The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw"  +/
Сообщение от opennews (ok), 21-Апр-20, 22:47 
В пакетном фильтре ipfw устранены две уязвимости в коде разбора опций TCP, вызванные некорректной проверкой данных в обрабатываемых сетевых пакетах. Первая уязвимость (CVE-2019-5614) при обработке определённым образом оформленных TCP-пакетов может привести к доступу к  памяти вне выделенного буфера mbuf, а вторая (CVE-2019-15874) к обращению к уже освобождённым областям памяти  (use-after-free)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52783

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. Скрыто модератором  +7 +/
Сообщение от Аноним (2), 21-Апр-20, 23:01 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  –14 +/
Сообщение от Grunman (ok), 21-Апр-20, 23:04 
Ответить | Правка | Наверх | Cообщить модератору

5. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +6 +/
Сообщение от Deanon (?), 21-Апр-20, 23:48 
Как всегда оперативно. Молодцы.
Ответить | Правка | Наверх | Cообщить модератору

86. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от ананим.orig (?), 23-Апр-20, 01:54 
> CVE-2019-5614
> 2019

.

Ответить | Правка | Наверх | Cообщить модератору

105. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от Аноним (105), 23-Апр-20, 15:37 
Чем Вы читаете?
"...(в stable-ветки исправления были внесены ещё в декабре прошлого года, но о том, что эти исправления связаны с устранением уязвимости стало известно только сейчас)..."
Ответить | Правка | Наверх | Cообщить модератору

6. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +19 +/
Сообщение от Аноним (6), 21-Апр-20, 23:51 
Уязвимости находятся и устраняются, потому что хороших людей в мире больше, чем плохих. Идет медленный, но созидательный процесс. Многим плохишам это не по нраву, ведь уязвимости позволяют вредить, шантажировать и эксплуатировать людей. Здесь все как в реале, только тоньше, изощренней и порой не так заметно. В отличии от реала, цифровой коммунизм вполне происходит на наших глазах и однажды полностью победит, закопав вонючих корпорастов и их кандалы.
Ответить | Правка | Наверх | Cообщить модератору

9. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +4 +/
Сообщение от Аноним (9), 22-Апр-20, 00:14 
Ох, хотелось бы верить в эту утопию...
Ответить | Правка | Наверх | Cообщить модератору

13. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +5 +/
Сообщение от Аноним (13), 22-Апр-20, 01:11 
Чем верить, лучше творить. Начни творить своими руками, расскажи ближнему о трудах твоих, и пусть он присоединится к тебе!
Ответить | Правка | Наверх | Cообщить модератору

44. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 22-Апр-20, 12:07 
Утопия - не создание идеального мира, утопия - убить волю человека. С убитой волей человек был бы подобен алгоритму. Воля человека не подвластна человеку, её нельзя заставить или попросить что либо сотворить или разрушить.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –2 +/
Сообщение от Аноним (10), 22-Апр-20, 01:00 
>закопав вонючих корпорастов и их кандалы.

Корпорациям в первую очередь выгодно развивать и улучшать, т.к. используют в работе. Анонимусы не обладают деньгами и компетенциями.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Аноним (-), 22-Апр-20, 01:08 
Выгодно далеко не всем.
Ответить | Правка | Наверх | Cообщить модератору

14. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Аноним (10), 22-Апр-20, 01:19 
>Выгодно далеко не всем.

Можно список корпораций, которым не выгодно?

Ответить | Правка | Наверх | Cообщить модератору

16. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от zzz (??), 22-Апр-20, 01:41 
Открой список фаундеров линукса - все там. Себе-то они напишут как надо, а все остальные путь довольствуются отрыжкой с барского стола. Сустемды плопали. ГТК3 слопали. nftables слопали. Какие еще вопросы.
Ответить | Правка | Наверх | Cообщить модератору

32. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –2 +/
Сообщение от нах. (?), 22-Апр-20, 09:04 
Вы это так говорите, как будто застрявший в середине XX века пакетный фильтр во фре - не по той же самой причине?

У всяких нетфликсов периметр очевидно не на фре, а жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратном.

Ответить | Правка | Наверх | Cообщить модератору

34. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от anonymous (??), 22-Апр-20, 09:55 
> жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратном

Juniper продаёт железо (с ПО внутри), а не само ПО. И Juniper заинтересован, чтобы их ПО работало хорошо (иначе никто не будет покупать железо). Таким образом они заинтересованы, чтобы с FreeBSD всё было хорошо)

Ответить | Правка | Наверх | Cообщить модератору

36. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 11:05 
> И Juniper заинтересован, чтобы их ПО работало хорошо

Так его ПО - работает хорошо.
А от фри ему нужен загрузчик и, возможно (я свечку не держал) драйвер сетевой карты. С первым все в полном порядке, со вторым - если повезет. А может и тот не нужен, и используется свой. Ни ipfw, ни pf ему не только нафиг не сдались, а чем хуже, тем лучше - потому что если будет бесплатно - кто же будет платить за SRX?!

Ответить | Правка | Наверх | Cообщить модератору

80. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от zzz (??), 22-Апр-20, 23:07 
Ты путаешь жунипер с циской, это как раз в последней линукс используется как запускатор для образов ios. В кишках джунос - полноценная фрюха, поэтому они и вваливаются в разработку.
Ответить | Правка | Наверх | Cообщить модератору

82. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 00:15 
> В кишках джунос - полноценная фрюха, поэтому они и вваливаются в разработку.

ну да, ты-то лично свечку держал?

asa как раз - вполне себе полноценный линух (здорово напоминающий кастрированный redhat), но из полезного, а не завернутого вместе с редхатом, от линуха она использует только драйверы. Для того и использует, чтоб денег за разработку не платить.

В ios-xr вообще rpm - но там даже драйверов не пригодилось, поскольку железо ни разу не похоже на обычное.

Из nexus можно вывалиться в bash - "но зачем?!"

Ответить | Правка | Наверх | Cообщить модератору

87. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от G0Dzilla (ok), 23-Апр-20, 04:23 
Из-за используемых для дистрибуции архивов вытекает, что дистр - Linux? Серьезно? Значит ли это, что в iPhone с Cydia работает Debian? А IBM под брендом AIX продает Fedora?
И, да - в Juniper внутри пока еще полноценный FreeBSD.
Ответить | Правка | Наверх | Cообщить модератору

88. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от zanswer (?), 23-Апр-20, 09:09 
IOS-XR использует ядро Linux, как в прочем и все остальные ОС Cisco, кроме AsyncOS она на базе FreeBSD, как и JunOS у Juniper.
Ответить | Правка | Наверх | Cообщить модератору

112. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 24-Апр-20, 23:02 
> IOS-XR использует ядро Linux

он не только ведро использует, там пол-редхата теперь поселилось, вместе с rpm.

