The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.08 Релиз http-сервера Apache 2.4.41 с устранением уязвимостей (34 +11)
  Опубликован релиз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 был пропущен), в котором представлено 23 изменения и устранено 6 уязвимостей:
  • CVE-2019-10081 - проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии. При использовании настройки "H2PushResource" возможна перезапись области памяти в пуле обработки запросов, но проблема ограничена крахом, так как записываемые данные не основываются на информации, полученной от клиента;
  • CVE-2019-9517 - подверженность недавно анонсированной DoS-уязвимости в реализациях HTTP/2. Атакующий может исчерпать доступную процессу память и создать большую нагрузку на CPU, открывая скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держа окно TCP закрытым, что не позволяет фактически записать данные в сокет;
  • CVE-2019-10098 - проблема в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользвателя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе. Для блокирования проблемы в RegexDefaultOptions можно использовать флаг PCRE_DOTALL, который теперь выставлен по умолчанию;
  • CVE-2019-10092 - возможность совершения межсайтового скриптинга на страницах ошибок, выводимых mod_proxy. На данных страницах в ссылке подставляется полученный из запроса URL, в котором атакующий через экранирование символов может подставить произвольный HTML-код;
  • CVE-2019-10097 - переполнение стека и разыменование указателя NULL в mod_remoteip, эксплуатируемое через манипуляции с заголовком протокола PROXY. Атака может быть совершена только со стороны используемого в настройках прокси-сервера, а не через запрос клиента;
  • CVE-2019-10082 - уязвимость в mod_http2, позволяющая в момент завершения соединения инициировать чтение содержимого из уже освобождённой области памяти (read-after-free).

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_balancer усилена защита от атак XSS/XSRF со стороны узлов, заслуживающих доверия;
  • В mod_session добавлена настройка SessionExpiryUpdateInterval для определения интервала обновления времени истечения жизни сеанса/cookie;
  • Проведена чистка страниц с ошибками, направленная на исключения вывода на данных страницах информации из запросов;
  • В mod_http2 обеспечен учёт значения параметра "LimitRequestFieldSize", который раньше действовал только для проверки полей заголовков HTTP/1.1;
  • Обеспечено создание конфигурации mod_proxy_hcheck при его использовании в BalancerMember;
  • Сокращено потребление памяти в mod_dav при использовании команды PROPFIND над большой коллекцией;
  • В mod_proxy и mod_ssl решены проблемы с указанием настроек сертификатов и SSL в внутри блока Proxy;
  • В mod_proxy разрешено применение настроек SSLProxyCheckPeer* для всех модулей прокси;
  • Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
    • Добавлена вторая версия протокола ACMEv2, которая теперь применяется по умолчанию и использует пустые запросы POST вместо GET.
    • Добавлена поддержка проверки на базе расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2.
    • Прекращена поддержка метода проверки 'tls-sni-01' (из-за уязвимости).
    • Добавлены команды для настройки и разрыва проверки методом 'dns-01'.
    • Добавлена поддержка масок в сертификатах при включении проверки на основе DNS ('dns-01').
    • Реализован обработчик 'md-status' и страница с состоянием сертификата "https://domain/.httpd/certificate-status".
    • Добавлены директивы "MDCertificateFile" и "MDCertificateKeyFile" для настройки параметров доменов через статические файлы (без поддержки автообновления).
    • Добавлена директива "MDMessageCmd" для вызова внешних команд при наступлении событий 'renewed', 'expiring' или 'errored'.
    • Добавлена директива "MDWarnWindow" для настройки сообщения с предупреждением об истечении времени действия сертификата;

  1. Главная ссылка к новости
  2. OpenNews: В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей
  3. OpenNews: HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети
  4. OpenNews: Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей
  5. OpenNews: Выпуск HTTP/TCP-балансировщика HAProxy 2.0
  6. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
Обсуждение (34 +11) | Тип: Программы |


16.08 Выпуск эмулятора QEMU 4.1 (42 +26)
  Представлен релиз проекта QEMU 4.1. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 4.1 внесено более 2000 изменений от 276 разработчиков.

Ключевые улучшения, добавленные в QEMU 4.1:

