1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
|
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook XML V5.0-Based Extension//EN"
"../../../share/xml/freebsd50.dtd" [
<!ENTITY % release PUBLIC "-//FreeBSD//ENTITIES Release Specification//EN" "release.ent">
%release;
]>
<!--
FreeBSD errata document. Unlike some of the other RELNOTESng
files, this file should remain as a single SGML file, so that
the dollar FreeBSD dollar header has a meaningful modification
time. This file is all but useless without a datestamp on it,
so we'll take some extra care to make sure it has one.
(If we didn't do this, then the file with the datestamp might
not be the one that received the last change in the document.)
$FreeBSDde: de-docproj/relnotes/de_DE.ISO8859-1/errata/article.xml,v 1.39 2003/05/24 13:23:46 ue Exp $
basiert auf: 1.38
-->
<article xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:lang="de">
<info><title>&os; &release; Errata</title>
<authorgroup>
<author><orgname>Das &os; Projekt</orgname></author>
</authorgroup>
<pubdate>$FreeBSD$</pubdate>
<copyright>
<year>2000</year>
<year>2001</year>
<year>2002</year>
<year>2003</year>
<holder role="mailto:freebsd-doc@FreeBSD.org">The FreeBSD Documentation Project</holder>
</copyright>
<copyright>
<year>2001</year>
<year>2002</year>
<year>2003</year>
<holder role="mailto:de-bsd-translators@de.FreeBSD.org">The FreeBSD German Documentation Project</holder>
</copyright>
<abstract>
<para>Dieses Dokument enthält die Errata für &os; &release;,
also wichtige Informationen, die kurz vor bzw. erst nach
der Veröffentlichung bekannt wurden. Dazu gehören
Ratschläge zur Sicherheit sowie Änderungen in der
Software oder Dokumentation, welche die Stabilität und die
Nutzung beeinträchtigen könnten. Sie sollten immer
die aktuelle Version dieses Dokumentes lesen, bevor sie diese
Version von &os; installieren.</para>
<para>Diese Errata für &os; &release;
werden bis zum
Erscheinen von &os; 5.1-RELEASE weiter aktualisiert
werden.</para>
</abstract>
</info>
<sect1 xml:id="intro">
<title>Einleitung</title>
<para>Diese Errata enthalten <quote>brandheiße</quote>
Informationen über &os; &release;.
Bevor Sie diese
Version installieren, sollten Sie auf jeden Fall dieses Dokument
lesen, um über Probleme informiert zu werden, die erst nach
der Veröffentlichung entdeckt (und vielleicht auch schon
behoben) wurden.</para>
<para>Die zusammen mit der Veröffentlichung erschienene
Version dieses Dokumentes (zum Beispiel die Version auf der
CDROM) ist per Definition veraltet. Allerdings sind im Internet
aktualisierte Versionen verfügbar, die die <quote>aktuellen
Errata</quote> für diese Version sind. Diese Versionen
sind bei <uri xlink:href="http://www.FreeBSD.org/releases/">http://www.FreeBSD.org/releases/</uri>
und allen aktuellen Mirrors dieser Webseite
verfügbar.</para>
<para>Die Snapshots von &os; &release.branch; (sowohl die der
Quelltexte als auch die der ausführbaren Programme)
enthalten ebenfalls die zum Zeitpunkt ihrer
Veröffentlichung aktuelle Version dieses
Dokumentes.</para>
<para>Die Liste der &os; CERT security advisories finden Sie bei
<uri xlink:href="http://www.FreeBSD.org/security/">http://www.FreeBSD.org/security/</uri> oder
<uri xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/">ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/</uri>.</para>
</sect1>
<sect1 xml:id="security">
<title>Sicherheitshinweise</title>
<para>Ein über das Netzwerk nutzbarer Fehler in
<application>CVS</application> könnte dazu führen,
daß ein Angreifer beliebige Programme auf dem CVS Server
ausführen kann. Weitere Informationen finden Sie in <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:01.cvs.asc">FreeBSD-SA-03:01</link>.</para>
<para>Durch Auswertung der Antwortzeiten von
<application>OpenSSL</application> wäre es einem Angreifer
mit sehr viel Rechenleistung möglich gewesen, unter
bestimmten Umständen den Klartext der übermittelten
Daten zu erhalten. Dieser Fehler wurde in &os;
&release.current; durch die neue
<application>OpenSSL</application> Version 0.9.7 behoben. Auf
den für Sicherheitsprobleme unterstützten
Entwicklungszweigen wurde der Fehler durch die neue
<application>OpenSSL</application> Version 0.9.6i behoben.
