La fondation NetBSD a annoncé le 25 janvier dernier une nouvelle fournée de versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bugs, et surtout de sécurité. Le nombre de nouvelles versions mineures peut sembler important, mais il n'est que l'application du plan de version tel qu'il est défini par la fondation. Ces versions sont les suivantes : 6.1.3, 6.0.4, 5.2.2 et 5.1.4.
De plus, le 12 avril dernier, deux nouvelles versions de la branche 6 ont été rendues disponibles, afin de corriger la désormais connue faille Heartbleed : 6.1.4 et 6.0.5. La branche 5 n'est pas affectée par cette faille.
Une partie de ces corrections est abordée en deuxième partie de dépêche.
Pour toutes les versions
Toutes les versions publiées corrigent le CVE-2014-0591 : il s'agit d'une faille dans Bind située au niveau de la gestion des zones signées avec NSEC3, qui peut aboutir à un plantage si des requêtes forgées sont reçues.
Autre faille de sécurité corrigée pour tout le monde, et référencée sous l'indice CVE-2013-6462 : il s'agit d'un buffer overflow dans X.org, plus exactement dans libXfont. Celui-ci pouvait provoquer un plantage, voire une exécution de code. Xorg bénéficie d'une deuxième correction, corrigeant le CVE-2013-4396, qui pouvait entraîner un plantage, mais aussi une grande consommation mémoire.
On repart du côté des services réseau : il s'agit cette fois d'ajouter des options par défaut au fichier de configuration du serveur NTP, afin d'éviter les attaques DoS d'une part, et d'amplifier d'autres attaques d'autre part.
Parmi les autres correctifs communs, sont concernés Xen PR 46313, IPv6, la (non-)création d'image ISO pour l'architecture ews4800mips.
Correctifs spécifiques aux branches 6.0 et 6.1
Horreur ! Malheur ! Un bug dans Qemu l'empêche de faire démarrer NetBSD. Le problème est bien entendu remonté, et porte le numéro 897771. Bien qu'il ait été corrigé, il est possible que certaines personnes utilisent une version affectée par le bug. Une correction a donc été faite du côté du noyau NetBSD (port-xen/46313), qui consiste à utiliser le mode PCI 1 quand le système tourne sous Qemu.
Autre composant corrigé dans la branche 6, l'installeur, nommé sysinst. Celui-ci doit, en théorie, se comporter comme fdisk lorsqu'il s'agit de l'alignement des partitions. Sauf que devinez quoi, dans le cas d'un disque de moins de 128 Go, l'offset du MBR était quand même positionné à 2048 quand on le mettait à 0. Les détails sont dans le PR 48304.
Un deuxième problème Xen touchait aussi les branches 6, provoquant un kernel panic du dom0, ou un plantage de l'hyperviseur dans le cas de création de certains domUs. Pour rencontrer le bug, il fallait que le pilote frontend du domU ne fournisse pas à xenstore d'entrée nommée "protocol".
Si vous utilisez NetBSD sur une machine sparc64, vous avez peut-être eu du mal à compiler gtk+ en version 3.10.6. Rassurez-vous, c'est du passé, des corrections ont été faites dans GCC, qui générait un mauvais code assembleur.
Quelques autres corrections intéressantes touchant par exemple TLS (PR 48324), un plantage noyau avec tcpdrop (PR 48098), un problème au niveau des sockets (PR 47591), et une erreur de « couper-coller » dans fsck_ffs.
Branche 5
On notera l'absence de correctif spécifique aux versions 5.2 et 5.1 : en effet, les problèmes touchant ces versions touchaient aussi la branche 6.
Aller plus loin
- NetBSD (51 clics)
- Liste des changements pour NetBSD 6.1.4 (58 clics)
- Liste des changements pour NetBSD 6.0.5 (24 clics)
- Liste des changements pour NetBSD 6.1.3 (19 clics)
- Liste des changements pour NetBSD 6.0.4 (19 clics)
- Liste des changements pour NetBSD 5.2.2 (23 clics)
- Liste des changements pour NetBSD 5.1.4 (20 clics)
- Annonce des versions 6.1.4 et 6.0.5 sur la liste de diffusion "NetBSD-Annouce" (20 clics)
- Annonce des versions 6.1.3, 6.0.4, 5.2.2 et 5.1.4 sur la liste de diffusion "NetBSD-Announce" (20 clics)
- NetBSDfr (61 clics)
- DLFP : Une avalanche de correctifs pour NetBSD : 6.1.2, 6.0.3, 5.2.1 et 5.1.3 (18 clics)
- DLFP : pkgsrc 2013Q4 est disponible (24 clics)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.