> как в прочем и все остальные ОС Cisco

нет, обычный IOS и XE никакого линукса не содержат, они сами себе ос. Некоторые даже FAT толком не научились, используют свою fs времен 70х годов, не умеющую фрагментировать файлы (это железо активно продается, не какой-то мусор устаревший ;-)
Еще у кого-то там был rtos, а в пиксе, кажись, и вовсе qnx (по этой причине от его рождения и до самого EOL встроенный usb так и не заработал - никто из живущих не умеет писать драйвер usb для qnx ;)


Ответить | Правка | Наверх | Cообщить модератору

114. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 24-Апр-20, 23:20 
> Еще у кого-то там был rtos, а в пиксе, кажись, и вовсе
> qnx (по этой причине от его рождения и до самого EOL
> встроенный usb так и не заработал - никто из живущих не
> умеет писать драйвер usb для qnx ;)

Да ладно.  Мне достоверно известно, что #русскиехакеры с kpda.ru умеют заводить USB2 в промышленной железке CPC514 на базе "Эльбрус-4С" под своим вариантом QNX, который "Нейтрино-Э".  Я тоже умею, но мне проще (Linux).  Урежьте осетра ;)

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

117. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от zanswer (?), 25-Апр-20, 05:52 
Классический IOS да, но его в расчёт я не брал, всё таки его постепенно сворачивают. А IOS XE чуть более чем полностью состоит из Linux ядра и IOSd процесса внутри для Control Plane, правда в зависимости от версии IOS XE архитектура распределения функций между разными процессами внутри огромная.

А вот QNX ранее был у IOS XR в качестве ядра, которое запускало требуемые изолированные процессы IOS. У PIX до какой-то версии было своё, самописное ядро, которое заменили на Linux ядро, а потом и вовсе на ASA OS.

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

38. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –3 +/
Сообщение от Аноним (38), 22-Апр-20, 11:18 
> застрявший в середине XX века пакетный фильтр во фре

это вы про како из трех фаерволов? или про все?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

39. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от Аноним (39), 22-Апр-20, 11:32 
>> застрявший в середине XX века пакетный фильтр во фре
> это вы про како из трех фаерволов? или про все?

Эк ты категорично Пингвинчика опустил-то
https://www.kernel.org/doc/Documentation/networking/filter.txt
> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.

(если что - усиленно начинай мотать головой и гузочкой, повторяя "Выы!Фсеее!Вреееетиии!" и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!

Ответить | Правка | Наверх | Cообщить модератору

41. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от нах. (?), 22-Апр-20, 11:41 
> Эк ты категорично Пингвинчика опустил-то
> https://www.kernel.org/doc/Documentation/networking/filter.txt
>> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.

я конечно понимаю,что у глупых религиозных фанатиков не принято разбираться ни в чем, зато навык поверхностного гугления хорошо развит...
но можно ж было и поинтересоваться, где и как это используется?

Поздравляю, ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющий.

> и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!

ebpf тоже ни разу не файрвол. Это апи. Когда-то, двести лет назад, и правда имевший отношение к беркли (но не к bsd), но давным-давно уже ни на что не похожий.

Теоретически на нем можно и фиревал сделать - но пока что-то одна полуработающая херня получается. А вот userspace networking таки пейсбукам пригодился. Обратите внимание - не во фре, где он не слишком жизнеспособен.

Ответить | Правка | Наверх | Cообщить модератору

52. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –2 +/
Сообщение от Аноним (-), 22-Апр-20, 14:23 
>> Эк ты категорично Пингвинчика опустил-то
>> https://www.kernel.org/doc/Documentation/networking/filter.txt
>>> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.
> я конечно понимаю,что у глупых религиозных фанатиков не принято разбираться ни в чем, зато навык поверхностного гугления хорошо развит...
> но можно ж было и поинтересоваться, где и как это используется?

Я конечно понимаю, что у умных и все-все-все знающих похов не принято разбираться, что и куда постить - но почитать ветку целиком и немного подумать можно было?

> Поздравляю, ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющий.

Поздравляю - ты понял половину комментария. Теперь посмотри, выпилили уже LSF из Линукса (не должны, иначи доку удалили бы - за этим и выкопал) и расскажи нам, в чем принципиальная разница между ЭТИМ и тем же ipf, c его единственным пользователем (которые его и поддерживает)?
Или обычные двойные стандарты Линуксят - это считаем, это не считаем?

>> и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!
> ebpf тоже ни разу не файрвол. Это апи.

И че? BPF тоже API. А eBPF = Extended Berkeley Packet Filter.
> Когда-то, двести лет назад, и правда имевший отношение к беркли (но не к bsd), но давным-давно уже ни на что не похожий.

Имевший отношение к Berkeley но не к Berkeley Software Distribution? От оно че, Михалыч!


Ответить | Правка | Наверх | Cообщить модератору

54. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от Michael Shigorinemail (ok), 22-Апр-20, 15:45 
> Имевший отношение к Berkeley но не к Berkeley Software Distribution?
> От оно че, Михалыч!

Вас, если что, матёрый в т.ч. бздишник ткнул носом в Ваше непонимание.  И то, что продолжаете упорствовать -- характеризует Вас и только Вас.

Одумайтесь.

Ответить | Правка | Наверх | Cообщить модератору

55. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от Аноним (55), 22-Апр-20, 17:20 
>> Имевший отношение к Berkeley но не к Berkeley Software Distribution?
>> От оно че, Михалыч!
> Вас, если что, матёрый в т.ч. бздишник ткнул носом в Ваше непонимание.

Придумав и оспорив по ходу чуть ли не 2/3 "ткнутого"? Это да, это он может.
Да и ловили этого "матерого знатока" уже не раз на откровенном пи*деже или как минимум, игнорировании "неудобных" фактов и фактиков.

>  И то, что продолжаете упорствовать -- характеризует Вас и только Вас.
> Одумайтесь.

То, что Вы не разобравшись влезли в обсуждение, да еще и бросаетесь обвинениями - характеризует Вас точно так же.
А ведь достаточно не верить форумным знатокам "на слово" и почитать самому:
https://lwn.net/Articles/740157/
> A thorough introduction to eBPF
> The original Berkeley Packet Filter (BPF) [PDF] was designed

Это одновременно и ссылка. Пройдя по ней и открыв PDF, любой желающий и умеющий cможет прочесть:
> December 19, 1992
> Lawrence Berkeley Laboratory
> The BSD Packet Filter:
>  This paper describes the BSD Packet Filter, BPF, a new kernel architecture for packet capture.

