FreeBSD 5.0-RELEASE Errata

Das FreeBSD Projekt

$FreeBSD$


Dieses Dokument enth�lt die Errata f�r FreeBSD 5.0-RELEASE, also wichtige Informationen, die kurz vor bzw. erst nach der Ver�ffentlichung bekannt wurden. Dazu geh�ren Ratschl�ge zur Sicherheit sowie �nderungen in der Software oder Dokumentation, welche die Stabilit�t und die Nutzung beeintr�chtigen k�nnten. Sie sollten immer die aktuelle Version dieses Dokumentes lesen, bevor sie diese Version von FreeBSD installieren.

Diese Errata f�r FreeBSD 5.0-RELEASE werden bis zum Erscheinen von FreeBSD 5.1-RELEASE weiter aktualisiert werden.


1. Einleitung

Diese Errata enthalten ``brandhei�e'' Informationen �ber FreeBSD 5.0-RELEASE. Bevor Sie diese Version installieren, sollten Sie auf jeden Fall dieses Dokument lesen, um �ber Probleme informiert zu werden, die erst nach der Ver�ffentlichung entdeckt (und vielleicht auch schon behoben) wurden.

Die zusammen mit der Ver�ffentlichung erschienene Version dieses Dokumentes (zum Beispiel die Version auf der CDROM) ist per Definition veraltet. Allerdings sind im Internet aktualisierte Versionen verf�gbar, die die ``aktuellen Errata'' f�r diese Version sind. Diese Versionen sind bei http://www.FreeBSD.org/releases/ und allen aktuellen Mirrors dieser Webseite verf�gbar.

Die Snapshots von FreeBSD 5-CURRENT (sowohl die der Quelltexte als auch die der ausf�hrbaren Programme) enthalten ebenfalls die zum Zeitpunkt ihrer Ver�ffentlichung aktuelle Version dieses Dokumentes.

Die Liste der FreeBSD CERT security advisories finden Sie bei http://www.FreeBSD.org/security/ oder ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/.


2. Sicherheitshinweise

Ein �ber das Netzwerk nutzbarer Fehler in CVS k�nnte dazu f�hren, da� ein Angreifer beliebige Programme auf dem CVS Server ausf�hren kann. Weitere Informationen finden Sie in FreeBSD-SA-03:01.

Durch Auswertung der Antwortzeiten von OpenSSL w�re es einem Angreifer mit sehr viel Rechenleistung m�glich gewesen, unter bestimmten Umst�nden den Klartext der �bermittelten Daten zu erhalten. Dieser Fehler wurde in FreeBSD 5.1-RELEASE durch die neue OpenSSL Version 0.9.7 behoben. Auf den f�r Sicherheitsprobleme unterst�tzten Entwicklungszweigen wurde der Fehler durch die neue OpenSSL Version 0.9.6i behoben. Weitere Informationen finden Sie in FreeBSD-SA-03:02

Es ist theoretisch m�glich, da� ein Angreifer den geheimen Schl�ssel ermittelt, der von der Erweiterung ``syncookies'' genutzt wird. Dadurch sinkt deren Effektivit�t beim Schutz vor TCP SYN Flood Denial-of-Service Angriffen. Hinweise, wie sie das Problem umgehen k�nnen und weitere Informationen finden Sie in FreeBSD-SA-03:03.

Durch diverse Puffer-�berl�ufe in den von sendmail genutzten Routinen zum Parsen des Headers war es einen Angreifer m�glich, eine speziell konstruierte Nachricht an sendmail(8) zu senden und so beliebige Programme ausf�hren zu lassen. Diese Programme verf�gten �ber die Rechte des Benutzers, unter dessen Kennung sendmail(8) lief, also typischerweise root. Weitere Informationen und Verweise auf Patches finden Sie in FreeBSD-SA-03:04 und FreeBSD-SA-03:07.

Durch einen Puffer-�berlauf im XDR Kodierer/Dekodierer war es einem Angreifer m�glich, den Service zum Absturz zu bringen. Informationen, wie Sie den Fehler beheben, finden Sie in FreeBSD-SA-03:05.

OpenSSL enth�lt zwei Schwachstellen, die erst vor kurzer Zeit bekannt gemacht wurden. Informationen, wie Sie die Probleme umgehen k�nnen und weitere Informationen finden Sie in FreeBSD-SA-03:06.


