Ma FreeBSD ʻelima mau haʻahaʻa, me nā pilikia e hiki ke alakaʻi i ke kākau ʻana i ka ʻikepili kernel-level i ka wā e hoʻouna ai i kekahi mau ʻeke pūnaewele a ʻae paha i kahi mea hoʻohana kūloko e hoʻonui i ko lākou mau pono. Ua hoʻopaʻa ʻia nā mea palupalu i nā mea hou 12.1-RELEASE-p5 a me 11.3-RELEASE-p9.
ʻO ka pilikia weliweli loa () ma muli o ka nele o ka nānā ʻana i ka nui o ka ʻeke ma ka waihona libalias i ka wā e hoʻopau ai i nā poʻomanaʻo kikoʻī protocol. Hoʻohana ʻia ka waihona libalias ma ka kānana packet ipfw no ka unuhi ʻana i ka helu wahi a me nā hana maʻamau no ka hoʻololi ʻana i nā ʻōlelo i loko o nā ʻeke IP a me nā protocol parsing. Hāʻawi ka nāwaliwali, ma ka hoʻouna ʻana i kahi ʻeke pūnaewele i hoʻolālā ʻia, e heluhelu a kākau paha i ka ʻikepili ma ka wahi hoʻomanaʻo kernel (ke hoʻohana ʻana i ka hoʻokō NAT i ka kernel) a i ʻole kaʻina hana.
natd (inā hoʻohana ʻia kahi hoʻokō NAT mea hoʻohana). ʻAʻole pili ka pilikia i nā hoʻonohonoho NAT i kūkulu ʻia me ka hoʻohana ʻana i nā kānana packet pf a ipf, a i ʻole nā pilikia ipfw i hoʻohana ʻole i ka NAT.
Nā pilikia ʻē aʻe:
- - kekahi mea nawaliwali i hiki ke hoohanaia ma ka libalias e pili ana i ka helu pololei ole o ka loihi o ka packet ma ka mea lawelawe FTP. Ua kaupalena ʻia ka pilikia i ka hoʻokuʻu ʻana i nā ʻike o kekahi mau bytes o ka ʻikepili mai ka wahi hoʻomanaʻo kernel a i ʻole kaʻina natd.
- - he palupalu i loko o ka cryptodev module i hoʻokumu ʻia e ke komo ʻana i kahi wahi hoʻomanaʻo i hoʻokuʻu ʻia (hoʻohana-ma hope-free), a ʻae i kahi kaʻina hana ʻole e hoʻololi i nā wahi arbitrary o ka hoʻomanaʻo kernel. Ma ke ʻano he hana no ka pale ʻana i ka nāwaliwali, ua ʻōlelo ʻia e wehe i ka module cryptodev me ke kauoha "kldunload cryptodev" inā ua hoʻouka ʻia (ʻaʻole hoʻouka ʻia ka cryptdev e ka paʻamau). Hāʻawi ka module cryptodev i nā noi hoʻohana-space me ke komo ʻana i ka interface /dev/crypto no ke komo ʻana i nā hana cryptographic wikiwiki wikiwiki (/dev/crypto ʻaʻole i hoʻohana ʻia ma AES-NI a me OpenSSL).
- - ka lua o ka vulnerability i cryptodev, ka mea e hiki ai i kahi mea hoʻohana pono ʻole ke hoʻomaka i kahi pōʻino kernel ma o ka hoʻouna ʻana i kahi noi e hana i kahi hana cryptographic me kahi MAC hewa ʻole. ʻO ka pilikia ma muli o ka nele o ka nānā ʻana i ka nui o ke kī MAC i ka wā e hoʻokaʻawale ai i kahi pale e mālama ai (ua hana ʻia ka buffer ma muli o ka ʻikepili nui i hāʻawi ʻia e ka mea hoʻohana, me ka nānā ʻole i ka nui maoli).
- - he palupalu i ka hoʻokō ʻana i ka protocol SCTP (Stream Control Transmission Protocol) ma muli o ka hōʻoia hewa ʻole o ke kī kaʻana i hoʻohana ʻia e ka hoʻonui SCTP-AUTH e hōʻoia i nā kaʻina SCTP. Hiki i kahi noi kūloko ke hōʻano hou i ke kī ma o ka Socket API aʻo ka hoʻopau ʻana i ka pilina SCTP, e alakaʻi i ke komo ʻana i kahi wahi hoʻomanaʻo i hoʻokuʻu ʻia (hoʻohana-ma hope-free).
Source: opennet.ru