------------
На этом можно бы и закончить, но так и быть, только сегодня, немного бонусного материала:
Внимательный читатель, не обделенный толикой любознательности, может так же найти упомянутые API прямиком в "не имеющей отношения"
https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=9&n=1
> bpf_tap(struct ifnet *ifp,    u_char *pkt, u_int *pktlen);

а заглянув в код, обнаружить реализацию представленной в этом любопытном документе BPF-машины
> The BPF Pseudo-Machine
> Table 1: BPF Instruction Set

/usr/src/sys/net/bpf.h


*      @(#)bpf.h 8.1 (Berkeley) 6/10/93
* @(#)bpf.h 1.34 (LBL)     6/16/96

/* ld/ldx fields */
#define BPF_SIZE(code) ((code) & 0x18)
#define  BPF_W  0x00
#define  BPF_H  0x08
#define  BPF_B  0x10
/*    0x18 reserved; used by BSD/OS */
#define BPF_MODE(code) ((code) & 0xe0)
#define  BPF_IMM  0x00
#define  BPF_ABS  0x20
#define  BPF_IND  0x40
#define  BPF_MEM  0x60
#define  BPF_LEN  0x80
#define  BPF_MSH  0xa0
/*    0xc0 reserved; used by BSD/OS */
/*    0xe0 reserved; used by BSD/OS */

/* alu/jmp fields */
#define BPF_OP(code) ((code) & 0xf0)
#define  BPF_ADD  0x00
#define  BPF_SUB  0x10
#define  BPF_MUL  0x20
#define  BPF_DIV  0x30
#define  BPF_OR  0x40
#define  BPF_AND  0x50
#define  BPF_LSH  0x60
#define  BPF_RSH  0x70
#define  BPF_NEG  0x80
#define  BPF_MOD  0x90
#define  BPF_XOR  0xa0

Любой внимательный читатель (даже с пингвинчиком на маечке), не сможет не заметить "некоторое сходство" с появившимся на два десятка лет позднее:
https://github.com/torvalds/linux/blob/master/include/uapi/l...


/* ld/ldx fields */
#define BPF_SIZE(code)  ((code) & 0x18)
#define        BPF_W        0x00 /* 32-bit */
#define        BPF_H        0x08 /* 16-bit */
#define        BPF_B        0x10 /*  8-bit */
/* eBPF        BPF_DW        0x18    64-bit */
#define BPF_MODE(code)  ((code) & 0xe0)
#define        BPF_IMM        0x00
#define        BPF_ABS        0x20
#define        BPF_IND        0x40
#define        BPF_MEM        0x60
#define        BPF_LEN        0x80
#define        BPF_MSH        0xa0

/* alu/jmp fields */
#define BPF_OP(code)    ((code) & 0xf0)
#define        BPF_ADD        0x00
#define        BPF_SUB        0x10
#define        BPF_MUL        0x20
#define        BPF_DIV        0x30
#define        BPF_OR        0x40
#define        BPF_AND        0x50
#define        BPF_LSH        0x60
#define        BPF_RSH        0x70
#define        BPF_NEG        0x80
#define        BPF_MOD        0x90
#define        BPF_XOR        0xa0


Удивительнейшие совпадения самих опкодов, как и наименования, порядка определения, форматирования и даже комментариев с "неимевшей отношения".

Но раз, цуко, местный "гуру" говорит что это совпадение и на самом деле оно "не похоже", то наверняка так и есть - чего только, лять, не бывает!

Ответить | Правка | Наверх | Cообщить модератору

63. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от Аноним (63), 22-Апр-20, 18:52 
>> The BPF Pseudo-Machine
>> Table 1: BPF Instruction Set
> /usr/src/sys/net/bpf.h

Небольшое дополнение и объяснение к бонусному материалу:
первый листинг - из современной фри, второй, как можно догадаться по ссылке - из пингвинчика.
Но с фрей я немного сглупил, ведь 96 год слишком молодежный!

Надо было NET/2 (4.3 BSD) вставлять, поэтому пусть будет еще одним бонусом:

https://minnie.tuhs.org/cgi-bin/utree.pl?file=Net2/usr/src/s...


* This code is derived from the Stanford/CMU enet packet filter,
* (net/enet.c) distributed as part of 4.3BSD, and code contributed
* to Berkeley by Steven McCanne of Lawrence Berkeley Laboratory.

@(#)bpf.h    7.1 (Berkeley) 5/7/91 *
* @(#) $Header: bpf.h,v 1.20 91/04/24 22:06:24 mccanne Locked $ (LBL)

/* ld/ldx fields */
#define BPF_SIZE(code)    ((code) & 0x18)
#define        BPF_W        0x00
#define        BPF_H        0x08
#define        BPF_B        0x10
#define BPF_MODE(code)    ((code) & 0xe0)
#define        BPF_IMM     0x00
#define        BPF_ABS        0x20
#define        BPF_IND        0x40
#define        BPF_MEM        0x60

<snip - все точно так же как в первом>

#define        BPF_JGT        0x20
#define        BPF_JGE        0x30
#define        BPF_JSET    0x40
#define BPF_SRC(code)    ((code) & 0x08)
#define        BPF_K        0x00
#define        BPF_X        0x08

Ответить | Правка | Наверх | Cообщить модератору

70. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от тигар (ok), 22-Апр-20, 20:33 
Да. неудобненько получилось. Мишенька, тред снесешь или как поступишь?:-)
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

79. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –2 +/
Сообщение от нах. (?), 22-Апр-20, 22:41 
Скажи, ты тоже разницу между мягким и теплым осилить не в состоянии?

Мда... я-то наивно полагал что среди здешних bsdшников уровень развития чуть получше чем у л@п4атых, но, похоже, никакой разницы. Такие же просто феноменально глупые.

Самое смешное, что bpf - действительно фильтрует пакеты. Как и pf. Можно даже добавить - что тот и другой их фильтруют между интерфейсами. Дальше есть малозначительная разница. Непонимание которой и является критерием полной безмозглости.

Так что да, можно сносить тред - в споре с идиотом всегда участвуют минимум два идиота.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

81. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от zzz (??), 22-Апр-20, 23:13 
Сеанс переобувания в прыжке:
>ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющий

cспустя 6 сообщений
>bpf - действительно фильтрует пакеты

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

106. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от тигарэтоя (?), 23-Апр-20, 17:36 
как будто бы наху впервой такое проворачивать.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

78. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от нах. (?), 22-Апр-20, 22:30 
> Теперь посмотри, выпилили уже LSF из Линукса

не выпилили, валяется в дальнем темном углу - никем не используется, и не будет, как и двадцать лет назад.

> и расскажи нам, в чем принципиальная разница между ЭТИМ и тем же ipf

мальчик, извини, но ты просто феноменально альтернативно одарен. Я не могу тебе рассказать в чем принципиальная разница между мягким и теплым, извини уж.
ipf это был (давно умер) файрвол такой. bpf - это такой интерфейс в ядре для программ. Если до тебя до сих пор не дошло в чем "разница" - тебе лучше попробовать кодить в markdown, там все такие.