  • В эмулятор архитектуры x86 добавлена поддержка моделей CPU Hygon Dhyana и Intel SnowRidge. Добавлена эмуляция расширения RDRAND (аппаратный генератор псевдослучайных чисел). Добавлены флаги md-clear и mds-no для управления защитой от атак MDS (Microarchitectural Data Sampling) на процессоры Intel. Добавлена возможность определения топологий интегральных схем при помощи флага "-smp ...,dies=". Реализовано версионирование для всех моделей CPU x86;
  • Блочный драйвер SSH переведён с использования libssh2 на libssh;
  • В драйвер virtio-gpu (виртуальный GPU, развиваемый в рамках проекта Virgil) добавлена поддержка выноса операций отрисовки 2D/3D во внешний процесс vhost-user (например, vhost-user-gpu);
  • В эмулятор архитектуры ARM добавлена поддержка расширения ARMv8.5-RNG для генерации псевдослучайных чисел. Реализована поддержка эмуляции FPU для чипов семейства Cortex-M и решены проблемы с эмуляцией FPU для Cortex-R5F. Предложена новая система настройки опций сборки, оформленная в стиле Kconfig. Для SoC Exynos4210 добавлена поддержка DMA-контроллеров PL330;
  • В эмуляторе архитектуры MIPS улучшена поддержка инструкций MSA ASE при использовании порядка следования байт big-endian и приведена в соответствие с эталонным оборудованием обработка случаев деления на ноль. Увеличена производительность эмуляции инструкций MSA для целочисленных вычислений и операций перестановки;
  • В эмуляторе архитектуры PowerPC появилась поддержка проброса к GPU NVIDIA V100/NVLink2 при помощи VFIO. Для pseries реализовано ускорение эмуляции контроллера прерываний XIVE и добавлена поддержка горячего подключения PCI мостов. Внесены оптимизации в эмуляцию векторных инструкций (Altivec/VSX);
  • В эмулятор архитектуры RISC-V добавлена новая модель оборудования - "spike". Добавлена поддержка ISA 1.11.0. Улучшен 32-разрядный ABI системных вызовов, расширена обработка недопустимых инструкций и улучшен встроенный отладчик. Добавлена поддержка топологии CPU в device tree;
  • В эмулятор архитектуры s390 добавлена поддержка эмуляции всех векторных инструкций группы "Vector Facility" и добавлены дополнительные элементы для поддержки систем gen15 (в том числе добавлена поддержка AP Queue Interruption Facility для vfio-ap). Реализована поддержка BIOS для загрузки с ECKD DASD, привязанного к гостевой системе через vfio-ccw;
  • В эмуляторе архитектуры SPARC для систем sun4m решены проблемы с использованием флага "-vga none" для OpenBIOS;
  • В эмуляторе процессоров семейства Tensilica Xtensa реализованы опции для MPU (memory protection unit) и эксклюзивного доступа;
  • В команду "qemu-img convert" добавлена опция "--salvage" для отключения аварийного завершения работы процесса преобразования образа в случае возникновения ошибок ввода/вывода (например, можно применять для восстановления частично повреждённых файлов qcow2). В команде "qemu-img rebase" обеспечена работа, когда для входного файла пока не создан базовый (backing) файл;
  • Добавлена возможность перенаправления вывода, организованного с использованием технологии "semihosting" (позволяет эмулируемому устройству использовать stdout, stderr и stdin для создания файлов на стороне хоста), в бэкенд chardev ("-semihosting-config enable=on,target=native,chardev=[ID]");
  • В блочном драйвере VMDK добавлена поддержка субформата seSparse в режиме только для чтения;
  • В драйвере эмуляции GPIO добавлена поддержка GPIO-контроллера SiFive.

  1. Главная ссылка к новости
  2. OpenNews: Основатель QEMU и FFmpeg опубликовал JavaScript-движок QuickJS
  3. OpenNews: Выпуск эмулятора QEMU 4.0
  4. OpenNews: Релиз эмулятора QEMU 3.1
  5. OpenNews: Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU
  6. OpenNews: Продолжение разработки AQEMU, графической оболочки для QEMU и KVM
Обсуждение (42 +26) | Тип: Программы |


16.08 Доступен дистрибутив Oracle Linux 7.7 (21 –1)
  Компания Oracle опубликовала релиз промышленного дистрибутива Oracle Linux 7.7, созданного на основе пакетной базы Red Hat Enterprise Linux 7.7. Для загрузки без ограничений, но после бесплатной регистрации, распространяется установочный iso-образ, размером 4.7 Гб, подготовленный для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux также открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности.

Помимо пакета с ядром из состава RHEL (3.10.0-1062) в Oracle Linux поставляется выпущенное летом ядро Unbreakable Enterprise Kernel 5 (4.14.35-1902.3.2), которое предложено по умолчанию. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме ядра, по функциональности Oracle Linux 7.7 аналогичен RHEL 7.7.

Среди новых возможностей Oracle Linux 7.7 (почти все из перечисленных изменений свойственны и для RHEL 7.7):

