2008-08-04

[fr] Chi va piano va sano et va lontano

Dimanche, en sirotant mon café matinal, je mets à jour l'arbre des portages Gentoo et je suis étonné de voir passer une mise à jour de BIND, alors que je crois vaguement me souvenir d'en avoir vu passer une ultra-importante (bien qu'ultra-secrète et totalement obfusquée <grin>) peu de temps auparavant. Mon café fini et mon cerveau plus en marche, ça se confirme: bind 9.4.2_p2 veut s'installer sur mes pingouins.
Allons donc chercher le Changelog du monstre.
Pour la 9.4.2_p1, c'est vite vu:
2375. [security] Fully randomize UDP query ports to improve forgery resilience. [RT #17949]

Simple, net, et même sans café, j'arrive à m'en souvenir tellement j'en ai entendu parler.
Pour la 9.4.2_p2, accrochez-vous!
2406. [bug] Some operating systems have FD_SETSIZE set to a low value by default, which can cause resource exhaustion when many simultaneous connections are open. Linux in particular makes it difficult to increase this value. To use more sockets with select(), set ISC_SOCKET_FDSETSIZE. Example:
STD_CDEFINES="-DISC_SOCKET_FDSETSIZE=4096" ./configure
(This should not be necessary in most cases, and never for an authoritative-only server.) [RT #18328]
2404. [port] hpux: files unlimited support.
2403. [bug] TSIG context leak. [RT #18341]
2402. [port] Support Solaris 2.11 and over. [RT #18362]
2401. [bug] Expect to get E[MN]FILE errno internal_accept() (from accept() or fcntl() system calls). [RT #18358]
2399. [bug] Abort timeout queries to reduce the number of open UDP sockets. [RT #18367]
2398. [bug] Improve file descriptor management. New, temporary, named.conf option reserved-sockets, default 512. [RT #18344]
2396. [bug] Don't set SO_REUSEADDR for randomized ports. [RT #18336]
2395. [port] Avoid warning and no effect from "files unlimited" on Linux when running as root. [RT #18335]
2394. [bug] Default configuration options set the limit for open files to 'unlimited' as described in the documentation. [RT #18331]
2392. [bug] remove 'grep -q' from acl test script, some platforms don't support it. [RT #18253]
2322. [port] MacOS: work around the limitation of setrlimit() for RLIMIT_NOFILE. [RT #17526]
Je vous laisse compter les termes "limit" et "exhaustion" puis élaborer des hypothèses fumeuses sur la sortie en catastrophe de ce patch.
Je vous rappelle que si Deputy Dan a caché les détails de son attaque, c'était pour laisser aux vendeurs le temps de se retourner et de nous préparer des beaux patchs bien testés, mais pour faire sa pub, hein?
J'espère sincèrement qu'il aura son pwnie award!

Labels: ,

0 Comments:

Post a Comment

<< Home