*BSD news from the past

Bron: [url=http://www.bsdforums.com/forums/showthread.php?s=3e43558cbde77da8f070e490e5b35b06&threadid=2171]bsdforums.org[/url]
Alistar Crooks heeft de nieuwste veranderingen en toevoegingen van de Package Collection van eind Juni 2002 gepost op het NetBSD mailing list. Volgens zijn berekeningen zaten er 2970 packages in de Packages Collection‚ ong. 2898 van de vorige maand en 72 gloednieuwe packages.

[quote]
[Full announcement]

**************************************
Summary of Changes to the NetBSD Packages Collection in June 2002
==================================================
===============

By my calculations‚ there were 2970 packages in the packages collection
at the end of June‚ up from 2898 the previous month‚ a rise of 72.

Notable additions to the packages collection include: adom‚ ap2-perl‚
arirang‚ autoconvert‚ bbmail‚ bbrun‚ bg5ps‚ Canna-dict and server‚
check‚ Chinput‚ cross-h8300-hms binutils and gcc‚ demime‚ dnetc‚
docsis‚ eblook‚ edonkey2k‚ eggdrop‚ emech‚ esms‚ fcgi‚ gkrellm-volume‚
glpk‚ goofey‚ gscope‚ gsmlib‚ hypermail‚ hztty‚ icepref‚ FreeWnn dict
and server‚ ja-samba‚ some kde3 packages (thanks to Nick‚ Mark‚ Jan
and everyone)‚ kttcp‚ leafnode‚ lhs‚ libtabe‚ links-gui‚ metacity‚
mpg123-esound‚ mpg321‚ mpgtx‚ mtoolsfm‚ nbitools‚ various Perl
utilities‚ pcl-cvs‚ php4-mhash‚ various Python Unicode codecs‚ pyDict‚
randread‚ the rox suite (thanks‚ Chris)‚ sipcalc‚ sj3 dict and server‚
star‚ stardic‚ su2‚ swill‚ sylpheed-claws‚ ttmkfdir‚ unicon‚
windowmaker-desktop‚ wmmp3‚ wmsmixer‚ wmusic‚ xbindkeys‚ xcin‚ xclip‚
xfm‚ yafc‚ yamt and yup.

Notable updated packages in the packages collection include:
amavis-perl‚ ap-ssl‚ apache‚ apache6‚ asp2php‚ atk‚ audit-packages‚
awka‚ bidwatcher‚ bind4‚ bind8‚ bozohttpd‚ canna lib and server‚
canuum‚ cheesetracker‚ coda5 (client and server)‚ conserver‚
courier-imap‚ cpuflags‚ curl‚ cvsweb‚ dillo‚ doc++‚ eb‚ ekg‚ ethereal‚
ettercap‚ exim‚ exim-html‚ frotz‚ fvwm2‚ galeon‚ geneweb‚ gkrellm‚
gkrellm-xmms‚ gmplayer‚ gnumeric‚ gtkasp2php‚ htmlfix‚ id3v2‚ ipa‚
irssi‚ FreeWnn lib and server‚ ja-samba‚ kaffe‚ liba52‚ libirman‚
links‚ lsof‚ lukemftp‚ lwp‚ mencoder‚ micq‚ mlterm‚ mozilla‚ mplayer
and mplayer-share‚ msu‚ mysql-client‚ nxtvepg‚ ocaml‚ ogle and
ogle_gui‚ openssh‚ oto‚ various Perl utilities‚ pango‚ pdflib‚
pgpdump‚ pkgchk‚ pkglint‚ pkg_install‚ polsms‚ postfix‚ proftpd‚
pure-ftpd‚ various Python utilities‚ the rox suite‚ rvm‚ samba‚ scmxx‚
silc client and server‚ sj3 lib and server‚ skill‚ stow‚ sylpheed‚
teapop‚ TeXmacs‚ thttpd‚ tits‚ ttf2pt1‚ uvscan-dat‚ vid‚ vttest‚
x11-links‚ xchat‚ xpmroot‚ xservers and ysm.

Package of the Month award goes to links-gui‚ nominated by Matt Green.
“It’s the fastest graphical/javascript enabled browser i’ve seen and
it acts just like tty links”.