Weitere Informationen finden Sie in <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:02.openssl.asc">FreeBSD-SA-03:02</link></para>
<para>Es ist theoretisch möglich, daß ein Angreifer den
geheimen Schlüssel ermittelt, der von der Erweiterung
<quote>syncookies</quote> genutzt wird. Dadurch sinkt deren
Effektivität beim Schutz vor TCP SYN Flood
Denial-of-Service Angriffen. Hinweise, wie sie das Problem
umgehen können und weitere Informationen finden Sie in
<link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:03.syncookies.asc">FreeBSD-SA-03:03</link>.</para>
<para>Durch diverse Puffer-Überläufe in den von
<application>sendmail</application> genutzten Routinen zum
Parsen des Headers war es einen Angreifer möglich, eine
speziell konstruierte Nachricht an &man.sendmail.8; zu senden
und so beliebige Programme ausführen zu lassen. Diese
Programme verfügten über die Rechte des Benutzers,
unter dessen Kennung &man.sendmail.8; lief, also typischerweise
<systemitem class="username">root</systemitem>. Weitere Informationen und Verweise
auf Patches finden Sie in <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:04.sendmail.asc">FreeBSD-SA-03:04</link>
und <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:07.sendmail.asc">FreeBSD-SA-03:07</link>.</para>
<para>Durch einen Puffer-Überlauf im XDR Kodierer/Dekodierer
war es einem Angreifer möglich, den Service zum Absturz zu
bringen. Informationen, wie Sie den Fehler beheben, finden Sie
in <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:05.xdr.asc">FreeBSD-SA-03:05</link>.</para>
<para><application>OpenSSL</application> enthält zwei
Schwachstellen, die erst vor kurzer Zeit bekannt gemacht wurden.
Informationen, wie Sie die Probleme umgehen können und
weitere Informationen finden Sie in <link xlink:href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:06.openssl.asc">FreeBSD-SA-03:06</link>.</para>
</sect1>
<sect1 xml:id="late-news">
<title>Aktuelle Informationen</title>
<bridgehead renderas="sect3">GEOM</bridgehead>
<para>Die auf &man.geom.4; basierenden Routinen des Kernel zur
Partitionierung erlauben es nicht, eine aktive Partition zu
überschreiben. Mit anderen Worten, es ist in der Regel
nicht möglich, den Bootsektor einer Festplatte mit
<command>disklabel -B</command> zu aktualisieren, da die
Partition <literal>a</literal> auch den Bereich enthält, in
dem die Bootsektoren gespeichert sind. Um dieses Problem zu
umgehen, sollten Sie von einer anderen Platte, einer CD oder der
Fixit-Diskette booten.</para>
<bridgehead renderas="sect3">&man.dump.8;</bridgehead>
<para>Werden Festplatten und ähnliche Medien mit einer
Blockgröße von mehr als 512 Byte benutzt (zum
Beispiel mit &man.geom.4; verschlüsselte Partitionen),
behandelt &man.dump.8; die größeren Sektoren nicht
korrekt und kann daher das Dateisystem nicht dumpen. Eine
Möglichkeit, das Problem zu umgehen, ist die Erzeugung einer
<quote>rohen</quote> Kopie des gesamten Dateisystems, die dann
als Eingabedatei für &man.dump.8; dient. Es ist
möglich, ein komplettes Dateisystem in einer normalen Datei
zu speichern:</para>
<screen>&prompt.root; <userinput>dd if=/dev/ad0s1d.bde of=/junk/ad0.dd bs=1m</userinput>
&prompt.root; <userinput>dump 0f - /junk/ad0.dd | ...</userinput></screen>
<para>Eine etwas einfachere Lösung ist, &man.tar.1; oder
&man.cpio.1; zur Erzeugung des Backups zu verwende.</para>
<bridgehead renderas="sect3">&man.mly.4;</bridgehead>
<para>Es gibt Berichte, daß sich Systeme bei der
Installation von &os; 5.0 Snapshots auf RAIDs an
&man.mly.4;-kompatiblen Controller aufgehängt haben, obwohl
die Systeme problemlos mit 4.7-RELEASE zusammenarbeiten. Dieser
Fehler wurde in &os; &release.current; bereits behoben.</para>
<bridgehead renderas="sect3">NETNCP/Unterstützung des
Dateisystems</bridgehead>
<para>NETNCP und nwfs sind offenbar noch nicht an KSE
angepaßt worden und funktionieren daher nicht. Dieser
