Une avalanche de correctifs pour NetBSD : 6.1.2, 6.0.3, 5.2.1 et 5.1.3

Posté par  (site web personnel, Mastodon) . Édité par NeoX. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
29
2
oct.
2013
NetBSD

La fondation NetBSD a annoncé ces 28 et 29 septembre derniers une foule de nouvelles versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bugs, et surtout de sécurité. Le nombre de nouvelles versions mineures peut sembler important, mais il n'est que l'application du plan de version tel qu'il est défini par la fondation.

Une partie de ces corrections est abordée en deuxième partie de dépêche.

Pour toutes les versions

Toutes ces versions de NetBSD voient leur données de fuseau horaire mises à jour : tzdata passe donc en 2013e. Côté SSH, certaines clés de la fondation sont mises à jour dans le fichier /etc/ssh/ssh_known_hosts. Un crash du système était possible en paramétrant manuellement la taille d'un buffer de BPF (Berkeley Packet Filter). Plus de détails dans le NetBSD-SA2013-009, mais aussi sur NetBSDfr. De plus, un problème d'environnement pouvait poser problème à Emacs 24 et à d'autres programmes, allant jusqu'à les faire crasher.

Branche 6

Dans le cas d'utilisation de NetBSD 6 en machine virtuelle KVM, le pilote virtio(4) pouvait causer un kernel panic lors de l'arrêt de la machine virtuelle (PR#48105).

Plus spécifique à la branche 6.1, un problème a été résolu du côté du système de fichiers UDF : dans certains cas, les fichiers de plus de 4Go étaient corrompus.

Pour la branche 6.0, ce sont 4 nouvelles options pour sysctl qui font leur apparition pour aider à éviter les attaques DoS via IPv6. Un autre correctif de sécurité sur du DoS est aussi présent, mais concerne Bind : NetBSD-SA2013-005 (ou CVE-2013-4854).

Netstat est un outil bien connu. Penchons-nous sur son option -P :

Dump the contents of the protocol control block (PCB) located at kernel virtual address pcbaddr. This address may be obtained using the -A flag. The default protocol is TCP, but may be overridden using the -p flag.

Cette option pouvait aléatoirement afficher autre chose que du PCB. La faille était corrigée depuis NetBSD 6.1.1, et est maintenant disponible dans les branches 6.0 et 5 (NetBSD-SA2013-006).

Branche 5

Les versions 5 de NetBSD ne sont pas en reste, avec des corrections pour chacune d'entre elles. Il est cependant important de signaler que, dans cette branche, seules les versions 5.1.x et 5.2.x sont maintenues. En d'autres termes, si vous avez un système en 5.0 ou inférieur, NetBSD ne fournit plus de correctifs de sécurité.

Les corrections communes aux deux branches concernent entre autres la vulnérabilité dans grep abordée dans la dépêche sur NetBSD 6.1 (et 6.0.2) : NetBSD-SA2013-004, ainsi que la faille concernant Netstat (abordée dans la branche 6). Une autre correction est celle d'un crash, déclenché lorsqu'on souhaite tuer un processus qui attend de démarrer (PR#44935).

Spécifique à la version 5.2.1, un correctif pour Bind permet de s'affranchir d'un déni de service (NetBSD-SA2013-005 et CVE-2013-4854).

Et comme on dit jamais 2 sans 3, un correctif spécifique à la version 5.1.3 concerne aussi Bind, est aussi dans un cas de déni de service, mais dans l'utilisation de DNSSEC (NetBSD-SA2012-004).

Pour la suite

Aucune nouvelle version majeure n'est prévue dans l'immédiat, et les attentions sont actuellement portées sur la future version de pkgsrc, le framework de paquets sources et binaires : sa version 2013Q3 est attendue dans les jours qui viennent.

Aller plus loin

  • # NetBSD pour la prod ?

    Posté par  . Évalué à 4.

    Les correctifs sont une excellentes choses. Un grand merci pour tout ce travail.

    C'est d'ailleurs ce qui m'a toujours fait hésiter entre NetBSD et FreeBSD pour la centaine de serveur que nous avons en gestion.

    En effet, avec FreeBSD la mise à jour du systeme de base se fait de manière binaire en deux commandes et un reboot. Sous NetBSD il faut reconstruire et installer le "monde" sans parler de la fusion de /etc et autre….la hantise de l'admin système en somme.

    En revanche, sous FreeBSD la compilation des ports lors de l'installation ou des mises à jours où le gestion des dépendances doit être bien suivi sur le fichier UPDATE et et souvent source d'erreur et consommateur de temps alors que PKGSRC fonctionne à merveille (merci pkgin !).

    Alors que faut-il mettre en avant: facilité de mise à jour du système de base ou des ports/paquets ?

    Je n'arrive pas à estimer le taux de panne éventuelle sur NetBSD suite à l'exploitation des ces éventuelles failles ? Je sais que FreeBSD en à aussi et pour son dernier anniversaire un 0day a été dévoilé.

    Qu'en pensez-vous ?

    • [^] # Re: NetBSD pour la prod ?

      Posté par  (site web personnel) . Évalué à 2.

      Du côté de NetBSD, tu peux utiliser http://pkgsrc.se/sysutils/sysupgrade pour mettre à jour facilement. Même si tu ne veux pas utiliser ce script, des archives sont générées et disponibles sur les mirroirs habituels, tu n'a donc pas besoin de compiler le monde. Le fichier install.* rappelle les différentes méthodes pour mettre à jour.

      Du côté de FreeBSD, pkgng devrait permettre de mettre à jour facilement tes paquets. Ça sera le défaut dans 10.x, mais c'est déjà utilisé dans 9.x. Bapt t'en dira plus si nécessaire :).

      Mais NetBSD c'est mieux (même le jeudi).

      • [^] # Re: NetBSD pour la prod ?

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Avant l'arrivée de sysupgrade, tu pouvais mettre à jour en binaire de deux manières :

        • la première consiste à redémarrer sur l'installeur et à sélectionner que tu souhaites faire une mise à jour, la seule difficulté consistant à savoir quels sets tu as déjà installé (ça se voit via un ls -l dans /etc/mtree avant de redémarrer) ; de la sorte, l'installeur de NetBSD se charge en plus des mises à jour de certaines configurations dans /etc ;
        • la seconde est tout simplement de télécharger les sets et le noyau de la nouvelle version, puis de les décompresser (généralement avec pax) et enfin de lancer les post-install & cie pour /etc : c'est cette manière de faire qui est automatisée par sysupgrade ; si tu souhaites essayer, il y a une doc chez GCU.

  • # Re: NetBSD pour la prod ?

    Posté par  . Évalué à 1.

    Il me semble que les packages sous FreeBSD sont compilés une fois par release et qu'il faut passer par les ports si l'on veut suivre les mises à jour de sécurité ?

    Ai-je dis une bêtise ?

    • [^] # Re: NetBSD pour la prod ?

      Posté par  (site web personnel) . Évalué à 2.

      Pour le moment oui. Pour ce qui est de FreeBSD 10, donc avec pkgng, j'ai cru comprendre que des "sets" de paquets seront proposés régulièrement, avec un suivi des maj de sécu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.