Alistair G. Crooks
Wed Jul 24 12:05:13 BST 2002
[/quote]

Een nieuwe “Proportional Share Scheduler” is bescikbaar als patch voor FreeBSD. Luigi Rizzo noemt het een “weight-based process scheduler”‚ dat gebruik maakt van het “”WF2Q+ algorithm” (ook gebruikt in dummynet).
De reden voor het gebruik van deze scheduler wordt hieronder uitgelegt a.d.h.v. een document van de universiteit van Utah:
[quote]There are compelling reasons to use proportional share scheduling techniques to support multimedia and other soft real-time applications on general-purpose operating systems. First‚ proportional share (PS) schedulers are a good match for existing infrastructure such as a periodic timer interrupt and mechanisms for assigning priorities to applications — priorities can be mapped to shares in a proportional-share environment. Second‚ PS schedulers provide stronger guarantees to applications than do traditional time-sharing schedulers: they allocate a specific fraction of the CPU to each thread‚ and some schedulers provide error bounds on the allocation rate. Third‚ PS schedulers have clear semantics during underload: excess CPU time is allocated fairly‚ in contrast with some reservation-based schedulers that must idle or back off to a secondary scheduling policy once all application budgets are exhausted.[/quote]

Om daadwerkelijk gebruik te maken van de process scheduler is men in dit project ook bezig om het mogelijk om te switchen tussen de verschilende schedulers.
[quote]to make the process/thread/kse scheduler a replaceable piece of the kernel‚ requiring no modificationsto the “struct proc”‚ and with the ability of switching from one scheduler to another one at runtime (this both for testing purposes and for whatever need may arise).[/quote]

Voor meer info:
[url=http://www.kerneltrap.com/node.php?id=349]Het artikel[/url]
[url=http://www.cs.utah.edu/flux/papers/ps-rtss01/]Info over de scheduler[/url]

Bron: [url=http://64.91.232.9/xf/forum/forum.php?forum_id=14]microbsd.net[/url]
Afgelopen dinsdag is MicroBSD 0.5 gereleased. Het is een stabiele versie met een aantal [url=http://64.91.232.9/xf/docman/display_doc.php?docid=2&group_id=1]nieuwe features[/url] en een update van oudere onderdelen.
Er zit tevens een code bij voor updates voor alle bekende OpenBSD beveiligings patches. Ze hebben alle informatie in de changelog gezet.

De volgende features zijn aanwezig:
* Posix1e Audit Controls & logging (systrace‚ aclctl)
* Network Port ACLs (sysctl)
* Integrated systrace facilities (systrace)
* File System level ACLS (getfacl‚ setfacl)
* Binary integrity verification (k5ctl)
* Trusted Path Execution (aclctl)
* Application/Users Access Controls (systrace)
* Application Stack Hardening & Protection (integrated)
* Full State-full packet inspection
* IPV4/IPV6 capable
* PF Packet Filter (pf‚ pfctl‚ authpf)
* Invisible Bridged Firewall Capable (brconfig)
* NAT‚ Reverse NAT‚ FTP proxy support‚ one to one NAT
* IPSec VPN (isakmp‚ sa)
* ISAKMP
* Privacy Sub-System (integrated)
* Capable of running on disk‚ /cdrom or Compact Flash
* Optimized kernel for handling large traffic flows
* No unnecessary daemons‚ services.
* Easy to Install via our ftp server‚ cdrom and floppy disk (NOW)

Bron: [url=http://www.freebsdforums.org/forums/showthread.php?s=848e759c4175d2dda2e2313b888439d1&threadid=2115]Bron[/url]
CNet’s Robert Lemos meldt dat een er een lek is gevonden in de nieuwe versies van PHP‚ dat aanvallers doet slagen en in somige gevallen complete servers kan rooten.
Een open-source producers groep kondigde Maandag aan:
[quote]Van php.net: De PHP groep heeft vandaag de details aangekonditg van een seriues lek in PHP versies 4.2.0 en 4.2.1. Een beveiligings update‚ PHP 4.2.2 lost deze kwestie op.
Iedere gebruiker van de oudere versies van PHP wordt geadviseerd haar web server up te graden. De nieuwe release (4.2.2) bevat geen andere veranderingen dus upgraden is zonder consequenties.
[/quote]
De FreeBSD ports tree is al up to date. OpenBSD en NetBSD volgen Freebsd’s voorbeeld.

Het volledige [url=http://zdnet.com.com/2102-1105-945502.html]artikel[/url] is hier te lezen.

NetBSd heeft een nieuwe release, deze release is vooral een bug en security update.
[quote] Announcing NetBSD 1.5.3
=======================

The NetBSD Project is pleased to announce that release 1.5.3 of the
NetBSD operating system is now available.

NetBSD 1.5.3 is a maintenance release for users of NetBSD 1.5.2,
1.5.1, 1.5 and earlier releases, which provides the following
updates relative to 1.5.2:

* A number of security problems have been fixed
* Some performance fixes have been incorporated
* Improved device support in some existing drivers
* Some new device drivers have been added

Please note that a new major release of NetBSD, version 1.6, is
currently in beta test and should be released within a few weeks.
NetBSD 1.6 will be a substantial functional improvement over
NetBSD 1.5.3.