Fehler wurde in &os; &release.current; bereits behoben.</para>
<bridgehead renderas="sect3">&man.iir.4; Controller</bridgehead>
<para>Bei der Installation scheinen &man.iir.4;-Controller korrekt
erkannt zu werden, allerdings finden Sie keine der
angeschlossenen Festplatten.</para>
<bridgehead renderas="sect3">Timing-Probleme in
&man.truss.1;</bridgehead>
<para>Es scheint ein Timing-Problem beim Start des Debuggings mit
&man.truss.1; zu geben, durch das &man.truss.1; manchmal nicht
in der Lage ist, eine Verbindung zu einem Prozeß
aufzubauen, bevor er gestartet wird. In diesem Fall meldet
&man.truss.1;, daß es die &man.procfs.5; Node für den
zu debuggenden Prozeß nicht öffnen kann. Es scheint
einen weiteren Fehler zu geben, durch den &man.truss.1; sich
aufhängt, wenn &man.execve.2; den Wert
<literal>ENOENT</literal> zurückgibt. Ein weiteres
Timing-Problem führt dazu, daß &man.truss.1; beim
Start manchmal <errorname>PIOCWAIT: Input/output
error</errorname> meldet. Es existieren zwar Korrekturen
für diese Probleme, da diese aber zu sehr in die Routinen
zur Ausführung von Prozessen eingreifen, werden sie erst
nach dem Erscheinen von 5.0 ins System aufgenommen.</para>
<bridgehead renderas="sect3">Partitionierung von Festplatten durch
das Installationsprogramm</bridgehead>
<para>Es gibt einige Meldungen über Fehler bei der
Partitionierung von Festplatten mit &man.sysinstall.8;. Eines
der Probleme ist, daß &man.sysinstall.8; den freien Platz
auf einer Festplatten nicht neu berechnen kann, nachdem der Typ
einer FDISK-Partition geändert wurde.</para>
<bridgehead renderas="sect3">Veraltete Dokumentation</bridgehead>
<para>In einigen Fällen wurde die Dokumentation (wie zum
Beispiel die FAQ und das Handbuch) nicht aktualisiert und geht
nicht auf die Neuerungen in &os; &release.prev; ein. Zum
Beispiel fehlt noch Dokumentation zu &man.gbde.8; und den neuen
<quote>fast IPsec</quote> Routinen.</para>
<bridgehead renderas="sect3">SMB Dateisystem</bridgehead>
<para>Ab und zu kommt beim Versuch, die Verbindung zu einem SMBFS
Share zu trennen, die Meldung <errorname>Device
busy</errorname>, obwohl das Share nicht benutzt wird. Die
einzige Lösung für dieses Problem ist, die Operation
so lange zu wiederholen, bis die Verbindung getrennt wird.
Dieser Fehler wurde in &release.current; bereits behoben.</para>
<para>Der Versuch, die Trennung der Verbindung zu einem SMBFS
Share mit <command>umount -f</command> zu erzwingen, kann zu
einer Kernel Panic führen. Dieser Fehler wurde in
&release.current; bereits behoben.</para>
<bridgehead renderas="sect3">&man.fstat.2;</bridgehead>
<para>Wird &man.fstat.2; auf einen Socket angewendet, für den
bereits eine Verbindung besteht, sollte es die Anzahl der zum
Lesen verfügbaren Zeichen in dem Feld
<varname>st_size</varname> der Struktur <varname>struct
stat</varname> zurückgeben. Leider wird bei TCP Sockets immer ein
<varname>st_size</varname> von <literal>0</literal> gemeldet.
Dieser Fehler wurde in &release.current; bereits behoben.</para>
<bridgehead renderas="sect3">Kernel Event Queues</bridgehead>
<para>Der zu &man.kqueue.2; gehörende Filter
<literal>EVFILT_READ</literal> meldet fälschlicherweise
immer, daß an einem TCP Socket <literal>0</literal>
Zeichen zum Lesen bereitstehen, auch wenn in Wirklichkeit
Zeichen zum Lesen verfügbar sind. Die bei
<literal>EVFILT_READ</literal> verfügbare Option
<literal>NOTE_LOWAT</literal> arbeitet bei TCP Sockets ebenfalls
fehlerhaft. Dieser Fehler wurde in &release.current; bereits
behoben.</para>
<bridgehead renderas="sect3">POSIX Named Semaphores</bridgehead>
<para>Eine der Neuerungen in &os; &release.prev; ist die
Unterstützung für Named Semaphores nach POSIX. Die
Routinen enthalten leider einen Fehler, durch den sich
&man.sem.open.3; falsch verhalten kann, wenn eine Semaphore von
einem Prozeß mehrfach geöffnet wird und durch den
&man.sem.close.3; zum Absturz des Programms führen kann.
