Overhaul of libc Berkeley DB has been committed

2009-03-28 22:47 | Development | #BerkeleyDB | #FreeBSD

First of all, thanks goes to all people who has helped me on this project, especially Pav (portmgr@) who gave it a twist on pointyhat.

It seems that this has taken me almost a month and 20 commits to get into the tree, after the code is ready. At the beginning, the changeset was ~200KB, and I believe it’s not good to just go ahead and commit it in one time, since it makes reviewing hard. Instead, I manually split it into smaller, functional related chunks, and commit it part-by-part.

阅读全文…( 本文约 250 字，阅读大致需要 2 分钟 )

如何：转换旧式编码的MySQL数据库到UTF-8

2009-03-26 15:23 | Development | #convert | #i18n | #MySQL | #unicode | #utf-8

最近帮公司的一个客户做了一个数据库迁移，客户声称数据是 utf-8 的，然而在使用过程中出现了许多乱码，检查发现数据并非 utf-8，而是 utf-8 编码之后的 big5，而排序方式更是混乱不堪的默认的utf8-swedian-ci。

MySQL的国际化支持很差。MySQL从 4.1 版本开始大刀阔斧地进行了不兼容的改动，简单地说，这些改动让相当多的操作默认以UTF-8进行，然而这会给旧的应用程序带来很多问题。许多文献推荐使用 SET CHARACTER SET 作为 workaround，尽管这能够解决一些问题，但这种做法本质上会导致 MySQL 进行额外的转换，因此并不是十分理想。

阅读全文…( 本文约 831 字，阅读大致需要 2 分钟 )

终于，基于BIOS的终极木马诞生了

2009-03-25 19:16 | Security

终于，是吧，直接写入BIOS的终极木马诞生了。十几年前的CIH病毒等等现在看来都是小儿科。

这种东西迟早会出现，这个我并不觉得奇怪，但是这次CORE实现的这个攻击是一个通用性很强的攻击，换言之，它能够适应多种不同品牌的 BIOS；实际上我认为这种攻击很可能也适用于网卡、RAID卡、显卡上面的可刷写ROM。例如，如果在 VBE 中写上这么一个玩意呢？现在看来 ACPICA 真是一个有前瞻性的玩意，也许 Intel 早就意识到了这种问题可能会发生？

阅读全文…( 本文约 272 字，阅读大致需要 1 分钟 )

Google SoC 2009/FreeBSD

2009-03-23 20:24 | Development | #FreeBSD | #Google | #SoC

之前在水木社区发过，这里也发一下。

我们目前正在寻找有意参加这次活动的在校学生。Google Summer of Code 是由Google公司赞助的供在校学生参与开源项目的暑期活动。目前，FreeBSD已经被选为符合资格的 mentoring organization，这是 FreeBSD 第 5 年参与 GSoC。

重要的日期：

3月23日 - 开始接受申请
4月 3日 - 申请截止日期
4月15日 - 对申请的审核结束
4月20日 - 正式宣布赞助的学生
5月23日 - 项目正式开始
7月 6日 - 开始提交中期评估
7月13日 - 中期评估最后日期
8月10日 - 推荐的项目完成时间，接下来的一周时间建议用于修正代码、完善文档等。
8月17日 - 开始提交最终评估
8月24日 - 最终评估deadline

Google将为获得资助的学生提供每人 $4,500 的资助，分3次支付；同时，对于每个项目，Google还会为对应的开源项目提供 $500 的资助。

关于 FreeBSD 本次 SoC 活动的网站。

阅读全文…( 本文约 543 字，阅读大致需要 2 分钟 )

关于本地特权提升

2009-03-23 19:30 | Security | #FreeBSD | #Security Vulnerability | #Web

FreeBSD 今天发布了 2009 年第 6 号安全公告 FreeBSD-SA-09:06.ktimer。这个安全公告适用于 7.0-RELEASE 以上到修正日期之前的所有 FreeBSD 版本。

由于这个安全公告修正的是一个零时差 (0-day，也就是发现者直接对问题进行了全面披露，而不是等待供应商修正之后再发布漏洞细节) 披露的漏洞，因此，适当地评估其风险并采取措施就非常重要。安全公告中提到，这是一个"Local privilege escalation"（本地特权提升问题），这种问题属于一类非常常见的（特别是 Linux 内核）、严重的安全漏洞，具体来说，通过一定的方法，登录在系统上的用户可以提升其权限，并实施进一步的攻击。

关于这类漏洞的一个常见的误解是，“本地"漏洞通常是没什么大碍的。然而，那种无关大碍的一类"本地"漏洞，指的是只能在本地控制台触发的问题。例如，如果手中有一张包含了某些工具的Windows PE光盘，用它启动系统便可以得到本地的管理员权限—-这是一个安全问题，但是并不严重，因为事实上如果别人能够接触本地系统，那么他就可以做任何事情。

而 FreeBSD-SA-09:06 指出的问题则不是这类问题。在其上下文中，“本地"是指能够登入系统的任何用户，以及能够以本地用户身份运行的服务进程。对于 Web 服务器而言，这是一个非常严重的安全威胁—-例如，如果在设计时因为疏忽而没有考虑上传文件是否有可能由于某种条件被执行，那么，之前这可能只是一个简单的 DoS 问题（例如，用户可以上传一个不停 fork() 的程序，将 www 用户的进程配额耗尽而导致新的服务请求无法被及时响应），而有了这个漏洞，这些问题便成了远程特权提升问题，其危害也就非常严重了。

阅读全文…( 本文约 898 字，阅读大致需要 2 分钟 )