> Имевший отношение к Berkeley но не к Berkeley Software Distribution?

Внезапно, университет Беркли - не только операционную систему произвел, да, еще и некоторое количество просто универсальных api.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

93. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Аноним (93), 23-Апр-20, 11:01 
Мальчик, тебя кто к компьютеру допустил?
Ответить | Правка | Наверх | Cообщить модератору

40. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 11:34 
нет, ну зачем же все - ipf это не середина, это первая треть ;-)

На самом деле да - в "2k20" польза от пакетных фильтров сильно преувеличена (и, как видишь, есть вполне реальный вред)

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

57. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Аноним (57), 22-Апр-20, 17:54 
С юбилеем )
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –4 +/
Сообщение от анонимуслинус (?), 22-Апр-20, 01:03 
т.е. в файрволле фряхи такие дыры? возникает вопрос о том , что за профи его писали и не проверили свой же код(ну тут известно кто). тут скорее  вопрос о их компетентности в сфере той самой безопасности.
Ответить | Правка | Наверх | Cообщить модератору

17. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –2 +/
Сообщение от zzz (??), 22-Апр-20, 01:44 
Удивляться "дырам" во фрюхе, закрывая глаза на девляпиксовый nftables, в котором баги находят каждую неделю. Ок. Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?
Ответить | Правка | Наверх | Cообщить модератору

29. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от нах. (?), 22-Апр-20, 08:53 
> Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?

после того как перестал, ты хотел сказать? Да лет десять уже как.

iptables был изначально написан не так уж плохо, я не помню в нем, а не в самом tcp-стеке удаленно-используемых уязвимостей. Но тогда в нем не было прекрасного sctp, dccp и кучи другого вредного корявого мусора.
Правда, попутно в нем не было много чего другого, что было в ipchains, и что обещали как-только-так-сразу. Но что-то сперва все было недосуг, а потом и вовсе некому.

Ответить | Правка | Наверх | Cообщить модератору

51. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от имя (ok), 22-Апр-20, 13:58 
> Правда, попутно в нем не было много чего другого, что было в ipchains

А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне любопытно стало, но я не настолько сетевик и перечитывать весь tldp двадцатилетней давности явно не осилю.

Ответить | Правка | Наверх | Cообщить модератору

66. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от нах. (?), 22-Апр-20, 19:11 
>> Правда, попутно в нем не было много чего другого, что было в ipchains
> А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне

прежде всего, вот этого:
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo
  tcp opt   ---f- tos 0xFF 0x00  via lo    192.168.1.1  -> 192.168.1.2    * ->   *
packet accepted
  tcp opt   ---f- tos 0xFF 0x00  via lo    192.168.1.2  -> 192.168.1.1    * ->   *
packet accepted

- то есть, если у тебя что-то в сложном нетривиальном файрволе не работает, теперь ты можешь только гадать и вручную рассовывать -j LOG во все подозрительные места, а потом может месяц ждать пакета, если не ты контролируешь оба конца, снова его потерять, повторять пока не получится - а не просто взять и посмотреть, какая конкретно группа правил решила отправить пакет в /dev/null и одна ли она такая.

Причем Ржавый мамой клялся, что всьо-всьо починит, как только так сразу, а потом куда-то девался. Наверное, его убили и съели.

Ну и до кучи - угадай, кто из них выжил:
net/ipv4/ip_masq_app.c      net/ipv4/ip_masq_mod.c
net/ipv4/ip_masq_autofw.c   net/ipv4/ip_masq_portfw.c
net/ipv4/ip_masq.c          net/ipv4/ip_masq_quake.c
net/ipv4/ip_masq_cuseeme.c  net/ipv4/ip_masq_raudio.c
net/ipv4/ip_masq_ftp.c      net/ipv4/ip_masq_user.c
net/ipv4/ip_masq_irc.c      net/ipv4/ip_masq_vdolive.c
net/ipv4/ip_masq_mfw.c
(да, обрати внимание, что userspace хелпер тоже был, поэтому multiple gre nat не был в те времена недостижимым чудом. Тоже кто-то тогда мамой клялся, что вот-вот, интерфейсы стабилизируются, и он нам напишет работающий - и даже интерфейс есть, правило честно создается. Хелпер - ПИШУТЪ! ДВАДЦАТЬ гребаных лет!)


Ответить | Правка | Наверх | Cообщить модератору

18. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –3 +/
Сообщение от Вася (??), 22-Апр-20, 04:13 
Фуу то в чём фряха была авторитет - такой зашквар... Тьюринг всем дыр оставил ))
Ответить | Правка | Наверх | Cообщить модератору

23. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –5 +/
Сообщение от КО (?), 22-Апр-20, 07:15 
"2019"
Ауч!
Ответить | Правка | Наверх | Cообщить модератору

24. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Ivan_83 (ok), 22-Апр-20, 07:16 
Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
Ответить | Правка | Наверх | Cообщить модератору

26. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от нах. (?), 22-Апр-20, 08:03 
> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.

все кто хотели обновляться ради обновления - имели.
Кто верили в сказочку про штабильность - сколько ни обновляйся, в релизную ветку ничего не попадало.

А stable может иногда просто не собираться вообще - такая вот шта6ильность.

Ответить | Правка | Наверх | Cообщить модератору

28. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Ivan_83 (ok), 22-Апр-20, 08:49 
Я на стабле сижу, она бывает не собирается 1-2 дня в году и чинится это очень быстро.
Ответить | Правка | Наверх | Cообщить модератору

30. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +3 +/
Сообщение от нах. (?), 22-Апр-20, 08:55 
Ну не все же наслаждаются страданием. Кому-то (наивному) хочется чтоб работало, а не пересобирать без конца. А оно - вот.

Ответить | Правка | Наверх | Cообщить модератору

50. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Ivan_83 (ok), 22-Апр-20, 13:10 
Приключения - в карренте.
В релизах - застой совсем, оно может для ленивого продакта годится, где полтора админа и те калеки.
Продакт который могёт - он на каретне сидит и контрибутит.
Ответить | Правка | Наверх | Cообщить модератору

71. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 22-Апр-20, 20:39 
с карентом тоже не все просто на самом деле:) у меня вот 2 стойки карентов есть с zfs-on-root и от 4 Тб данных на каждом сервере в raid10. Но сетапил крайне давно, пихая диски целиком. а потом рраз и переделали поиск загрузчика(?), теперь оно весь диск не taste`д. разделы подавай, коих нет. какое-то время жил, ревертя 2 коммита, но потом и это отломали, а разбираться уже лень, сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на нем решил заморозиться пока что) :-)
Ответить | Правка | Наверх | Cообщить модератору

103. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от Ivan_83 (ok), 23-Апр-20, 14:33 
ССЗБ :)
Плохая идея юзать ZFS для загрузки и вообще для системы, ИМХО.
Ответить | Правка | Наверх | Cообщить модератору

104. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 23-Апр-20, 15:15 
> ССЗБ :)
> Плохая идея юзать ZFS для загрузки и вообще для системы, ИМХО.