  • В NetworkManager добавлена возможность задания правил маршрутизации по адресу источника (policy routing) и поддержка фильтрации VLAN на интерфейсах сетевых мостов;
  • Обновлены версии пакетов NSS (Network Security Services), scap-security-guide 0.1.43, shadow-utils 4.6, gcc-libraries 8.3.1, linuxptp 2.0, tuned 2.11, chrony 3.4. Добавлены пакеты python3 с интерпретатором Python 3.6;
  • Для контейнеров и образов в формате UBI (Universal Base Image) добавлена поддержка сканировния содержимого на предмет соответствия профилям безопасности SCAP Security Guide;
  • В ядре из RHEL объявлена устаревшей поддержка Btrfs (для использования Btrfs следует использовать ядра UEK R4 и UEK R5). Из состава удалены пакеты с MySQL, которые следует загружать из отдельного yum-репозитория;
  • В графический инсталлятор добавлено определения включения в системе режима Simultaneous Multithreading (SMT) и вывод соответствующего предупреждения;
  • Обновлён драйвер для NVMe/FC QLogic qla2xxxx;
  • Для тестирования в ядре UEK R5 предложены экспериментальные возможности:
    • импорт и экспорт контейнеров в Systemd,
    • раскладки для создания хранилищ в виде блочных устройств и хранилищ объектов для pNFS,
    • поддержка DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств) в ext4 и XFS,
    • поддержка OverlayFS ,
    • подсистема HMM (Heterogeneous memory management) для использования устройств с собственными блоками управления памятью,
    • режим No-IOMMU,
    • драйверы Cisco VIC InfiniBand и ibusnic_verbs,
    • поддержка SR-IOV (Single-Root I/O Virtualization) в драйвере qlcnic,
    • поддержка TNC (Trusted Network Connect),
    • поддержка ввода/вывода с использованием нескольких очередей (scsi-mq, Multi-queue) в SCSI,
    • плагин для управления массивами хранилищ через API libStorageMgmt.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Red Hat Enterprise Linux 7.7
  3. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8
  4. OpenNews: Доступен дистрибутив Oracle Linux 7.6
  5. OpenNews: Релиз Oracle Linux 8
Обсуждение (21 –1) | Тип: Программы |


16.08 В Chrome планируют полностью убрать поддержку FTP (204 –43)
  Компания Google опубликовала план прекращения поддержки протокола FTP в Chromium и Chrome. В Chrome 80, намеченном на начало 2020 года, ожидается постепенное отключение поддержи FTP для пользователей стабильной ветки (для корпоративных внедрений будет добавлен флаг DisableFTP для возвращения FTP). В Chrome 82 планируется полностью удалить код и ресурсы, использующиеся для обеспечения работы FTP-клиента.

Постепенное урезание поддержки FTP началось в Chrome 63, в котором обращение к ресурсам по протоколу FTP начало помечаться как небезопасное соединение. В Chrome 72 было отключено отображение в окне браузера содержимого ресурсов, загружаемых по протоколу "ftp://" (например, прекращён показ HTML-документов и файлов README), и запрещено использование FTP при загрузке субресурсов из документов. В Chrome 74 из-за ошибки перестал работать доступ к FTP через HTTP-прокси, а в Chrome 76 поддержка прокси для FTP была удалена. На текущий момент остаются работоспособны загрузка файлов по прямым ссылкам и отображение содержимого каталогов.

По оценке Google FTP уже почти не используется - доля пользователей FTP составляет около 0.1%. Данный протокол также небезопасен из-за отсутствия шифрования трафика. Поддержка FTPS (FTP over SSL) для Chrome не реализована, и компания не видит смысла в доработке FTP-клиента в браузере с учётом его невостребованности, а также не намерена продолжать сопровождение небезопасной реализации (с точки зрения отсутствия шифрования). При необходимости загрузки данных по протоколу FTP пользователям будет предложено использовать сторонние FTP-клиенты - при попытке открытия ссылок по протоколу "ftp://" браузер будет вызывать установленный в операционной системе обработчик.

  1. Главная ссылка к новости
  2. OpenNews: В Firefox 70 будет ужесточён вывод уведомлений и внесены ограничения для ftp
  3. OpenNews: Chrome будет помечать FTP как небезопасный протокол
  4. OpenNews: Debian прекращает поддержку FTP на своих серверах
  5. OpenNews: Kernel.org прекращает поддержку FTP
  6. OpenNews: Критическая уязвимость в ProFTPd
Обсуждение (204 –43) | Тип: К сведению |


15.08 Netflix опубликовал патчи с реализацией TLS для ядра FreeBSD (71 +24)
  Компания Netflix предложила для тестирования работающую на уровне ядра FreeBSD реализацию TLS (KTLS), которая позволяет добиться существенного увеличения производительности шифрования для TCP-сокетов. Поддерживается ускорение шифрования передаваемых данных с использованием протоколов TLS 1.0 и 1.2, отправляемых в сокет при помощи функций write, aio_write и sendfile.

Обмен ключами на уровне ядра не поддерживается и соединение должно вначале быть установлено и согласовано в пространстве пользователя. Для передачи ядру полученного в процессе согласования соединения сессионного ключа для сокетов добавлена опция TCP_TXTLS_ENABLE, после активации которой все отправляемые в сокет данные будут инкапсулироваться в кадры TLS с использованием заданного ключа. Для отправки служебных сообщений, например для согласования соединения, следует использовать функцию sendmsg с типом записи TLS_SET_RECORD_TYPE.

Поддерживается два основных метода шифрования TLS-кадров: программный и ifnet (с задействованием аппаратных средств ускорения сетевых карт). Выбор метода осуществляется при помощи опции сокета TCP_TXTLS_MODE. Программный метод позволяет подключать разные бэкенды для шифрования. В качестве примера опубликован бэкенд ktls_ocf.ko с поддержкой AES-GCM, реализованный на базе фреймврока OpenCrypto. Для управления предлагается несколько sysctl в рамках ветки kern.ipc.tls.*. При сборке ядра поддержка TLS включается при помощи опции KERN_TLS.

