Das &os; Projekt $FreeBSD$ 2000 2001 2002 2003 The FreeBSD Documentation Project 2001 2002 2003 The FreeBSD German Documentation Project Dieses Dokument enthält die Errata für &os; also wichtige Informationen, die kurz vor bzw. erst nach der Veröffentlichung bekannt wurden. Dazu gehören Ratschläge zur Sicherheit sowie Änderungen in der Software oder Dokumentation, welche die Stabilität und die Nutzung beeinträchtigen könnten. Sie sollten immer die aktuelle Version dieses Dokumentes lesen, bevor sie diese Version von &os; installieren. Diese Errata für &os; werden bis zum Erscheinen von &os; 5.1-RELEASE weiter aktualisiert werden. Diese Errata enthalten brandheiße Informationen über &os; Bevor Sie diese Version installieren, sollten Sie auf jeden Fall dieses Dokument lesen, um über Probleme informiert zu werden, die erst nach der Veröffentlichung entdeckt (und vielleicht auch schon behoben) wurden. Die zusammen mit der Veröffentlichung erschienene Version dieses Dokumentes (zum Beispiel die Version auf der CDROM) ist per Definition veraltet. Allerdings sind im Internet aktualisierte Versionen verfügbar, die die aktuellen Errata für diese Version sind. Diese Versionen sind bei und allen aktuellen Mirrors dieser Webseite verfügbar. Die Snapshots von &os; &release.branch; (sowohl die der Quelltexte als auch die der ausführbaren Programme) enthalten ebenfalls die zum Zeitpunkt ihrer Veröffentlichung aktuelle Version dieses Dokumentes. Die Liste der &os; CERT security advisories finden Sie bei oder . Ein über das Netzwerk nutzbarer Fehler in CVS könnte dazu führen, daß ein Angreifer beliebige Programme auf dem CVS Server ausführen kann. Weitere Informationen finden Sie in FreeBSD-SA-03:01. Durch Auswertung der Antwortzeiten von OpenSSL wäre es einem Angreifer mit sehr viel Rechenleistung möglich gewesen, unter bestimmten Umständen den Klartext der übermittelten Daten zu erhalten. Dieser Fehler wurde in &os; &release.current; durch die neue OpenSSL Version 0.9.7 behoben. Auf den für Sicherheitsprobleme unterstützten Entwicklungszweigen wurde der Fehler durch die neue OpenSSL Version 0.9.6i behoben. Weitere Informationen finden Sie in FreeBSD-SA-03:02 Es ist theoretisch möglich, daß ein Angreifer den geheimen Schlüssel ermittelt, der von der Erweiterung syncookies genutzt wird. Dadurch sinkt deren Effektivität beim Schutz vor TCP SYN Flood Denial-of-Service Angriffen. Hinweise, wie sie das Problem umgehen können und weitere Informationen finden Sie in FreeBSD-SA-03:03. Durch diverse Puffer-Überläufe in den von sendmail genutzten Routinen zum Parsen des Headers war es einen Angreifer möglich, eine speziell konstruierte Nachricht an &man.sendmail.8; zu senden und so beliebige Programme ausführen zu lassen. Diese Programme verfügten über die Rechte des Benutzers, unter dessen Kennung &man.sendmail.8; lief, also typischerweise root. Weitere Informationen und Verweise auf Patches finden Sie in FreeBSD-SA-03:04 und FreeBSD-SA-03:07. Durch einen Puffer-Überlauf im XDR Kodierer/Dekodierer war es einem Angreifer möglich, den Service zum Absturz zu bringen. Informationen, wie Sie den Fehler beheben, finden Sie in FreeBSD-SA-03:05. OpenSSL enthält zwei Schwachstellen, die erst vor kurzer Zeit bekannt gemacht wurden. Informationen, wie Sie die Probleme umgehen können und weitere Informationen finden Sie in FreeBSD-SA-03:06. GEOM Die auf &man.geom.4; basierenden Routinen des Kernel zur Partitionierung erlauben es nicht, eine aktive Partition zu überschreiben. Mit anderen Worten, es