чем она плохая ?

Ответить | Правка | Наверх | Cообщить модератору

110. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от Ivan_83 (ok), 23-Апр-20, 21:34 
Переусложнение на ровном месте без каких либо профитов.
UFS основная система и лучше юзать её, если только это не что то особенное, но в последнем случае рассчитывать что оно будет всегда так работать само - не стоит, ибо мало кто этим пользуется и уж тем более никто не знает о частных особенностях использования.
Ответить | Правка | Наверх | Cообщить модератору

111. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от тигар (ok), 23-Апр-20, 22:32 
> Переусложнение на ровном месте без каких либо профитов.
> UFS основная система и лучше юзать её, если только это не что
> то особенное, но в последнем случае рассчитывать что оно будет всегда
> так работать само - не стоит, ибо мало кто этим пользуется
> и уж тем более никто не знает о частных особенностях использования.

т.е предлагаешь на UFS городить raid10 объемом от 4Тб(самое "мелкое" что есть) ? cпасибо, я рядом лучше пройду. а от su+j у меня до сих пор задница дымится, когда это только втащили, хорошо что то десктоп был.

Ответить | Правка | Наверх | Cообщить модератору

113. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от нах. (?), 24-Апр-20, 23:04 
> а от su+j у меня до сих пор задница дымится, когда это только втащили

wokrs as intended! (c) МакКузик, а не какой лох с полки.

Но верующие все равно верят что "ufs - надежно!"

Ответить | Правка | Наверх | Cообщить модератору

116. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Ivan_83 (ok), 25-Апр-20, 04:33 
Для системы 4тб не нужно, а про хранение данных на зфс я ничего не говорил.

SU рулит, а вот журналирование и правда какая то лажа в случае сбоев.
Поотключал везде - пусть уж лучше оно долго проверяется чем иметь подземные стуки.
У меня дома данные на UFS хранятся, особых проблем не заметил.
Было один раз поймано что данные повреждаются в конкретно одном файле, но я так и не понял почему: или потому что раздел был забит под 100% или потому что снизу геом или ещё по какой то причине.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

118. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 25-Апр-20, 11:33 
> раздел был забит под 100%

Вы же в курсе, что такая ФС в общем случае не может быть быстрой?
Где-то после 90--95% наступает резкое падение производительности.
Думаю, исключение -- линейная архивная запись на чистую ФС.

Ответить | Правка | Наверх | Cообщить модератору

121. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 29-Апр-20, 13:22 
>[оверквотинг удален]
> ничего не говорил.
> SU рулит, а вот журналирование и правда какая то лажа в случае
> сбоев.
> Поотключал везде - пусть уж лучше оно долго проверяется чем иметь подземные
> стуки.
> У меня дома данные на UFS хранятся, особых проблем не заметил.
> Было один раз поймано что данные повреждаются в конкретно одном файле, но
> я так и не понял почему: или потому что раздел был
> забит под 100% или потому что снизу геом или ещё по
> какой то причине.

ну, если иметь отдельный девайс для бута то и пофиг что там будет, ufs или zfs. Пересетапить даже с 0 ОС без проблем, не трогая данные. Но в моем случае это слишком жирно - забивать 1(а лучше 2) "дырки" сервера под бутовые диски. всякие DOM/usb флешки, конечно, вар-т. Но лучше нет.

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

115. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 24-Апр-20, 23:23 
> сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на
> нем решил заморозиться пока что) :-)

...из жизни крупных коша^Wбездельников... :-)

(не, реально, местами сочувствую, но Вы ж помните тот анекдот про летать и выпендриваться)

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

119. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 29-Апр-20, 13:18 
>> сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на
>> нем решил заморозиться пока что) :-)
> ...из жизни крупных коша^Wбездельников... :-)
> (не, реально, местами сочувствую, но Вы ж помните тот анекдот про летать
> и выпендриваться)

так а сказать-то ты чего хотел? я пытался понять, но не смог.

Ответить | Правка | Наверх | Cообщить модератору

120. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 29-Апр-20, 13:22 
"Надо же так себе проблемы на пятую точку умудряться находить".
Ответить | Правка | Наверх | Cообщить модератору

122. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 29-Апр-20, 13:23 
> "Надо же так себе проблемы на пятую точку умудряться находить".

какими будут твои, конструктивные, предложения ?

Ответить | Правка | Наверх | Cообщить модератору

123. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 29-Апр-20, 13:27 
>> "Надо же так себе проблемы на пятую точку умудряться находить".
> какими будут твои конструктивные предложения ?

Сам стараюсь сочетать задачи и инструменты подходящим образом.
В частности, не пихать любимые инструменты вообще везде.
Вам что-либо предлагать, не зная ситуации, не стану.

Ответить | Правка | Наверх | Cообщить модератору

124. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 29-Апр-20, 14:01 
>>> "Надо же так себе проблемы на пятую точку умудряться находить".
>> какими будут твои конструктивные предложения ?
> Сам стараюсь сочетать задачи и инструменты подходящим образом.
> В частности, не пихать любимые инструменты вообще везде.
> Вам что-либо предлагать, не зная ситуации, не стану.

но пройти мимо просто так не смог, правда?:)
окей. вот тебе задача: хранить много файлов и раздавать их по http. расскажи чем "любимые инструменты" (на фоне какого-нибудь Божественного Альтлинакс) не подходят.

Ответить | Правка | Наверх | Cообщить модератору

125. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Michael Shigorinemail (ok), 29-Апр-20, 14:09 
> но пройти мимо просто так не смог, правда?:)

Да я же практиццки дружжски ;]

> окей. вот тебе задача: хранить много файлов и раздавать их по http.

Если несколько терабайт (куда регулярно пишут rsync'и) и раздавать по гигабиту -- с таким у меня на ftp.linux.kiev.ua справлялся двуствольный оптерон (до того одноствольный, а ранее вообще duron, но тогда и канал был соточка).  Из софта -- альт 2.4, xfs, nginx.

> расскажи чем "любимые инструменты" (на фоне какого-нибудь
> Божественного Альтлинакс) не подходят.

Гм, перечитал #71 -- зачем-то zfs, а тем более загрузчик на дисках с данными -- это же неудобства на ровном месте при обновлении дисков.

Кроме DoM и уж всяко лучше даже неплохих USB-флэшек (если это не UAS с настоящим SSD внутри) порой колхозил небольшие SSD, например, в 2,5" держатель вместо DVD-ROM (такие бывают, ссылку быстро не соображу).

