Prieš kelias dienas oficialiai buvo pranešta apie trijų klaidų esančių FreeBSD sistemoje pataisymus. Pirmoji pataisa skirta šią savaitę paskelbtai kritinei klaidai, kai lokalus vartotojas gali gauti administratoriaus teises. Antroji ištaiso prieigos teisių problemą naudojant freebsd-update programą. Trečioji ištaiso neseniai paskelbtą OpenSSL klaidą.

FreeBSD-SA-09:16.rtld, FreeBSD-SA-09:17.freebsd-update, FreeBSD-SA-09:15.ssl

Paul Rubens savo straipsnyje pabandė palyginti FreeBSD ir Apple produktus žvelgiant iš saugumos pusės. Kaip žinia šią savaitę buvo paskelbta kritinė FreeBSD saugumo spraga ir kuri buvo ištaisyta ištiest greitai, tačiau Apple kompanija atsilieka su klaidų ištaisymu, kaip pavyzdys pateikta viena iš Iphone skirtų programų.

Plačiau

Full disclosure el. konferencijoje buvo pranešta, kad FreeBSD 7.1, 7.2 ir 8.0 versijose egzistuoja saugumo spraga, kuri leidžia lokaliam vartotojui pasikelti savo privilegijas panaudojus vieną iš suid tipo programų ir tinkamai nustačius LD_PRELOAD aplinkos kintamąjį. Oficialus pranešimas yra ruošiamas, tačiau Colin Percival išleido pataisą, panaikinančią šią problemą (skirta 8.x sistemai) .

Plačiau

freebsd-hackers elektroninėje konferencijoje buvo pranešta apie fifo_vnops.c pradiniame kode rastą klaidą dėl kurios nėra atlaisvinama atmintis, todėl gali būti panaudoti visi prievadai (sockets). Pateiktas pataisymas bei pavyzdinė programa, kuri išnaudoja šią klaidą.

Plačiau

Nuo kitų metų sausio 31 dienos FreeBSD 6.3 versijai nebebus kuriamos saugumo pataisos, todėl siūloma atnaujinti savo sistemas į naujesnę (pvz. 7.2 arba būsimą 8.0).

Plačiau

Šį savaitgalį buvo išleisti saugumo pataisymai rugpjūčio gale rastoms spragoms:

Devfs / VFS NULL pointer race condition ir kqueue pipe race conditions

Taip pat atsirado papildoma sysctl šaka security.bsd.map_at_zero, kuri leidžia įjungti arba išjungti nulinio atminties adreso panaudojimą. Pagal nutylėjimą nuo FreeBSD 8 sistemos ši apsauga bus įjungta.

No zero mapping feature

security.bsd.map_at_zero

Senoje FreeBSD versijoje atrasta saugumo spraga sukėle diskusijas apie tai kodėl taip ilgai užtruko oficialus pranešimas. FreeBSD kūrėjai šiuo metu aktyviausiai dirba prie būsimos versijos, kartu 6.x šaka jau greitai liks be priežiūros. Przemyslaw Frasunek, kuris paskelbė apie pastarąją klaidą, šiuo metu teigia radęs ir kitą spragą esančią FreeBSD 7.2 versijoje. Artimiausiu metu turėtų pasirodyti oficialūs pranešimai bei pataisos.

Plačiau

FreeBSD sistemoje esančiame ftpd buvo rasta klaida, kuri leidžia tam tikromis sąlygomis gauti vartotojų prisijungimus užšifruotame pavidale. Patvirtinta, kad klaida veikia FreeBSD 7.2 sistemoje.

Secunia pranešimas, pažeidžiamumo aprašymas

Šią savaitę viešai buvo paskelbtas “exploitas” gana senoms FreeBSD sistemoms, kuri išnaudoja programinę kevent sisteminio iškvietimo klaidą.

Plačiau

Bind DNS serveryje buvo atrasta spraga, kuri leidžia įvykdyti DoS tipo ataką, jei yra siunčiamas specialiai suformuotas kenksmingas  zonos atnaujinimo duomenų paketas. Po kol kas pataisymai šiai klaidai nėra pasiekiami per freebsd-update, bet galima bind servisą galima atnaujinti jį perkompiliavus su įdėta pataisa.

Plačiau