ist in der Regel nicht möglich, den Bootsektor einer Festplatte mit disklabel -B zu aktualisieren, da die Partition a auch den Bereich enthält, in dem die Bootsektoren gespeichert sind. Um dieses Problem zu umgehen, sollten Sie von einer anderen Platte, einer CD oder der Fixit-Diskette booten. &man.dump.8; Werden Festplatten und ähnliche Medien mit einer Blockgröße von mehr als 512 Byte benutzt (zum Beispiel mit &man.geom.4; verschlüsselte Partitionen), behandelt &man.dump.8; die größeren Sektoren nicht korrekt und kann daher das Dateisystem nicht dumpen. Eine Möglichkeit, das Problem zu umgehen, ist die Erzeugung einer rohen Kopie des gesamten Dateisystems, die dann als Eingabedatei für &man.dump.8; dient. Es ist möglich, ein komplettes Dateisystem in einer normalen Datei zu speichern: &prompt.root; dd if=/dev/ad0s1d.bde of=/junk/ad0.dd bs=1m &prompt.root; dump 0f - /junk/ad0.dd | ... Eine etwas einfachere Lösung ist, &man.tar.1; oder &man.cpio.1; zur Erzeugung des Backups zu verwende. &man.mly.4; Es gibt Berichte, daß sich Systeme bei der Installation von &os; 5.0 Snapshots auf RAIDs an &man.mly.4;-kompatiblen Controller aufgehängt haben, obwohl die Systeme problemlos mit 4.7-RELEASE zusammenarbeiten. Dieser Fehler wurde in &os; &release.current; bereits behoben. NETNCP/Unterstützung des Dateisystems NETNCP und nwfs sind offenbar noch nicht an KSE angepaßt worden und funktionieren daher nicht. Dieser Fehler wurde in &os; &release.current; bereits behoben. &man.iir.4; Controller Bei der Installation scheinen &man.iir.4;-Controller korrekt erkannt zu werden, allerdings finden Sie keine der angeschlossenen Festplatten. Timing-Probleme in &man.truss.1; Es scheint ein Timing-Problem beim Start des Debuggings mit &man.truss.1; zu geben, durch das &man.truss.1; manchmal nicht in der Lage ist, eine Verbindung zu einem Prozeß aufzubauen, bevor er gestartet wird. In diesem Fall meldet &man.truss.1;, daß es die &man.procfs.5; Node für den zu debuggenden Prozeß nicht öffnen kann. Es scheint einen weiteren Fehler zu geben, durch den &man.truss.1; sich aufhängt, wenn &man.execve.2; den Wert ENOENT zurückgibt. Ein weiteres Timing-Problem führt dazu, daß &man.truss.1; beim Start manchmal PIOCWAIT: Input/output error meldet. Es existieren zwar Korrekturen für diese Probleme, da diese aber zu sehr in die Routinen zur Ausführung von Prozessen eingreifen, werden sie erst nach dem Erscheinen von 5.0 ins System aufgenommen. Partitionierung von Festplatten durch das Installationsprogramm Es gibt einige Meldungen über Fehler bei der Partitionierung von Festplatten mit &man.sysinstall.8;. Eines der Probleme ist, daß &man.sysinstall.8; den freien Platz auf einer Festplatten nicht neu berechnen kann, nachdem der Typ einer FDISK-Partition geändert wurde. Veraltete Dokumentation In einigen Fällen wurde die Dokumentation (wie zum Beispiel die FAQ und das Handbuch) nicht aktualisiert und geht nicht auf die Neuerungen in &os; &release.prev; ein. Zum Beispiel fehlt noch Dokumentation zu &man.gbde.8; und den neuen fast IPsec Routinen. SMB Dateisystem Ab und zu kommt beim Versuch, die Verbindung zu einem SMBFS Share zu trennen, die Meldung Device busy, obwohl das Share nicht benutzt wird. Die einzige Lösung für dieses Problem ist, die Operation so lange zu wiederholen, bis die Verbindung getrennt wird. Dieser Fehler wurde in &release.current; bereits behoben. Der Versuch, die Trennung der Verbindung zu einem SMBFS Share mit umount -f zu erzwingen, kann zu einer Kernel Panic führen. Dieser