3. Aktuelle Informationen

GEOM

Die auf geom(4) basierenden Routinen des Kernel zur Partitionierung erlauben es nicht, eine aktive Partition zu �berschreiben. Mit anderen Worten, es ist in der Regel nicht m�glich, den Bootsektor einer Festplatte mit disklabel -B zu aktualisieren, da die Partition a auch den Bereich enth�lt, in dem die Bootsektoren gespeichert sind. Um dieses Problem zu umgehen, sollten Sie von einer anderen Platte, einer CD oder der Fixit-Diskette booten.

dump(8)

Werden Festplatten und �hnliche Medien mit einer Blockgr��e von mehr als 512 Byte benutzt (zum Beispiel mit geom(4) verschl�sselte Partitionen), behandelt dump(8) die gr��eren Sektoren nicht korrekt und kann daher das Dateisystem nicht dumpen. Eine M�glichkeit, das Problem zu umgehen, ist die Erzeugung einer ``rohen'' Kopie des gesamten Dateisystems, die dann als Eingabedatei f�r dump(8) dient. Es ist m�glich, ein komplettes Dateisystem in einer normalen Datei zu speichern:

# dd if=/dev/ad0s1d.bde of=/junk/ad0.dd bs=1m
# dump 0f - /junk/ad0.dd | ...

Eine etwas einfachere L�sung ist, tar(1) oder cpio(1) zur Erzeugung des Backups zu verwende.

mly(4)

Es gibt Berichte, da� sich Systeme bei der Installation von FreeBSD 5.0 Snapshots auf RAIDs an mly(4)-kompatiblen Controller aufgeh�ngt haben, obwohl die Systeme problemlos mit 4.7-RELEASE zusammenarbeiten. Dieser Fehler wurde in FreeBSD 5.1-RELEASE bereits behoben.

NETNCP/Unterst�tzung des Dateisystems

NETNCP und nwfs sind offenbar noch nicht an KSE angepa�t worden und funktionieren daher nicht. Dieser Fehler wurde in FreeBSD 5.1-RELEASE bereits behoben.

iir(4) Controller

Bei der Installation scheinen iir(4)-Controller korrekt erkannt zu werden, allerdings finden Sie keine der angeschlossenen Festplatten.

Timing-Probleme in truss(1)

Es scheint ein Timing-Problem beim Start des Debuggings mit truss(1) zu geben, durch das truss(1) manchmal nicht in der Lage ist, eine Verbindung zu einem Proze� aufzubauen, bevor er gestartet wird. In diesem Fall meldet truss(1), da� es die procfs(5) Node f�r den zu debuggenden Proze� nicht �ffnen kann. Es scheint einen weiteren Fehler zu geben, durch den truss(1) sich aufh�ngt, wenn execve(2) den Wert ENOENT zur�ckgibt. Ein weiteres Timing-Problem f�hrt dazu, da� truss(1) beim Start manchmal ``PIOCWAIT: Input/output error'' meldet. Es existieren zwar Korrekturen f�r diese Probleme, da diese aber zu sehr in die Routinen zur Ausf�hrung von Prozessen eingreifen, werden sie erst nach dem Erscheinen von 5.0 ins System aufgenommen.

Partitionierung von Festplatten durch das Installationsprogramm

Es gibt einige Meldungen �ber Fehler bei der Partitionierung von Festplatten mit sysinstall(8). Eines der Probleme ist, da� sysinstall(8) den freien Platz auf einer Festplatten nicht neu berechnen kann, nachdem der Typ einer FDISK-Partition ge�ndert wurde.

Veraltete Dokumentation

In einigen F�llen wurde die Dokumentation (wie zum Beispiel die FAQ und das Handbuch) nicht aktualisiert und geht nicht auf die Neuerungen in FreeBSD 5.0-RELEASE ein. Zum Beispiel fehlt noch Dokumentation zu gbde(8) und den neuen ``fast IPsec'' Routinen.

SMB Dateisystem

Ab und zu kommt beim Versuch, die Verbindung zu einem SMBFS Share zu trennen, die Meldung ``Device busy'', obwohl das Share nicht benutzt wird. Die einzige L�sung f�r dieses Problem ist, die Operation so lange zu wiederholen, bis die Verbindung getrennt wird. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

Der Versuch, die Trennung der Verbindung zu einem SMBFS Share mit umount -f zu erzwingen, kann zu einer Kernel Panic f�hren. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

fstat(2)

Wird fstat(2) auf einen Socket angewendet, f�r den bereits eine Verbindung besteht, sollte es die Anzahl der zum Lesen verf�gbaren Zeichen in dem Feld st_size der Struktur struct stat zur�ckgeben. Leider wird bei TCP Sockets immer ein st_size von 0 gemeldet. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

Kernel Event Queues

Der zu kqueue(2) geh�rende Filter EVFILT_READ meldet f�lschlicherweise immer, da� an einem TCP Socket 0 Zeichen zum Lesen bereitstehen, auch wenn in Wirklichkeit Zeichen zum Lesen verf�gbar sind. Die bei EVFILT_READ verf�gbare Option NOTE_LOWAT arbeitet bei TCP Sockets ebenfalls fehlerhaft. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

POSIX Named Semaphores

Eine der Neuerungen in FreeBSD 5.0-RELEASE ist die Unterst�tzung f�r Named Semaphores nach POSIX. Die Routinen enthalten leider einen Fehler, durch den sich sem_open(3) falsch verhalten kann, wenn eine Semaphore von einem Proze� mehrfach ge�ffnet wird und durch den sem_close(3) zum Absturz des Programms f�hren kann. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

Zugriffsrechte f�r /dev/tty

FreeBSD 5.0-RELEASE enth�lt einen kleinen Fehler im Bereich der Berechtigungen von /dev/tty. Dieser Fehler tritt auf, wenn sich ein Benutzer einloggt, der weder root noch Mitglied der Gruppe tty ist. Wechselt dieser Benutzer nun mit su(1) zu einer anderen Benutzerkennung, die ebenfalls weder root noch Mitglied der Gruppe tty ist, kann er ssh(1) nicht nutzen, da es /dev/tty nicht �ffnen kann. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

growfs(8)

growfs(8) funktioniert auf vinum(4) Partitionen nicht mehr, da auf ihnen kein Disklabel mehr emuliert wird und growfs(8) das Disklabel analysieren will. Das Problem betrifft wahrscheinlich auch alle anderen Massenspeicher, f�r die geom(4) benutzt wird.

IPFW

ipfw(4) skipto Regeln funktionieren nicht, wenn gleichzeitig das Schl�sselwort log verwendet wird. Auch die uid funktionieren nicht richtig. Diese Fehler wurden in 5.1-RELEASE bereits behoben.

adduser(8) und Pa�w�rter

adduser(8) kann das Pa�wort eines neu angelegten Benutzers nicht setzen, wenn dieses Sonderzeichen der Shell enth�lt. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

xl(4)

Der Treiber xl(4) enth�lt einen Fehler, der zu einem Absturz des Systems mit der Meldung ``kernel panic'' und anderen Problemen f�hren kann, wenn man versucht, ein Netzwerk-Interface zu konfigurieren. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

ISC DHCP

ISC DHCP steht jetzt in der Version 3.0.1rc11 zur Verf�gung. Diese Aktualisierung erfolgte bereits in FreeBSD 5.0-RELEASE, wurde aber nicht in den Release Notes dokumentiert.

Kompatibilit�tsprobleme bei amd(8)

Der nicht-blockierende Teil der RPC-Routinen in 5.0-RELEASE ist fehlerhaft. Einer der auff�lligsten Effekte dieser Fehler ist, da� Anwender von amd(8) nicht in der Lage sind, Dateisysteme von einem 5.0-RELEASE Server zu mounten. Dieser Fehler wurde in 5.1-RELEASE bereits behoben.

nsswitch

Im Eintrag f�r nsswitch in den Release Notes wurde ein falscher Name f�r die bisher genutzte Konfigurationsdatei genannt. Die bisher genutzte Konfigurationsdatei ist /etc/host.conf.

Mailman

Die FreeBSD Mailinglisten werden jetzt mit Mailman und nicht mehr mit Majordomo verwaltet. Weitere Informationen finden sie auf der FreeBSD Mailman Info Page.


Diese Datei und andere Dokumente zu dieser Version sind bei ftp://ftp.FreeBSD.org/verfuegbar.

Wenn Sie Fragen zu FreeBSD haben, lesen Sie erst die Dokumentation, bevor Sie sich an <[email protected]> wenden.

Alle Anwender von FreeBSD 5-CURRENT sollten sich in die Mailingliste <[email protected]> eintragen.

Wenn Sie Fragen zu dieser Dokumentation haben, wenden Sie sich an <[email protected]>.