Internet Packet Filter gone wild

Was er recent nog een discussie op usenet in n.c.o.l.n waarbij iemand aangaf dat statefull filtering misschien niet heel verstandig kan zijn. Vandaag kwam er een grappige Sun Alert mijn mailbox binnen.

Sun Alert ID: 274710
Title: Solaris 10 IP Filter (ipfilter(5)) Patches (WITHDRAWN) May Cause a Memory Leak for Systems
With IPF’s Stateful Filtering Configured
Product: Solaris 10 Operating System
Category: Availability
Release Phase: Workaround
Workaround Date: 22-Dec-2009

To view this Sun Alert document please go to the following URL:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-274710-1

Voordat mensen FUD gaan posten, Sun heeft voor oa Solaris een redelijk strikte gate om code te laten opnemen in Solaris en een onderdeel hiervan is peer-review van de code om problemen te voorkomen. Maar blijkbaar slippen er toch soms dingen doorheen zoals bij de 10Gbit/s driver in Solaris wat eigenlijk niet opviel totdat er echt belasting op de driver kwam en de machine bijna door zijn geheugen heen was. Wat dit misschien aangeeft waarom sommige sysadmins wat terughoudender zijn met patches en updates, maar ook met het opzetten van infra niet alleen techniek vereist, maar ook logisch inzicht wat mogelijk is.