Fehler wurde in &release.current; bereits behoben. &man.fstat.2; Wird &man.fstat.2; auf einen Socket angewendet, für den bereits eine Verbindung besteht, sollte es die Anzahl der zum Lesen verfügbaren Zeichen in dem Feld st_size der Struktur struct stat zurückgeben. Leider wird bei TCP Sockets immer ein st_size von 0 gemeldet. Dieser Fehler wurde in &release.current; bereits behoben. Kernel Event Queues Der zu &man.kqueue.2; gehörende Filter EVFILT_READ meldet fälschlicherweise immer, daß an einem TCP Socket 0 Zeichen zum Lesen bereitstehen, auch wenn in Wirklichkeit Zeichen zum Lesen verfügbar sind. Die bei EVFILT_READ verfügbare Option NOTE_LOWAT arbeitet bei TCP Sockets ebenfalls fehlerhaft. Dieser Fehler wurde in &release.current; bereits behoben. POSIX Named Semaphores Eine der Neuerungen in &os; &release.prev; ist die Unterstützung für Named Semaphores nach POSIX. Die Routinen enthalten leider einen Fehler, durch den sich &man.sem.open.3; falsch verhalten kann, wenn eine Semaphore von einem Prozeß mehrfach geöffnet wird und durch den &man.sem.close.3; zum Absturz des Programms führen kann. Dieser Fehler wurde in &release.current; bereits behoben. Zugriffsrechte für /dev/tty &os; &release.prev; enthält einen kleinen Fehler im Bereich der Berechtigungen von /dev/tty. Dieser Fehler tritt auf, wenn sich ein Benutzer einloggt, der weder root noch Mitglied der Gruppe tty ist. Wechselt dieser Benutzer nun mit &man.su.1; zu einer anderen Benutzerkennung, die ebenfalls weder root noch Mitglied der Gruppe tty ist, kann er &man.ssh.1; nicht nutzen, da es /dev/tty nicht öffnen kann. Dieser Fehler wurde in &release.current; bereits behoben. &man.growfs.8; &man.growfs.8; funktioniert auf &man.vinum.4; Partitionen nicht mehr, da auf ihnen kein Disklabel mehr emuliert wird und &man.growfs.8; das Disklabel analysieren will. Das Problem betrifft wahrscheinlich auch alle anderen Massenspeicher, für die &man.geom.4; benutzt wird. IPFW &man.ipfw.4; skipto Regeln funktionieren nicht, wenn gleichzeitig das Schlüsselwort log verwendet wird. Auch die uid funktionieren nicht richtig. Diese Fehler wurden in &release.current; bereits behoben. &man.adduser.8; und Paßwörter &man.adduser.8; kann das Paßwort eines neu angelegten Benutzers nicht setzen, wenn dieses Sonderzeichen der Shell enthält. Dieser Fehler wurde in &release.current; bereits behoben. &man.xl.4; Der Treiber &man.xl.4; enthält einen Fehler, der zu einem Absturz des Systems mit der Meldung kernel panic und anderen Problemen führen kann, wenn man versucht, ein Netzwerk-Interface zu konfigurieren. Dieser Fehler wurde in &release.current; bereits behoben. ISC DHCP ISC DHCP steht jetzt in der Version 3.0.1rc11 zur Verfügung. Diese Aktualisierung erfolgte bereits in &os; &release.prev;, wurde aber nicht in den Release Notes dokumentiert. Kompatibilitätsprobleme bei &man.amd.8; Der nicht-blockierende Teil der RPC-Routinen in &release.prev; ist fehlerhaft. Einer der auffälligsten Effekte dieser Fehler ist, daß Anwender von &man.amd.8; nicht in der Lage sind, Dateisysteme von einem &release.prev; Server zu mounten. Dieser Fehler wurde in &release.current; bereits behoben. nsswitch Im Eintrag für nsswitch in den Release Notes wurde ein falscher Name für die bisher genutzte Konfigurationsdatei genannt. Die bisher genutzte Konfigurationsdatei ist /etc/host.conf. Mailman Die &os; Mailinglisten werden jetzt mit Mailman und nicht mehr mit Majordomo verwaltet. Weitere Informationen finden sie auf der FreeBSD Mailman Info Page.