Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

FreeBSD 13.2 bringt Updates und Features

12. April 2023 um 08:09

Die Entwickler von FreeBSD haben mit Version 13.2 die dritte Ausgabe im stabilen 13er-Zweig veröffentlicht und dabei eine ganze Reihe von aktualisierten Paketen integriert.

So kommt OpenSSH in Version 9.2p1 und OpenSSL in Ausgabe 1.1.1t. ZFS wurde auf OpenZFS Version 2.1.9 aktualisiert, Sendmail auf Version 8.17.1 und Sqlite auf die Version 3.40.1.

Dass der Bhyve-Hypervisor jetzt mehr als 16 virtuelle CPUs in einem Gast unterstützt, zählt zu den neuen Features. Standardmäßig erlaubt bhyve jedem Gast, die gleiche Anzahl von vCPUs zu erzeugen wie die Anzahl der physischen CPUs auf dem Host. Diese Grenze kann über die Loader-Tunable hw.vmm.maxcpu angepasst werden.

Dass sich nun Snapshots auf UFS-Dateisystemen erstellen lassen, wenn diese mit Journalde Soft-Updates betrieben werden, ist ebenfalls neu.

FreeBSD 13.2 ist für die Architekturen amd64, i386, powerpc, powerpc64, powerpc64le, powerpcspe, armv6, armv7, aarch64 und riscv64 verfügbar.

Der Beitrag FreeBSD 13.2 bringt Updates und Features erschien zuerst auf Linux-Magazin.

FreeBSD warnt vor Ping-Sicherheitslücke

06. Dezember 2022 um 09:48

Die Entwickler von FreeBSD haben ein Advisory für eine über das Ping-Programm ausnutzbare Sicherheitslücke herausgegeben. Über das Ping-Kommando könnte unter Umständen Schadcode eingeschmuggelt werden, heißt es in der Warnung der Entwickler.

Anwender von FreeBSD müssen ihr System auf den neuesten Stand bringen, um das Problem zu beheben, heißt es in der Meldung. Die jeweilige Vorgehensweise dafür ist im Advisory beschrieben.

Mit Ping lässt sich die Erreichbarkeit eines entfernten Hosts mit Hilfe von ICMP-Nachrichten testen. Um ICMP-Nachrichten zu senden und zu empfangen, verwendet Ping RAW-Sockets und benötige daher erhöhte Rechte, teilen die FreeBSD-Entwickler mit.

Ping lese IP-Pakete aus dem Netz, um die Antworten mit der Funktion pr_pack() zu verarbeiten.  Als Teil der Verarbeitung muss ping den IP-Header, den ICMP-Header und, falls vorhanden, ein “zitiertes Paket” rekonstruieren, das das Paket darstellt, das einen ICMP-Fehler erzeugt hat, teilt FreeBSD mit.  Das “quoted packet” habe wiederum einen IP-Header und einen ICMP-Header.

Die Funktion pr_pack() kopiere die empfangenen IP- und ICMP-Header zur weiteren Verarbeitung in Stack Buffers.  Und dabei entstehe das Problem, weil das mögliche Vorhandensein von IP-Options-Headern nach dem IP-Header weder in der Antwort noch in dem zitierten Paket berücksichtigt werde. Sei diese IP-Optionen vorhanden, überlaufe pr_pack() den Zielpuffer um bis zu 40 Bytes, heißt es weiter.

Dieser Speichersicherheitsfehler könne von einem entfernten Host ausgelöst werden und das Ping-Programm zum Absturz bringen.  Es sei auch möglich sein, dass ein bösartiger Host die eine Remotecodeausführung in Ping auslöse.

Der Beitrag FreeBSD warnt vor Ping-Sicherheitslücke erschien zuerst auf Linux-Magazin.

FreeBSD-Kernel bekommt experimentelle Rust-Patches

02. September 2022 um 08:20

Die Rust-Arbeiten an Linux zeigen, dass die Sprache auch im Kernel genutzt werden kann. Nun gibt es Experimente für FreeBSD.

Der Entwickler David Young hat experimentelle Patches erstellt, um Kernel-Module für FreeBSD in der Programmiersprache Rust erstellen zu können. Das berichtet Young zusammen mit einer sehr ausführlichen Erläuterung im Forschungsblog des IT-Sicherheitsunternehmens NCC Group.

Motivation der Arbeiten sind dabei die zahlreichen Speicherfehler, die im Zusammenhang mit der Nutzung von C und C++ auftreten, in denen bisher üblicherweise Betriebssystemkernel erstellt werden. Young schreibt dazu: “Es ist allgemein anerkannt, dass ein großer Teil der Sicherheitsprobleme in komplexer Software auf Speichersicherheitsprobleme zurückzuführen ist.” Die Sprache Rust helfe dagegen dabei, bestimmte Fehlerklassen im Zusammenhang mit der Speicherverwaltung vorzubeugen.

Young verweist darüber hinaus auf die Arbeiten am Linux-Kernel, um dort Rust als Sprache neben C zu etablieren. Auch diese Arbeiten sind primär durch die Sicherheitsperspektive motiviert. Das sieht auch Linux-Gründer Linus Torvalds als einen der Hauptvorteile der Arbeiten an. Für FreeBSD habe es bisher bis auf veralteten Beispielcode aber keine Arbeiten in diese Richtung gegeben, weshalb Young diese Arbeit nun wieder aufgenommen habe, schreibt er.

Der so entstandene Code steht nun auf Github bereit. Dabei handelt es sich unter anderem um Rust-Sprachanbindungen für die Kernel-Header von FreeBSD, eine sichere Abstraktionsschicht sowie ein Beispielmodul. Die Abstraktionen seien jedoch nicht so fortgeschritten, wie dies bei Linux der Fall sei, räumt Young ein. Darüber hinaus wünscht sich der Entwickler, dass diese Arbeiten weitergeführt und künftig eventuell auch Kern-Komponenten in Rust erstellt werden. Ob dies aber letztlich geschieht und der Code in den Hauptzweig von FreeBSD aufgenommen wird, ist derzeit noch nicht absehbar.

Der Beitrag FreeBSD-Kernel bekommt experimentelle Rust-Patches erschien zuerst auf Linux-Magazin.

OPNsense 22.7 bringt Updates

09. August 2022 um 09:09

Die Entwickler der freien Firewall OPNsense haben Version 22.7 mit dem Spitznamen “Powerful Panther” veröffentlicht. Die Firewall bietet unter anderem ein Upgrade auf FreeBSD 13.1, PHP 8.0, Phalcon 5, stacked VLAN und Unterstützung für Intel QuickAssist (QAT).

Letzteres soll für mehr Leistung bei der Verschlüsselung und dem Komprimieren von Daten sorgen Der DDoS-Schutz mit SYN-Cookies und MVC/API-Seiten für IPsec-Status zählen zu weiteren Neuerungen.

Dagegen soll die LibreSSL-Variante am Ende dieser Serie entfernt werden und dann wohl auch keine weitere Wartung erhalten, heißt es in der Ankündigung. Bei Software, die nicht richtig funktioniert, werde man das entsprechende Plugin von nun an aus diesem Flavour entfernen, damit die Software weiterhin auf die neuesten Versionen im OpenSSL-Ableger aktualisiert werden könne, heißt es weiter. Das nächste große Upgrade werde dann automatisch auf die OpenSSL-Variante umgestellt. Die Entwickler empfehlen aber, bereits zwischen den Versionen 22.7.x zu wechseln, um die Auswirkungen so gering wie möglich zu halten.

Der Beitrag OPNsense 22.7 bringt Updates erschien zuerst auf Linux-Magazin.

❌
❌