A complete list of changes are available in the CHANGES-1.5.3 file
in top directory of the NetBSD 1.5.3 release tree. Also, included
later in this announcement, is a list of the major changes added
between NetBSD 1.5.2 and 1.5.3.

Complete source and binaries for NetBSD 1.5.3 are available for
download at many sites around the world. A list of download sites via
FTP, AnonCVS, SUP, and other methods is provided at the end of this
announcement; the latest list of available download sites may also be
found at: http://www.netbsd.org/mirrors/
[/quote]

De laatste jaren is JAVA zeer populair geworden onder FreeBSD gebruikers als server-side taal.

Enkele FreeBSD community leden hebben het initatief genomen om een stap verderte gaan‚ ze zijn ermee begonnen dit leidde tot de
bouw van de Java Development Kit (JDK) voor FreeBSD. In [url=http://www.onjava.com/pub/a/onjava/2002/07/10/javabsd.html]dit artikel[/url] van Onlamp’s Justin Stepka wordt dit pad van deze community leden nader bekeken evenals de verschillende instalatie opties en hoe te compileren en instaleren van native versie 1.3 van JDK.

Theo de Raadt poste op de openbsd-misc mailing list dat httpd voortaan standaard gechroot in /var/www.
Dit heeft als gevolg dat alle soorten ongewilde eigenschappen niet meer werken.

[quote]**********************************
To: misc@cvs.openbsd.org
Subject: httpd changes
From: Theo de Raadt
Date: Tue‚ 09 Jul 2002 15:19:07 -0600
——————————————————————————–

httpd by default now chroot’s into /var/www.

This causes all sorts of fancy features to break. Fancy features which
we believe to be quite unsafe.

If you don’t like this behaviour‚ use the -u flag for httpd_flags in
/etc/rc.conf to get back to the way it used to be. We bet that when
the next bug in apache comes‚ you’ll regret it though.

This is the best approach we can currently take against such a
monolothic piece of software with such bad behaviours. It is just too
big to audit‚ so for simple usage‚ we are constraining it to within
that jail.

When you turn the -u flag on and off‚ no other configuration changes
are needed.

All this is documented.

Good luck.
[/quote]

Voor meer informatie hierover lees de volgende [url=http://www.sigmasoft.com/~openbsd/archive/openbsd-misc/200207/threads.html#00639]Thread[/url]

Bron: [url=http://www.freebsd.org/releng/index.html]Freebsd.org[/url]
Bij de volgende release van FreeBSD (17 juli 2002 versie 4.6.1.) wordt SSH en BIND upgedate‚ dit omdat huidige SSH en BIND niet meer veilig zijn.
Hiernaast is er een belangrijke update in de ATA driver en er zijn andere kleine veranderingen.

Ook voor de nieuwe FreeBSD 5.0 wordt een developer preview uitgebracht op 25 Juli. Hiervan zal een volledig package-set aanwezig zijn en een ISO image.

Ik kreeg een aankonding in mijn mailbox dat OpenSSH 3.4 nu in het base system zit (hij zat natuurlijk al in de ports)
[quote]
I finished the upgrade a little over an hour ago‚ and my post-commit
buildworld just completed. It should now be safe to upgrade.

Privilege separation is turned off by default‚ because it breaks
Kerberos ticket passing. If you don’t use ticket passing‚ or don’t
know what Kerberos is‚ it should be safe to turn privilege separation
on in /etc/ssh/sshd_config (after make world and mergemaster‚ of
course.)

Please stay alert for any signs of ssh (particularly sshd) trouble‚ or
unexpected changes in OpenSSH’s behaviour‚ including unexpected
changes in configuration defaults.

DES
[/quote]

Gister kwam op de FreeBSD security mailinglist een melding van een gevaarlijke worm
die op apache 1.3.24 en FreeBSD actief is. Binnen 3 uur was de binary gedeassembleerd en kon
het effect bekeken worden. Later dook ook de source code nog eens op.
Het doel van de trojan was om een DoS aanval uit te voeren op dit adres: 12.127.17.71.
[url=http://dammit.lt/apache-worm/]Meer info[/url]

De worm is als volgt te herkennen:
[quote]
This was spotted on our real-time honeypot systems
(running Apache 1.3.24‚ of course)

bash-2.05a$ ls -la /tmp
total 128
drwxrwxrwt 3 root wheel 512 Jun 28 14:02 .
-rwxr-xr-x 1 nobody wheel 51626 Jun 28 08:25 .a
-rw-r–r– 1 nobody wheel 70563 Jun 28 08:25 .uua
[/quote]

Dus zorg er zeker voor dat je je apache updated