  1. Главная ссылка к новости
  2. OpenNews: Релиз ядра Linux 4.13 со встроенной поддержкой TLS
  3. OpenNews: Организация EFF представила инициативу STARTTLS Everywhere
  4. OpenNews: Опубликован RFC для TLS 1.3
  5. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
  6. OpenNews: Около 5.5% сайтов используют уязвимые реализации TLS
Обсуждение (71 +24) | Тип: К сведению |


15.08 Разработчики PHP предложили P++, диалект со строгой типизацией (220 +12)
  Разработчики языка PHP обсуждают идею по созданию нового диалекта P++, который поможет вывести язык PHP на новый уровень. В текущем виде развитию PHP мешает необходимость сохранения совместимости с имеющейся кодовой базой web-проектов, что удерживает разработчиков в ограниченных рамках. В качестве выхода предлагается параллельно начать развивать новый диалект PHP - P++, разработка которого будет вестись без оглядки на необходимость сохранения обратной совместимости, что позволит добавить в язык революционные улучшения и избавиться от устаревших концепций.

Наиболее заметными изменениями в P++ станет переход к использованию строгой типизации, избавление от применения тегов "‹?", прекращение поддержки array() в пользу синтаксиса "[]" и запрет использования глобального пространства имён для функций. Для проекта предварительно выбрано имя P++ (PHP Plus Plus) по аналогии с С++. PHP и P++ предложено развивать бок о бок и использовать единый runtime. Не связанные с синтаксисом низкоуровневые компоненты, структуры данных, расширения и оптимизации производительности одновременно будут разрабатываться для PHP и P++, но в режиме PHP будет сохраняться обратная совместимость, а в P++ можно будет экспериментировать с эволюционированием языка.

Код на PHP и P++ можно будет смешивать в одном приложении и выполнять одним интерпретатором, но метод разделения кода пока не определён. При этом разработчики не отказываются от планов по развитию ветки PHP 8, в которой планируется добавить JIT-компилятор и средства для обеспечения переносимости с библиотеками на C/C++. Проект P++ пока находится на стадии обсуждения предложения. Основным сторонником P++ является Зеев Сураски (Zeev Suraski), один из лидеров сообщества разработчиков PHP, сооснователь компании Zend Technologies и автор движка Zend Engine.

Из возражений оппонентов можно отметить опасение в недостатке ресурсов для продвижения проекта (в режиме полного рабочего дня над PHP работает всего два разработчика), возможность фрагментации сообщества, конкуренция с уже существующим языком Hack (PHP со статической типизацией), опыт проекта HHVM (в конечном счёте отказавшегося поддерживать в одном runtime PHP и Hack), необходимость изменения семантики для строгой типизации, опасность стагнации PHP и развития новшеств только в P++, вопросы по поводу организации сосуществования и взаимодействия PHP и P++ (нетривиальность конвертации кода PHP в P++ (синтаксис может разойтись настолько, что потребуется переписывание приложения), несовместимость P++ с существующими инструментариями для PHP и необходимость убедить авторов инструментариев, систем тестирования и IDE обеспечить поддержку новой редакции).

Дополнение: Проведено голосование, пытающиеся узнать, является ли P++ тем направлением, на развитие которого разработчики PHP готовы тратить своё время и силы. Все участники высказались против.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск виртуальной машины HHVM 4.0 с прекращением поддержки PHP
  3. OpenNews: Релиз языка программирования PHP 7.3
  4. OpenNews: Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей
  5. OpenNews: В PHP 8 будет добавлен JIT-компилятор
Обсуждение (220 +12) | Тип: К сведению |


15.08 Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2 (114 +27)
  Исследователи из компании vpnMentor выявили возможность открытого доступа к БД, в которой хранилось более 27.8 млн записей (23 Гб данных), связанных с работой системы биометрического контроля доступа Biostar 2, которая насчитывает около 1.5 млн установок по всему миру и интегрирована в платформу AEOS, применяемую более чем 5700 организациями в 83 странах, включая как крупные корпорации и банки, так и правительственные учреждения и полицейские участки. Утечка вызвана некорректной настройкой хранилища Elasticsearch, которое оказалось доступно на чтение всем желающим.

Утечку усугубляет то, что большая часть БД не была зашифрована и, помимо персональных данных (ФИО, телефон, email, домашний адрес, должность, время приёма на работу и т.п.), лога доступа пользователей системы, открытых паролей (без хэширования) и данных о мобильных устройствах, включала фотографии лиц и снимки отпечатков пальцев, используемые для биометрической идентификации пользователя.

Всего в БД выявлено более миллиона исходных сканов отпечатков пальцев, связанных с конкретными людьми. Наличие открытых снимков отпечатков пальцев, которые невозможно поменять, даёт возможность злоумышленникам подделать отпечаток по шаблону и воспользоваться им для обхода систем ограничения доступа или для оставления ложных следов. Отдельно обращается внимание на качество паролей, среди которых очень много тривиальных, вида "Password" и "abcd1234".

