June 2014 Archives

Windows 2003笔记补遗

| No Comments | No TrackBacks

接上回书。

启用 virt-net 支持。采用 RedHat 的 virtio-win-0.1-52.iso 版本驱动,这是最后一个可以在 Windows 2003 上安装的版本,之后(0.1-59 及以上)的版本均有问题,这里先记一笔,等有空的时候再看看到底 KVM 把哪儿改错了。换网卡的过程中需要重新激活 Windows,直接网上激活即可。

将原有的 IDE 控制器换成 AHCI 控制器。这个其实主要是体力活:先切换芯片组并增加一个 AHCI 控制器,启动 Windows,然后在 Intel 网站找到 AHCI Windows 2003 的驱动(F6那款,以前装 Windows NT 时代插软盘的那种),那个未知设备就是虚拟出来的 Intel AHCI 控制器,选中刷掉驱动。重启后可摘除 IDE 控制器,并将磁盘挂到 AHCI 控制器上。

然后注意在 Windows 2003 中启用磁盘的 Advanced Performance,在换控制器的时候会需要。

我知道这是个十分蛋疼的需求。

这篇 介绍了如何转换,但是实际情况是进 Device Manager,打开 Computer,只会看到两个适用于单处理器的选项(一个ACPI,一个非ACPI)。

仔细查资料发现需要使用一个叫 DevCon 的工具。Q311272 可以下载这个工具。DevCon 可以绕开 Device Manager 的一些限制。

接下来是暗黑科技:

SET HAL=ACPIAPIC_MP
devcon.exe sethwid @ROOT\ACPI_HAL\0000 := !E_ISA_UP !ACPIPIC_UP !ACPIAPIC_UP !ACPIAPIC_MP !MPS_UP !MPS_MP !SGI_MPS_MP !SYSPRO_MP !SGI_MPS_MP
devcon.exe sethwid @ROOT\ACPI_HAL\0000 := +%HAL%
devcon.exe update %windir%\inf\hal.inf %HAL%
devcon.exe ReScan

然后重启即可。这一操作适用于在虚拟机中安装了Windows 2003,然后主机升级,增加内存及CPU数量之后的情形。

今天早上4点多就爬起来准备发安全公告(友商约的是早上5点发),一刷,OpenSSL官方已经正式发表了(时间大约是4点30),于是立即开始相关手续,commit修正,发公告,通知CERT,这些不表。

总体来说,这次安全公告比之前 Heartbleed 那回要有序的多,这主要归功于上回大家的声讨以及 Solar Designer 同学做的友商提前告知列表。大致时间线如下:

  1. 6月2日凌晨: OpenSSL 通知友商列表存在问题,要求同意 TLP:Amber 之后才告知具体细节。签署后约1小时得到了具体说明及补丁。
  2. 6月2日-3日:各友商各自修补,发现及反馈补丁问题。由于 TLP:Amber, FreeBSD 只有我和 des@ 及一位 OpenSSL 核心成员看到了公告草稿及补丁。
  3. 6月3日:FreeBSD 发表了本月第一批安全公告(这是更早前计划的周二批次)。此后立即开始着手联编 OpenSSL 特别更新。

本次问题可分成两类:SSL/TLS 和 DTLS。DTLS 常见于采用 UDP/SCTP 等 datagram 协议的应用,实际影响范围较小。

SSL/TLS 方面,CVE-2014-0224 CCS协议可在任意状态下使用的问题,可导致中间人攻击,后果严重,利用容易(可改变网络数据即可)但实际影响面较小,因为大部分人使用的浏览器并不是用 OpenSSL 来实现 SSL/TLS 支持的。但对邮件本身未做加密的邮件来说,基本等于是全军覆没了。这个漏洞存在了约16年,是的,十六年。发现者blog [英文]。我想,可能搞个可以形式证明的描述语言来重写SSL/TLS的实现才是正路?

另一个 CVE-2014-3470 可导致崩溃,影响较小一些。

值得一提的是,这次的一个 DTLS 问题 CVE-2014-0195 (可有任意代码执行之虞)也是上回引入 Heartbleed 的 Robin Seggelmann 引入的,呵呵。


总体来说,我觉得这批漏洞让人觉得有些绝望。 OpenSSL 有非常多的问题,但其中有很多必须对协议十分理解才能看出来,而另一方面看出来了报告给开发者也无非是得到几句赞扬而已。在现在这个年代,有能力看出来问题的人未必不会选择找个好的买家把漏洞卖掉。这种趋势十分危险,而最近几年有愈演愈烈的趋势。

Monthly Archives

Pages

OpenID accepted here Learn more about OpenID
Powered by Movable Type 5.2.3