Dieser Fehler wurde in &release.current; bereits behoben.</para>
<bridgehead renderas="sect3">Zugriffsrechte für
<filename>/dev/tty</filename></bridgehead>
<para>&os; &release.prev; enthält einen kleinen Fehler im
Bereich der Berechtigungen von <filename>/dev/tty</filename>.
Dieser Fehler tritt auf, wenn sich ein Benutzer einloggt, der
weder <systemitem class="username">root</systemitem> noch Mitglied der Gruppe
<systemitem class="groupname">tty</systemitem> ist. Wechselt dieser Benutzer nun mit
&man.su.1; zu einer anderen Benutzerkennung, die ebenfalls
weder <systemitem class="username">root</systemitem> noch Mitglied der Gruppe
<systemitem class="groupname">tty</systemitem> ist, kann er &man.ssh.1; nicht
nutzen, da es <filename>/dev/tty</filename> nicht öffnen
kann. Dieser Fehler wurde in &release.current; bereits
behoben.</para>
<bridgehead renderas="sect3">&man.growfs.8;</bridgehead>
<para>&man.growfs.8; funktioniert auf &man.vinum.4; Partitionen
nicht mehr, da auf ihnen kein Disklabel mehr emuliert wird und
&man.growfs.8; das Disklabel analysieren will. Das Problem
betrifft wahrscheinlich auch alle anderen Massenspeicher,
für die &man.geom.4; benutzt wird.</para>
<bridgehead renderas="sect3">IPFW</bridgehead>
<para>&man.ipfw.4; <literal>skipto</literal> Regeln funktionieren
nicht, wenn gleichzeitig das Schlüsselwort
<literal>log</literal> verwendet wird. Auch die
<literal>uid</literal> funktionieren nicht richtig. Diese Fehler
wurden in &release.current; bereits behoben.</para>
<bridgehead renderas="sect3"> &man.adduser.8; und
Paßwörter</bridgehead>
<para>&man.adduser.8; kann das Paßwort eines neu angelegten
Benutzers nicht setzen, wenn dieses Sonderzeichen der Shell
enthält. Dieser Fehler wurde in &release.current; bereits
behoben.</para>
<bridgehead renderas="sect3">&man.xl.4;</bridgehead>
<para>Der Treiber &man.xl.4; enthält einen Fehler, der zu
einem Absturz des Systems mit der Meldung <errorname>kernel
panic</errorname> und anderen Problemen führen kann, wenn
man versucht, ein Netzwerk-Interface zu konfigurieren. Dieser
Fehler wurde in &release.current; bereits behoben.</para>
<bridgehead renderas="sect3">ISC DHCP</bridgehead>
<para><application>ISC DHCP</application> steht jetzt in der
Version 3.0.1rc11 zur Verfügung. Diese Aktualisierung
erfolgte bereits in &os; &release.prev;, wurde aber nicht in
den Release Notes dokumentiert.</para>
<bridgehead renderas="sect3">Kompatibilitätsprobleme bei
&man.amd.8;</bridgehead>
<para>Der nicht-blockierende Teil der RPC-Routinen in
&release.prev; ist fehlerhaft. Einer der auffälligsten
Effekte dieser Fehler ist, daß Anwender von &man.amd.8;
nicht in der Lage sind, Dateisysteme von einem &release.prev;
Server zu mounten. Dieser Fehler wurde in &release.current;
bereits behoben.</para>
<bridgehead renderas="sect3">nsswitch</bridgehead>
<para>Im Eintrag für <application>nsswitch</application> in
den Release Notes wurde ein falscher Name für die bisher
genutzte Konfigurationsdatei genannt. Die bisher genutzte
Konfigurationsdatei ist
<filename>/etc/host.conf</filename>.</para>
<bridgehead renderas="sect3">Mailman</bridgehead>
<para>Die &os; Mailinglisten werden jetzt mit Mailman und nicht
mehr mit Majordomo verwaltet. Weitere Informationen finden sie
auf der <link xlink:href="http://www.FreeBSD.org/mailman/listinfo/">FreeBSD Mailman
Info Page</link>.</para>
</sect1>
</article>
|
