблюдается при использовании на ZFS разделе средств мандатного контроля доступа (при установке меток через mac_biba или mac_mls); * Возможность краха при перенаправлении IPv4 Multicast трафика. Потеря IGMP сообщений при их передаче от фильтра в ядре процессу маршрутизации в пользовательском окружении; * Крах при получении некорректного SCTP сообщения, инициирующего завершение установленного соединения; * Крах при передаче в системный вызов rename аргументов файлового пути, заканчивающихся на '/.'. Кроме вышеприведенных ошибок опубликована информация об исправлении трех уязвимостей в подсистемах, входящих в базовую поставку FreeBSD:
* При восстановлении целостного состояния ZFS после краха системы, созданные, но не сброшенные на диск, файлы восстанавливаются из ZIL лога (ZFS Intent Log) с некорректными правами доступа (0777), допускающими изменения любым пользователем. Проблема исправлена в ветках RELENG_8_0, RELENG_7_2 и RELENG_7_1. * DoS уязвимость во входящем в базовую поставку NTP-сервере. Атакующий может отправить специально оформленный фиктивный UDP пакет от имени другого NTP сервера, после чего эти два сервера начнут бесконечную "игру в пинг-понг", нагружая полностью сеть и CPU, а также переполняя диск интенсивно растущими логами. Проблема исправлена во всех поддерживаемых ветках FreeBSD (6.x, 7.x, 8.x). * В DNS сервере Bind исправлена проблема безопасности, дающая возможность злоумышленнику поместить некорректные данные в кэш из-за отсутствия повторной DNSSEC проверки для помещаемых в кэш данных, ранее запрошенных с флагом "Checking Disabled", подразумевающим отсутствие проверки только для текущего запроса. Для успешного проведения атаки DNS сервер должен поддерживать рекурсивное выполнения запросов и выполнять DNSSEC проверку для клиентов (отключение DNSSEC решает проблему).