До того обычно выделял два дискоместа и под систему делал зеркало.

Ответить | Правка | Наверх | Cообщить модератору

126. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 29-Апр-20, 16:29 
>> но пройти мимо просто так не смог, правда?:)
> Да я же практиццки дружжски ;]
>> окей. вот тебе задача: хранить много файлов и раздавать их по http.
> Если несколько терабайт (куда регулярно пишут rsync'и) и раздавать по гигабиту --
> с таким у меня на ftp.linux.kiev.ua справлялся двуствольный оптерон (до того
> одноствольный, а ранее вообще duron, но тогда и канал был соточка).
>  Из софта -- альт 2.4, xfs, nginx.

"В частности, не пихать любимые инструменты вообще везде." (С) во всей красе, чо.
а так то да, 2Гбита в бондинге, минимум что у меня есть. Процы, хз, что было. хеоны 2603 v2-4, и 2 дерьмосервера с E5606. прям даже не знаю почему ты модели/сокеты начал упоминать. они там вообще примерно ни на фига не влияют.

>> расскажи чем "любимые инструменты" (на фоне какого-нибудь
>> Божественного Альтлинакс) не подходят.
> Гм, перечитал #71 -- зачем-то zfs, а тем более загрузчик на дисках
> с данными -- это же неудобства на ровном месте при обновлении
> дисков.
> Кроме DoM и уж всяко лучше даже неплохих USB-флэшек (если это не
> UAS с настоящим SSD внутри) порой колхозил небольшие SSD, например, в
> 2,5" держатель вместо DVD-ROM (такие бывают, ссылку быстро не соображу).

чтобы не ждать пока FS прочекается из-за падения питания/чего-либо еще. про загрузчик и DOM я в том же сообщении (?) писал.
> До того обычно выделял два дискоместа и под систему делал зеркало.

а я просто забиваю все возможные корзинки шпинделями (2 дерьмосервера только с 4х3.5" есть, остальные от 8 дисков и до 36), получая доп. объем данных.
Вот и получается, что, теоритически, могу загрузить сервер с любого из дисков. А если бы я изначально собирал пулы из разделов, а не raw девайсы пихал, этой "проблемы" даже не возникло бы

Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору

37. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от анонн (ok), 22-Апр-20, 11:14 
> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
> Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)

https://svnweb.freebsd.org/base/releng/11.3/sys/netpfil/ipfw...

Revision 360149 - (view) (download) (annotate) - [select for diffs]
Modified Tue Apr 21 15:52:22 2020 UTC (16 hours, 20 minutes ago) by gordon
File length: 91348 byte(s)
Diff to previous 349026
Fix ipfw invalid mbuf handling.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от нах. (?), 22-Апр-20, 11:44 
>> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
>> Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
> https://svnweb.freebsd.org/base/releng/11.3/

тебе чего неясно-то сказали "не сиди на releng" ?

"кто хотел", использует stable.

Ответить | Правка | Наверх | Cообщить модератору

27. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –3 +/
Сообщение от Аноним (-), 22-Апр-20, 08:43 
Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?

Помнится, даже во времена, когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf... Что уже про наши дни говорить...

Ответить | Правка | Наверх | Cообщить модератору

31. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +3 +/
Сообщение от нах. (?), 22-Апр-20, 09:01 
> Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?

например те, кому нужны fibers.

То есть, видимо, все, у кого фря таки используется именно в сетевой инфраструктуре, а не голую оппу кое-как прикрыть убогим фильтром.

Нет, понятно, сами виноваты, нехрен было жмотиться и экономить на циске.

> когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf...
> Что уже про наши дни говорить...

что в ваши дни ipf доломали, а с тех пор как портанули pf - прошло много-много лет, и сетевой стек изрядно изменился за это время, а pf и ныне там - переделывать его некому.

Ответить | Правка | Наверх | Cообщить модератору

43. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от xm (ok), 22-Апр-20, 11:57 
> pf и ныне там - переделывать его некому.

Там даже всё ещё хуже. pf настолько стал завязан на ABI "безопасной" OpenBSD что его стало проще переписать с 0, чем портировать.

Ответить | Правка | Наверх | Cообщить модератору

45. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 12:22 
блин, а что - САМИМ-то дописать уже спортированный - некому, да? Пусть бы впопенбесдешники мучались, пытаясь сделать обратный мерж.

В безопастной fiber'ов-то, по-моему, даже в дальних планах нет.

Ну и на самом деле чего дописывать и так полно. Начиная с полной бесполезности для ipsec.

Ответить | Правка | Наверх | Cообщить модератору

46. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от xm (ok), 22-Апр-20, 12:35 
Насколько я понимаю, там вообще планов по pf нет.
Ну, разве что, кто-то сильно заинтересованный профинансирует работы.
Ответить | Правка | Наверх | Cообщить модератору

47. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от нах. (?), 22-Апр-20, 12:45 
Там теперь разработчиков нет, которым был бы нужен pf. Впрочем, там вообще уже никаких скоро не останется, а от комитеров в .md очень мало пользы.

> Ну, разве что, кто-то сильно заинтересованный профинансирует работы.

не, брателло, так не бывает. Финансируют только тем, кто подтвердил что на самом деле способен сделать работу. А такие будут работать и без финансирования. Просто потому что не могут иначе.

А когда пишут "sponsored by ..." - это значит что в ... был чувак, который в это ... притащил freebsd, лично подписавшись что "все будет работать хорошо". А не что ему отвалили кус монет просто на то чтобы он что-то поулучшал где-то.

Ответить | Правка | Наверх | Cообщить модератору

64. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от oopssss (?), 22-Апр-20, 19:08 
> Впрочем, там вообще уже никаких скоро не останется

Писать, конечно :(

Ответить | Правка | Наверх | Cообщить модератору

65. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от oopssss (?), 22-Апр-20, 19:09 
Пичаль, чёртово автоисправление
Ответить | Правка | Наверх | Cообщить модератору

56. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 22-Апр-20, 17:43 
Что за fiber ты упоминаешь? Это netgraph имеется в виду?
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

58. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 18:00 
FIB - это приблизительный аналог ip rule в твоем линуксе - независимые наборы таблиц маршрутизации. (полагаю, будь у тебя под рукой фря, ты бы и так знал, что это ;)

Насколько я знаю, pf им так и не научился, и не планирует, а другого способа переложить пакет из одной нитки в другую, кроме пакетного фильтра как-то и не намечалось.

Впрочем, про netgraf-то я и забыл, в open же ж нет никакого netgraf - вот и в pf тоже нет.

И так у нас примерно всьо.

Ответить | Правка | Наверх | Cообщить модератору

60. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 22-Апр-20, 18:15 
Такты писал бы FIB, было бы понятно. Я уж думал что-то новое придумали, с 9 версии (последняя которой пользовался).
Ответить | Правка | Наверх | Cообщить модератору

67. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 19:12 
> Такты писал бы FIB, было бы понятно. Я уж думал что-то новое
> придумали, с 9 версии (последняя которой пользовался).