Более того, так как база включала и учётные данные администраторов BioStar 2, в случае атаки злоумышленники могли получить полный доступ к web-интерфейсу системы и использовать его для добавления, редактирования и удаления записей. Например, могли подменить данные об отпечатке пальцев для получения физического доступа, изменить права доступа и удалить из логов следы проникновения.

Примечательно, что проблема была выявлена 5 августа, но затем несколько дней было потрачено на то, чтобы донести информацию до создателей BioStar 2, которые не желали выслушивать исследователей. Наконец 7 августа информация была доведена до компании, но проблема была устранена только 13 августа. Исследователи выявили БД в рамках проекта по сканированию сетей и анализу доступных web-сервисов. Неизвестно, насколько долго БД оставалась в открытом доступе и знали ли о её существовании злоумышленники.

  1. Главная ссылка к новости
  2. OpenNews: Взлом инфраструктуры компании Dell. Ряд массовых утечек персональных данных
  3. OpenNews: В открытый доступ попала БД с персональными данными большинства американцев
  4. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  5. OpenNews: Утечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов
  6. OpenNews: Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB
Обсуждение (114 +27) | Тип: Проблемы безопасности |


15.08 Новая уязвимость в Ghostscript (24 +8)
  Не прекращается череда уязвимостей (1, 2, 3, 4, 5, 6) в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (CVE-2019-10216) позволяет при обработке специально оформленных документов обойти режим изоляции "-dSAFER" (через манипуляции с ".buildfont1") и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча. За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

  1. Главная ссылка к новости
  2. OpenNews: Очередные критические уязвимости в Ghostscript
  3. OpenNews: Новая критическая уязвимость в Ghostscript, эксплуатируемая через ImageMagick
  4. OpenNews: В Ghostscript 9.26 устранена очередная порция уязвимостей
  5. OpenNews: В Ghostscript выявлены две новые критические уязвимости
  6. OpenNews: В Ghostscript 9.25 продолжено исправление опасных уязвимостей
Обсуждение (24 +8) | Тип: Проблемы безопасности |


15.08 Компания Oracle намерена переработать DTrace для Linux с использованием eBPF (25 +14)
  Компания Oracle сообщила о работе по передаче связанных с DTrace изменений в upstream и планах по реализации технологии динамической отладки DTrace поверх штатной инфрастуруктуры ядра Linux, а именно с использованием таких подсистем, как eBPF. Изначально основной проблемой с использованием DTrace в Linux была несовместимость на уровне лицензий, но в 2018 году компания Oracle перелицензировала код DTrace под GPLv2.

DTrace уже длительное время предлагается в составе расширенного ядра для дистрибутива Oracle Linux, но для своего использования в других дистрибитувах требует применения дополнительных патчей для ядра, что ограничивает использование указанной технологии. В качестве примера, компания Oracle подготовила детальную инструкцию по установке и использованию DTrace в Fedora Linux. Для установки требуется сборка инструментария и применение ядра Linux, пересобранного с патчами. Для автоматизации выполнения сборки ядра с патчами Oracle и Fedora предложен скрипт.

eBPF представляет собой встроенный в ядро Linux интерпретатор байткода, позволяющий создавать обработчики сетевых операций, отслеживать работу систем, перехватывать системные вызовы, контролировать доступ, обрабатывать события с сохранением хронометража (perf_event_open), подсчитывать частоту и время выполнения операций, выполнять трассировку с использованием kprobes/uprobes/tracepoints. Благодаря применению JIT-компиляции, байткод на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. DTrace может быть реализован поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие инструменты трассировки.

Технология DTrace была разработана для операционной системы Solaris для решения задач по динамической трассировке ядра системы и конечных приложений, давая пользователю возможность детально отслеживать поведение системы и в режиме реального времени производить диагностику проблем. В процессе отладки DTrace не влияет на работу исследуемых приложений и никак не отражается на их производительности, что позволяет организовать анализ работающих систем на лету. Из сильных сторон DTrace отмечается высокоуровневый язык D, похожий на AWK, на котором значительно проще создавать сценарии трассировки, чем при применении предлагаемых для eBPF средств написания обработчиков на языках C, Python и Lua с внешними библиотеками.

Инженеры из Oracle также работают над созданием eBPF-бэкенда для GCC и уже опубликовали набор патчей для интеграции поддержки eBPF в GCC и добились включения кода для поддержки eBPF в GNU binutils. Изначально бэкенд для поддержки eBPF основывается на технологиях LLVM, но компания Oracle заинтересована в появлении в GCC штатной возможности генерации программ для eBPF, что позволит использовать один инструментарий как для сборки ядра Linux, так и для сборки программ для eBPF.

Кроме бэкенда для генерации байткода предложенные для GCC патчи также включают порт libgcc для eBPF и средства для формирования ELF-файлов, дающие возможность выполнить код в виртуальной машине eBPF с использованием предоставляемых ядром загрузчиков. В байткод пока может транслироваться код на языке Си (не все возможности языка доступны), но в будущем ожидается расширение доступных для применения возможностей языка Си, добавление поддержки других языков, создание симулятора и добавление поддержки GCC для отладки eBPF-программ без загрузки в ядро.

  1. Главная ссылка к новости
  2. OpenNews: Microsoft портировал DTrace для Windows
  3. OpenNews: Для Linux представлена система динамической отладки BPFtrace (DTrace 2.0)
  4. OpenNews: Компания Oracle представила обновление DTrace для Linux
  5. OpenNews: Oracle перелицензировал код DTrace под GPLv2
  6. OpenNews: Средства трассировки в ядре Linux достигли уровня DTrace
Обсуждение (25 +14) | Тип: К сведению |


15.08 GCC будет удалён из основного состава FreeBSD (178 +20)
  Разработчики FreeBSD представили план удаления GCC 4.2.1 из исходных текстов базовой системы FreeBSD. Компоненты GCC будут удалены до ответвления ветки FreeBSD 13, в состав которой будет входить только компилятор Clang. GCC при желании можно будет поставить из портов, в которых предлагается GCC 9, 7 и 8, а также уже переведённые в разряд устаревших выпуски GCC 4.8, 5, 6 и 7.

Архитектурам, которые завязаны на GCC и не могут перейти на Clang, будет предложено перейти на внешний инструментарий, устанавливаемый из портов. В рамках подготовки к удалению GCC из базовой системы планируется провести работу по улучшению интеграции системы сборки базовой системы с внешними инструментариями. Например, для архитектуры amd64 в систему непрерывной интеграции уже добавлена возможность сборки с использованием gcc 6.4 из портов, которая может быть использована в качестве основы для перевода других архитектур.

Напомним, что начиная с FreeBSD 10 базовая система для архитектур i386, AMD64 и ARM была переведена на поставку по умолчанию компилятора Clang и развиваемой проектом LLVM библиотеки libc++. GCC и libstdc++ для указанных архитектур перестали собираться как часть базовой системы, но продолжили поставляться по умолчанию для архитектур powerpc, mips, mips64 и sparc64, а также могли быть установлены при пересборке с указанием флагов WITH_GCC и WITH_GNUCXX. Поставка устаревшей версии GCC 4.2.1 была обусловлена лицензионными ограничениями.

FreeBSD не мог перейти на более новую версию GCC, так как начиная с выпуска 4.2.2 GCC был переведен на лицензию GPLv3 и интеграции GCC 4.2.2 мешала несовместимость runtime-компонентов GCC с лицензией BSD. Позднее, в версии GCC 4.4 данная несовместимость была устранена, но добавление в базовую систему FreeBSD компонентов под лицензией GPLv3 было признано невозможным из-за противоречий с целями проекта FreeBSD и нежеланием налагать дополнительные ограничения на пользователей, такие как запрет тивоизации.

Процесс избавления от GCC в базовой системе будет разделён на несколько этапов и продлится 9 месяцев, что даст разработчикам привязанных к GCC архитектур (powerpc, mips, mips64 и sparc64) время на то, чтобы выполнить миграцию на Clang или перейти на использование внешнего инструментария. Первый этап стартует 31 августа и приведёт к исключению gcc 4.2.1 из сборки в системе непрерывной интеграции, а также к прекращению применения флага "-Werror" для привязанных к GCC платформ и отключению по умолчанию сборки GCC при выполнении "make universe".

31 декабря 2019 года сборка GCC будет отключена по умолчанию, но пока сможет быть возвращена при указании определённых флагов. 31 марта 2020 года GCC будет удалён из SVN-репозитория, а 31 мая из SVN будут удалены все платформы, не охваченные системой непрерывной интеграции, не поддерживающие LLVM или не переведённые на использование внешнего сборочного инструментария. 31 июля 2020 года будет выполнено финальное удаление из SVN всех остающихся платформ, требующих использование внешнего инструментария, но не поддерживаемых в скриптах формирования релизов.

  1. Главная ссылка к новости
  2. OpenNews: Во FreeBSD-HEAD прекращена базовая поставка GCC для архитектур i386, amd64 и arm
  3. OpenNews: FreeBSD переходит на GCC 4.2
  4. OpenNews: Тестирование разделения базовой системы FreeBSD на пакеты
  5. OpenNews: В компиляторе PCC обеспечена возможность сборки FreeBSD
  6. OpenNews: FreeBSD-CURRENT переведён по умолчанию на Clang
Обсуждение (178 +20) | Тип: К сведению |


14.08 Релиз EPEL 8 с пакетами из Fedora для RHEL 8 (44 +8)
  Проект EPEL (Extra Packages for Enterprise Linux), занимающийся поддержанием репозитория дополнительных пакетов для RHEL и CentOS, объявил о готовности репозитория EPEL 8 к релизу. Репозиторий был сформирован две недели назад и теперь признан готовым для внедрения. Через EPEL пользователям дистрибутивов, совместимых с Red Hat Enterprise Linux, предлагается дополнительный набор пакетов из Fedora Linux, поддерживаемых сообществами Fedora и CentOS. Бинарные сборки производятся для архитектур x86_64, aarch64, ppc64le и s390x. В текущем виде для загрузки доступно 310 бинарных пакетов (179 srpm).

Из новшеств отмечается создание дополнительного канала epel8-playground, выступающего аналогом Rawhide в Fedora и предлагающего наиболее свежие версии активно обновляемых пакетов, без гарантии их стабильности и сопровождения. По сравнению с прошлыми ветками в EPEL 8 также добавлена поддержка новой архитектуры s390x, для которой теперь собираются пакеты. В будущем не исключено появление поддержки s390x и в EPEL 7. Модули пока не поддерживаются, но их поддержку планируется интегрировать к моменту формирования ветки EPEL-8.1 в репозиторий, что позволит использовать их в качестве зависимостей при сборке других пакетов в EPEL.

  1. Главная ссылка к новости
  2. OpenNews: Сформирован репозиторий EPEL 8 с пакетами из Fedora для RHEL 8
  3. OpenNews: Объявление о прекращении поддержки Red Hat Enterprise Linux 5 и репозитория EPEL 5
  4. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP1
  5. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8
  6. OpenNews: Выпуск Red Hat Enterprise Linux 7.7
Обсуждение (44 +8) | Тип: К сведению |


14.08 Обновление Firefox 68.0.2 (43 +14)
  Опубликовано корректирующее обновление Firefox 68.0.2 в котором устранено несколько проблем:

  • Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль);
  • Решена проблема с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps);
  • Исправлена ошибка, приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#");
  • Разрешено загружать шрифты через URL "file://" при открытии страницы с локального носителя;
  • Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул);
  • Устранена ошибка, приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Firefox 68.0.1
  3. OpenNews: Релиз Firefox 68
  4. OpenNews: В Firefox 70 планируют изменить отображение HTTPS и HTTP в адресной строке
  5. OpenNews: В ночные сборки Firefox добавлен режим строгой изоляции страниц
  6. OpenNews: В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Обсуждение (43 +14) | Тип: Программы |


14.08 Проект OpenBSD начинает публиковать обновления пакетов для стабильной ветки (41 +20)
  Анонсирована публикация обновлений пакетов для стабильной ветки OpenBSD. Ранее при использовании ветки "-stable" можно было получать только бинарные обновления к базовой системе через syspatch. Пакеты собирались один раз для релизной ветки и более не обновлялись.

Теперь же планируется поддерживать три ветки:

  • "-release": замороженная ветка, пакеты из которой собираются один раз для релиза и более не обновляются (6.3, 6.4, 6.5, ...).
  • "-stable": только консервативные обновления. Собранные из портов пакеты обновляются только для последнего релиза (в настоящее время 6.5).
  • "-current": находящаяся в разработке основная ветка, в неё попадают самые значительные изменения. Пакеты собираются только для ветки "-current".

В "-stable" планируется добавлять, главным образом, исправления уязвимостей для портов, а также некоторые прочие важные исправления. Сейчас обновления для -stable/amd64 уже появились на большинстве зеркал (каталог /pub/OpenBSD/6.5/packages-stable), обновления для i386 собираются и тоже скоро будут доступы. Узнать больше про управление пакетами в OpenBSD можно в соответствующей главе официального FAQ.

Необходимая для использования ветки "-stable" эвристика уже добавлена в утилиту pkg_add, которая может задействовать пакеты из каталога "/packages-stable/" при использовании /etc/installurl без выставления переменной окружения PKG_PATH или при использовании модификаторов %c или %m в переменной PKG_PATH. Сразу после очередного значительного релиза OpenBSD публикуется пустой каталог "packages-stable", который затем наполняется по мере публикации обновлений с устранением уязвимостей и ошибок.

  1. Главная ссылка к новости
  2. OpenNews: Для OpenBSD развивается новая git-совместимая система контроля версий Got
  3. OpenNews: Планы по усилению механизма защиты W^X в OpenBSD
  4. OpenNews: В OpenBSD-CURRENT добавлена утилита sysupgrade для автоматического обновления
  5. OpenNews: Выпуск OpenBSD 6.5
  6. OpenNews: В OpenBSD предложен новый системный вызов unveil() для изоляции ФС
Обсуждение (41 +20) | Автор: Дон Ягон | Тип: К сведению |


14.08 HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети (34 +22)
  Исследователи из Бостонского университета разработали метод атаки (CVE-2019-11728), позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или на текущей системе (localhost). Атака может быть совершена при открытии в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (HTTP Alternate Services, RFC-7838). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave.

Заголовок Alt-Svc позволяет серверу определить альтернативный способ обращения к сайту и проинструктировать браузер о необходимости перенаправить запрос на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для проброса, например, указание 'Alt-Svc: http/1.1="other.example.com:443";ma=200' предписывает клиенту для получения запрошенной страницы соединиться с хостом other.example.org, используя сетевой порт 443 и протокол HTTP/1.1. Параметр "ma" задаёт максимальное время действия перенаправления. Кроме HTTP/1.1, в качестве протоколов поддерживаются HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) и QUIC (quic), использующий UDP.

Для сканирования адресов сайт атакующего может последовательно перебирать интересующие адреса внутренней сети и сетевые порты, используя в качестве признака задержку между повторными запросами. В случае недоступности перенаправляемого ресурса браузер мгновенно получает в ответ пакет RST и сразу помечает альтернативный сервис недоступным и обнуляет заданное в запросе время жизни перенаправления. Если сетевой порт открыт то для завершения соединения требуется больше времени (будет предпринята попытка установки соединения с соответствующим обменом пакетами) и браузер отреагирует не мгновенно.

Для получения информации о проверке атакующий может следом сразу перенаправить пользователя на вторую страницу, которая в заголовке Alt-Svc сошлётся на работающий хост атакующего. Если браузер клиента отправит запрос на данную страницу, то можно считать, что перенаправление первого запроса Alt-Svc сброшено и проверяемый хост и порт недоступны. Если запроса не последовало, значит данные о первом перенаправлении ещё не просрочены и соединение было установлено.

Указанный метод позволяет в том числе проверять сетевые порты, занесённые в чёрный список браузера, такие как порты почтовых серверов. Работающая атака подготовлена с использованием подстановки iframe в трафик жертвы и применения в Alt-Svc протокола HTTP/2 для Firefox и QUIC для сканирования UDP-портов в Chrome. В Tor Browser атака не может применяться в контексте внутренней сети и localhost, но подходит для организации скрытого сканирования внешних хостов через выходной узел Tor. Проблема со сканированием портов уже устранена в Firefox 68.

Заголовок Alt-Svc также может применяться:

  • При организации DDoS-атак. Например, для TLS перенаправление может обеспечить уровень усиления в 60 раз так как начальный запрос клиента занимает 500 байт, ответ с сертификатом около 30 Кб. Генерируя подобные запросы в цикле на множестве клиентских систем можно добиться исчерпания доступных серверу сетевых ресурсов;
  • Для обхода механизмов защиты от фишинга и вредоносного ПО, предоставляемых такими сервисами, как Safe Browsing (перенаправление на вредоносный хост не приводит к выводу предупреждения);
  • Для организации отслеживания перемещения пользователя. Суть метода в подстановке iframe, ссылающегося в Alt-Svc на внешний обработчик отслеживания перемещения, вызов которого осуществляется, невзирая на включение средств для защиты от трекеров. Также возможно отслеживание на уровне провайдеров через использования в Alt-Svc уникального идентификатора (случайные IP:порт как идентификатор) с его последующим анализом в транзитном трафике;
  • Для извлечения сведений об истории перемещений. Подставив на свою страницу iframe с запросом картинки с заданного сайта, использующего Alt-Svc, и проанализировав состояние Alt-Svc в трафике, атакующий, имеющий возможность анализа транзитного трафика, может сделать вывод о том, что пользователь ранее уже посещал указанный сайт;
  • Зашумление логов систем определения вторжений. Через Alt-Svc можно вызвать волну запросов к вредоносным системам от имени пользователя и создать видимость ложных атак для скрытия в общем объёме сведений о реальной атаке.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Firefox 37.0.1 с устранением критической уязвимости
  3. OpenNews: Представлен инструмент для проведения атак "DNS rebinding"
  4. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  5. OpenNews: Представлен ZMap, инструмент для глобального сканирования Сети
  6. OpenNews: Проект TCP Stealth стал ответом на деятельность спецслужб по сканированию серверов
Обсуждение (34 +22) | Тип: Проблемы безопасности |


14.08 В Firefox 70 будет ужесточён вывод уведомлений и внесены ограничения для ftp (91 +6)
  В намеченном на 22 октября выпуске Firefox 70 решено запретить вывод запросов на подтверждение полномочий, инициированных из iframe-блоков, загруженных с другого домена (cross-origin). Изменение позволит блокировать некоторые злоупотребления и перейти к модели, при которой полномочия запрашиваются только из первичного для документа домена, который показывается в адресной строке.

Другим заслуживающим внимания изменением в Firefox 70 станет прекращение отрисовки содержимого файлов, загружаемых через ftp. При открытии ресурсов по FTP теперь принудительно будет инициироваться загрузка файла на диск, без учёта типа файла (например, при открытии через ftp перестанут отображаться изображения, README и html-файлы).

Кроме того, в новой версии в адресной строке появится индикатор предоставления доступа к местоположению, который позволит наглядно оценить активность Geolocation API и при необходимости отозвать у сайта право по его использованию. До сих пор индикатор отображался только до предоставления полномочий и в случае отклонения запроса, но исчезал при открытии доступа к Geolocation API. Теперь индикатор будет информировать пользователя о наличии подобного доступа.

  1. Главная ссылка к новости
  2. OpenNews: В ночные сборки Firefox добавлен блокировщик назойливых уведомлений и API UserScripts
  3. OpenNews: Возобновление работы по интеграции поддержки Tor в Firefox
  4. OpenNews: В ночные сборки Firefox добавлен режим строгой изоляции страниц
Обсуждение (91 +6) | Тип: К сведению |


<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру