https://opennet.me/openforum/vsluhforumID3/118217.html Во FreeBSD устранена (https://lists.freebsd.org/pipermail/freebsd-announce/2019-August/001908.html) уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery (https://tools.ietf.org/html/rfc2710)). Проблема вызвана (https://www.reddit.com/r/BSD/comments/c4krwr/freebsd_ipv6_remote_dingdong_attack_kernel_panic/) отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны.<br><br><br><br>Уязвимость устранена (https://svnweb.freebsd.org/base?view=revision&revision=350815) в обновлениях 12.0-RELEASE-p10, 11.3-RELEASE-p3 и 11.2-RELEASE-p14. В качестве обходного пути защиты можно отключить поддержку фрагментации для IPv6 или фильтровать на межсетевом экране опции в заголовке HBH. Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и была устранена в OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмот https://opennet.me/openforum/vsluhforumID3/118217.html#84 Sun, 20 Oct 2019 17:32:11 GMT никогда такого не было и вот опять!<br> https://opennet.me/openforum/vsluhforumID3/118217.html#83 Mon, 09 Sep 2019 18:50:26 GMT &gt; но если её положат, она перезапустится<br><br>И будет выговор, т.к. ребут форсмажорный и мониторинг не скроет и не дадут в январе 13-ю зарплату.<br> https://opennet.me/openforum/vsluhforumID3/118217.html#82 Mon, 09 Sep 2019 18:45:53 GMT В банках годная тема. Они оч. любят всё законсервировать в оффлайн. Почему-то с обновлениями без-ти обязательно. Забавные затейники.<br> https://opennet.me/openforum/vsluhforumID3/118217.html#81 Mon, 26 Aug 2019 13:32:50 GMT это в те же времена делали.<br>Сейчас вот такие же люди (не те же, те уже в гробу лежат мирно или не помнят, как поднести ложку ко рту) сделали v6.<br>А никакого другого интернета уже сделать нельзя.<br><br> https://opennet.me/openforum/vsluhforumID3/118217.html#80 Sun, 25 Aug 2019 12:34:35 GMT Только паника случится в прайм тайм, а запланированный ребут как правило приходится делать рано утром (или поздно ночью). Ситуация lose-lose (для админа).<br> https://opennet.me/openforum/vsluhforumID3/118217.html#79 Fri, 23 Aug 2019 20:29:51 GMT &gt; 1. За счёт хомяков и мелкорастов можно наосвобождать очень много<br><br>Ну конечно, так все и бросились нахаляву освобождать тебе адреса. За неслабые деньги - может быть, и платить их будут конечно же пользователи.<br><br>&gt; 2. Про такую штуку, как балансировщик/реверс прокси/DNAT ты, конечно же, не слышал <br><br>Не, не слышал. И ты не слышал, иначе бы такой ерунды не писал. Что ты собрался DNAT'ить, N виртуалок с серыми IP в тот же N белых IP? Это никак не позволит экономить адреса. А любые попытки спрятать больше одной виртуалки за одним адресом для хостинга не подходят вообще никак, потому что его и берут чтобы получить машинку полноценно и постоянно доступную из сети. Прям так и вижу один адрес форвардящий 50k портов в ssh отдельных виртуалок. HTTPS балансер, умеющий снифать SNI? Возможно (потому что сертификаты ему при необходимости терминировать там SSL никто сдавать не будет), только всё что за ним быстренько ляжет от одной странички с шуткой про солнцеликого. Есть вещи которым принципиально нельзя сменить порт, т https://opennet.me/openforum/vsluhforumID3/118217.html#78 Fri, 23 Aug 2019 20:15:50 GMT ISO OSI делали из слоновой кости и концентрированных седин. Результат не впечатлил.<br> https://opennet.me/openforum/vsluhforumID3/118217.html#77 Fri, 23 Aug 2019 16:57:17 GMT 1. За счёт хомяков и мелкорастов можно наосвобождать очень много<br>2. Про такую штуку, как балансировщик/реверс прокси/DNAT ты, конечно же, не слышал<br> https://opennet.me/openforum/vsluhforumID3/118217.html#76 Fri, 23 Aug 2019 16:55:50 GMT Значит будем жить на v4 :)<br>