фак, а они что, уже в девятой были? Нда... в каком годе, говоришь, застрял pf? ;-)

Ответить | Правка | Наверх | Cообщить модератору

69. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 22-Апр-20, 20:27 
>> Такты писал бы FIB, было бы понятно. Я уж думал что-то новое
>> придумали, с 9 версии (последняя которой пользовался).
> фак, а они что, уже в девятой были? Нда... в каком годе,
> говоришь, застрял pf? ;-)

Я не припоминаю существенных изменений в PF между 4-ой версией FreeBSD и 9-ой. Ну разве что CARP и pfsync, но это то порт с OpenBSD.
Зато лично для меня тогда pfsync и CARP были недостающей штукой, чтобы довести фарйволл до идеала (моего :) ) и мне после этого уже было ничего от него не нужно.

P.S. Но с другой стороны мне примерно c 2010-2012 годов от FreeBSD да и от Linux уже особо ничего не нужно, всё что мне надо там есть.

Ответить | Правка | Наверх | Cообщить модератору

73. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 21:00 
мне от них в общем-то уже в 2008м было особенно ничего не нужно - все что мне надо, было в винде XP ;-)

Но необходимость держать где ворованную asa, а где на вырванную с мясом у начальства деньги купленную PA пару, потому что нормально работающих пакетных фильтров (я уж не говорю про полноценный файрвол с app detect) у нас нет и уже никогда не будет - все еще, по привычке, огорчает.

Ответить | Правка | Наверх | Cообщить модератору

76. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 22-Апр-20, 21:16 
> Но необходимость держать где ворованную asa, а где на вырванную с мясом
> у начальства деньги купленную PA пару, потому что нормально работающих пакетных
> фильтров (я уж не говорю про полноценный файрвол с app detect)
> у нас нет и уже никогда не будет - все еще,
> по привычке, огорчает.

Каких умений от файрволла ты ждешь, которые есть в ASA, но нет в том же PF?

P.S. Жуткий синтаксис правил как в ASA чур за умение не выдавать! :)

Ответить | Правка | Наверх | Cообщить модератору

77. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от нах. (?), 22-Апр-20, 22:17 
> Каких умений от файрволла ты ждешь, которые есть в ASA, но нет в том же PF?

тебе список fixup'ов из даже не асы, а pix 2004го года процитировать? В PF до сих пор банальный ftp требует уродливого user helper, а все остальное не написано и никогда не будет. tcp/443 ваше всьо, других протоколов в мире нет и быть не может.

> Жуткий синтаксис правил как в ASA чур за умение не выдавать!

этот "жуткий синтаксис" хотя бы не перемешивает в одну кучу фильтр, nat и vpn, причем кучей со всех интерфейсов подряд.

Конечно, после того как они зачем-то вздумали скосплеить линукс, причем - задом-наперед, стало хуже и неудобочитаемей, но не хуже и не неудобочитаемей pf.conf.

Ладно б ты еще сравнил с iptables, иерархическая система правил и полное разделение nat и фильтра - это реально космос по сравнению с плоскими простынями, хотя отсутствие packet tracer часто даже этот разрыв перевешивает.

Ответить | Правка | Наверх | Cообщить модератору

92. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 23-Апр-20, 09:48 
С протоколами беда, не спорю. Это наверное от желания сделать файрволы "красиво", а не практично.
У меня в эпоху FreeBSD 4 natd вызывал жуткое отторжение, хотя бы тем, что безбожно тормозил на мало-мальски нагруженном шлюзе. А все от того, что в ipfw тогда были такие вещи архитектурно не предусмотрены, да и потом в итоге прихерачили ng_nat. И всё бы вроде хорошо, но из самого ipfw ноды netgraph вызываются как-то чужеродно.
Например тот же ftp или sip/rtp в такой модели ipfw + netgraph будет выглядеть как минимум криво.
На фоне ipfw pf выглядел не так уж и плохо, хотя бы целостно.
Ответить | Правка | Наверх | Cообщить модератору

96. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 12:16 
> У меня в эпоху FreeBSD 4 natd вызывал жуткое отторжение

да, divert sockets - это п-ц какой-то (представь что у тебя не один внешний интерфейс, натов много, есть ненатимые, есть ipsec, и он не доверенный, а теперь попробуй распутать эту вермишель и не свести всю защиту к х..ю - поэтому и бежали с него на pf без оглядки, кто линукс себе не мог позволить). Забавно что линyпсеры это скопипастили - в ранних ядрах у них был клон того самого ipfw, но маскарадинг (полноценного нат, конечно, еще не было) сразу реализовали в ядре, сокетов я не помню (когда появился таки способ проброса пакетов в userspace, это его переизобрели заново). Зато аналог keep-state был userspace'ным.

Отдельный забавный вопрос - почему в нагромождении прокладок под именем netgraph не появилось нормального собственного фильтра, хотя он прямо просится в концепцию.

Такой вот свободный софт - за что ни схватись - ну можно ж было сделать хорошо и надежно...но нет, хрен там.
А если где-то случайно получается хотя бы чуть лучше чем в среднем - надо срочно-срочно объявить deprecated и заменить фуфлом, как только автор уйдет в туман :-(

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

100. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 23-Апр-20, 13:49 
Про netgraph.
Думаю нет в нем нормального фильтра потому что Netgraph возник как разумное желание втащить некий такой абстрактный механизм сетевых потоков в ядро, да только в качестве практического обоснования выступил mpd, на котором костылыли себе многие провайдеры тарифицируемый доступ в инет.
Ну nat потом еще влепили, вышло так себе. В итоге что на netgraph-то кроме mpd и nat есть вменяемого? Как будто только для mpd его и сделали, вот так выглядит.
"Хотели как лучше, вышло как всегда"
Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

89. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от zanswer (?), 23-Апр-20, 09:13 
Вы спутали, PF появился в FreeBSD 5.2, в FreeBSD 4.11 его не было.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

90. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Forthemail (ok), 23-Апр-20, 09:41 
Немудрено, давно это было.
Ответить | Правка | Наверх | Cообщить модератору

91. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от zanswer (?), 23-Апр-20, 09:46 
Согласен, сам с FreeBSD 4.11 на 5.1 переходил и помню, как впервые появился PF в 5.2 и сразу на него перешёл с IPFW. :)
Ответить | Правка | Наверх | Cообщить модератору

101. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Ананимас008 (?), 23-Апр-20, 14:08 
ipf поломали при переходе на 10ку. по-крайней мере поломан мой любимый ipnat в котором было очень удобно мониторить текущие соединения.

вот это печаль, хотя мшжет в 12.1 уже починили, не слежу уже, перешел на нат средствами ipfw.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

107. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 18:00 
> вот это печаль, хотя мшжет в 12.1 уже починили

его вроде не собирались чинить - еще тогда сказали "в морг!"

типа как всегда - "поддерживать некому, тормозитразвитие, этофресофтваре, тут вам никтонеобязан" и т д.

Ответить | Правка | Наверх | Cообщить модератору

48. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  –1 +/
Сообщение от Ivan_83 (ok), 22-Апр-20, 13:00 
Функционалы заметно разные.
ipfw просто не возможно заменить в ряде usecase на PF.
Но лично я почти никогда ipfw не пользовался, с одной стороны мне ничего не требовалось из его уникальных возможностей, с другой в PF мне нравится принцип что оно грузит правила с файла как то более человечно :)
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

59. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 18:06 
> мне нравится принцип что оно грузит правила с файла как то
> более человечно :)

каждый раз лезть в редактор, когда понадобилось поменять или добавить одно-единственное правило - совершенно бесчеловечно.

Но я от этих странных из openbsd ничего хорошего и не ждал.

С другой стороны, читать pf.conf все же проще чем тот омерзительный бейсик, поэтому я ipfw тоже стараюсь не пользоваться.

Немного жаль что операционных систем с хорошими пакетными фильтрами больше не существует, но, с другой стороны, в эпоху единственного порта 443 они свое, в общем, отжили.

Ответить | Правка | Наверх | Cообщить модератору

61. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +2 +/
Сообщение от привет (ok), 22-Апр-20, 18:31 
по динамике ipfw рулит

PF не пользуюсь именно по причине того, что нужно каждый раз
перезагружать файл, заместо логичного add/del/change, ну и flush если припрет

Ответить | Правка | Наверх | Cообщить модератору

62. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от привет (ok), 22-Апр-20, 18:33 
Вообще новость меня сильно расстроила и удивила
неповерил, что нет решения и стал гуглить
вот что пишут:

> On Tue, 21 Apr 2020 at 18:50, Eugene Grosbein <eu...@grosbein.net> wrote:
>>
>>> I believe this is correct; what about this statement:
>>>
>>> No workaround is available.  Systems not using the ipfw firewall, and
>>> systems that use the ipfw firewall but without any rules using "tcpoptions"
>>> or "tcpmss" keywords, are not affected.
>>

..........
> So perhaps:
> Systems not using the ipfw firewall, and systems that use the ipfw firewall
> but with no rules using "tcpoptions" or "tcpmss" keywords, are not affected.

I like it.

источник https://www.mail-archive.com/freebsd-security@freebsd.o...

Ответить | Правка | Наверх | Cообщить модератору

68. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 19:15 
> неповерил, что нет решения и стал гуглить

и выяснилось, что, как обычно, баг проявлялся только у Жени, потому что только ему понадобились совсем уж покрытые пылью веков tcpoptions в правилах фильтра.

Ответить | Правка | Наверх | Cообщить модератору

72. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 22-Апр-20, 20:45 
Женя только года 4 назад закопал последний джейл с 4.11, с фидософтом. ну, может 5 лет назад, ок.
в определенных кругах даже термин был - GrosBSD.
Ответить | Правка | Наверх | Cообщить модератору

74. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 22-Апр-20, 21:06 
так то jail.
Мой патч для freebsd8 в э... 2017м ему нифига не показался.

У меня эта 8 жива до сих пор, и вряд ли я стану ее апгрейдить.

Ответить | Правка | Наверх | Cообщить модератору

75. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от тигар (ok), 22-Апр-20, 21:15 
> так то jail.
> Мой патч для freebsd8 в э... 2017м ему нифига не показался.
> У меня эта 8 жива до сих пор, и вряд ли я
> стану ее апгрейдить.

ну stable/8 у него еще года 3 назад были вширь и ввысь

Ответить | Правка | Наверх | Cообщить модератору

84. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от riokor (?), 23-Апр-20, 00:55 
давно ждал
Ответить | Правка | Наверх | Cообщить модератору

85. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от riokor (?), 23-Апр-20, 01:00 
На том и стоим, защита наше всё.
Ответить | Правка | Наверх | Cообщить модератору

94. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +1 +/
Сообщение от привет (ok), 23-Апр-20, 11:24 
если кто то вроде меня наткнется на новость - проблема
отсутствует если не используется tcpoptions, лично я его
видел только в мане, когда что то другое искал.

расходимся ;)

Ответить | Правка | Наверх | Cообщить модератору

97. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 12:22 
> если кто то вроде меня наткнется на новость - проблема

мы уже тут жевали эту булочку.

> отсутствует если не используется tcpoptions, лично я его
> видел только в мане, когда что то другое искал.

ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование, как обычно, не дали. ;-)

> расходимся ;)

В целом, да, такие должны страдать ;-)

P.S. приятно отметить что ajust-mss с этой проблемой не связан. Те кто, наоборот, обманывают мегафона - не пострадают ;-)

Ответить | Правка | Наверх | Cообщить модератору

99. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от привет (ok), 23-Апр-20, 13:00 
>> если кто то вроде меня наткнется на новость - проблема
> мы уже тут жевали эту булочку.

уточнил, что для таких, как я- не гуру/не умеющих|имеющих
возможности вдумчиво все коменты прочесть и объеденить в единое целое

лично был бы рад увидеть такой комент в самом начале, например,
глянул бы быстро патч и все.

>> отсутствует если не используется tcpoptions, лично я его
>> видел только в мане, когда что то другое искал.
> ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон
> - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование,
> как обычно, не дали. ;-)

тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
ИТ (если только на персонал :))

Ответить | Правка | Наверх | Cообщить модератору

109. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 18:05 
> тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
> ИТ (если только на персонал :))

еще как будут.
Потому что для них это операционные расходы, и их инвестор постоянно плющит. Чтобы корова меньше жрала и больше давала молока - ее надо просто меньше кормить и больше доить.

А для не-ИТ это так, мелочь, они сейчас больше об аренде пустующих офисов плачут. Поскольку доят совершенно другую корову, и расходы жмут именно на нее.


Ответить | Правка | Наверх | Cообщить модератору

102. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от Ананимас008 (?), 23-Апр-20, 14:17 
уже давно не занимаюсь сетями, но разве проблему косплееров не решили еще лет 10-15 назад махинацией с ттл на шлюзе?
Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

108. "Во FreeBSD устранены удалённо эксплуатируемые уязвимости в i..."  +/
Сообщение от нах. (?), 23-Апр-20, 18:02 
не у всех взломанный хуавеевский свисток, некоторым негде подменять ttl, а некоторые просто не знают как это делается.

У Гроссбейна видимо именно такие клиенты - раз ему оно зачем-то было надо ;-)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру