The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

08.11.2018 Обновление PostgreSQL 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25 (23 +11)
  Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.4 продлится до декабря 2019 г., 9.5 до января 2021 г., 9.6 - до сентября 2021 года, 10 - до октября 2022 года, 11 - до ноября 2023 года. Поддержка ветки 9.3 прекращена, 9.3.25 стал последним выпуском.

В новых версиях устранены накопившиеся ошибки и устранена одна уязвимость (CVE-2018-16850), которая может использоваться для выполнения произвольных SQL-конструкций с привилегиями суперпользователя в момент запуска утилиты pg_upgrade или при сохранении или загрузке дампов утилитой pg_dump. Атака производится через создание некорректных определений "CREATE TRIGGER ... REFERENCING" и может быть совершена пользователем СУБД с правом выполнения операции "CREATE".

  1. Главная ссылка к новости
  2. OpenNews: Выпуск PipelineDB 1.0.0, надстройки к PostgreSQL для непрерывной обработки потоков
  3. OpenNews: Релиз СУБД PostgreSQL 11
  4. OpenNews: Яндекс опубликовал Odyssey, многопоточный балансировщик соединений для PostgreSQL
  5. OpenNews: Для PostgreSQL подготовлено расширение TopN
  6. OpenNews: Атака по майнингу криптовалюты на незащищённых серверах PostgreSQL
Обсуждение (23 +11) | Тип: Программы |
08.11.2018 GitHub преодолел рубеж в 100 млн репозиториев (50 +3)
  GitHub сообщил о преодолении рубежа в 100 млн репозиториев. Для сравнения год назад на GitHub было размещено 67 млн репозиториев, а два года назад 19.4 млн. В настоящее время в среднем каждую секунду создаётся 1.6 новых репозиториев. Число пользователей GitHub достигло 31 млн (год назад было 24 млн), а организаций - 2.1 млн (год назад - 1.5 млн). За год было совершено около 1.1 миллиарда коммитов и 67 млн pull-запросов. Общее число pull-запросов за всю историю существования GitHub достигло значения в 200 млн.

Репозитрием с самым большим числом участников признан Visual Studio Code, развиваемый компанией Microsoft. Данный репозиторий насчитывает 19 тысяч участников, что почти в два раза больше, чем у далее идущих в рейтинге репозиториев React-native (10K), Tensorflow (9.3K) и Angular-cli (8.8K).

Рейтинг наиболее быстро развивающихся репозиторев возглавляют azure-docs (4.7), pytorch (2.8x), godot (2.2x), nuxt.js (2.1x) и go-ethereum (2x).

Наиболее популярные темы репозиториев: React, Android, Node.js, Docker, iOS, Linux, Angular, машинное обучение, Electron, API.

Самым популярным языком на GitHub остаётся JavaScript. Второе место занимает Java, третье Python, далее следуют PHP, C++, C#, TypeScript (за год поднялся на 3 позиции), Shell, C (за год опустился на 2 позиции) и Ruby (за год опустился на 1 позицию, а за 3 года на 5 позиций). Среди наиболее динамично набирающих популярность языков отмечены: Kotlin (2.6X), HCL (2.2X), TypeScript (1.9X), PowerShell (1.7X), Rust (1.7X), CMake (1.6X), Go (1.5X), Python (1.5X) и Groovy (1.4X).

Рейтинг компаний и организаций возглавляет Microsoft, 7700 сотрудников которой участвует в разработке открытых проектов на GitHub. Далее следуют Google (5500 сотрудников), Red Hat (3300), UC Berkeley (2700), Intel (2200), Univ. of Washington (1800), Facebook (1700), MIT (1700), Univ. of Michigan (1600), Stanford (1600).

  1. Главная ссылка к новости
  2. OpenNews: Microsoft успешно завершил сделку по покупке GitHub
  3. OpenNews: Рейтинг языков программирования 2018 года от издания IEEE Spectrum
  4. OpenNews: Python поднялся на 3 место в рейтинге языков программирования Tiobe
  5. OpenNews: JavaScript, Font-Awesome и Microsoft лидируют в статистике GitHub
  6. OpenNews: GitHub опубликовал статистику за 2017 год
Обсуждение (50 +3) | Тип: К сведению |
08.11.2018 Уязвимость в платформе для создания интернет-магазинов WooCommerce (6 +4)
  В WooCommerce, плагине к системе управления контентом WordPress, позволяющем создавать площадки для продажи товаров, выявлена уязвимость, позволяющая выполнить код на сервере и получить полный контроль за сайтом. WooCommerce насчитывает более 4 млн установок и по статистике разработчиков используется для обеспечения работы около 30% всех интернет-магазинов в сети. Проблема устранена в выпуске WooCommerce 3.4.6.

Для эксплуатации уязвимости необходимо наличие прав менеджера торговой площадки. Отправив определённым образом оформленный запрос можно удалить произвольные файлы на сервере, насколько это позволяют полномочия, под которыми выполняется WordPress. Например, в ходе атаки можно удалить файл wp-config.php и инициировать процесс установки нового экземпляра WordPress. В ходе атаки злонамеренный сотрудник может завести новый аккаунт администратора WordPress, при помощи которого можно запустить произвольный PHP-код на сервере.

Для атаки также можно воспользоваться недоработкой в организации обработки привилегий в WordPress. На уровне плагина пользователи с правами менеджера торговой площадки имеют право только изменять учётные записи клиентов, но не имеют полномочий для изменения других аккаунтов, в том числе аккаунта администратора. При этом роль менеджера торговой площадки с правом edit_users определяется на уровне платформы WordPress и в случае отключения плагина WooCommerce, так как ограничение доступа реализовано на его уровне, менеджеры торговой площадки получают возможность редактирования профилей всех пользователей WordPress. Воспользовавшись вышеописанной уязвимостью можно удалить файл woocommerce.php и отключить таким образом плагин WooCommerce, что позволит получить права администратора и выполнить PHP-код на сервере.

  1. Главная ссылка к новости
  2. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  3. OpenNews: Новая критическая уязвимость в Drupal, уже используемая для совершения атак
  4. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  5. OpenNews: Создан ClassicPress, форк WordPress с классическим web-редактором
  6. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
Обсуждение (6 +4) | Тип: Проблемы безопасности |
08.11.2018 Релиз системы управления доступом к сети PacketFence 8.2 (9 +6)
  Представлен релиз PacketFence 8.2, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы написан на языке Perl и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 7 и Debian 8.

PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. Имеются средства для интеграции с оборудованием популярных производителей, таких как Cisco, Nortel, Hewlett-Packard, 3Com, D-Link, Intel и Dell.

Основные новшества:

  • Добавлена поддержка кластеров, в которых серверы размещены в нескольких разных сетях;
  • Добавлена поддержка обработки входящих RADIUS-запросов от румингового сервиса Eduroam TLRS;
  • Утилита pfconfig и Realm-префиксы адаптированы для работы с несколькими непересекающимися базами аутентификации (Multi-tenant);
  • Добавлена поддержка аутентификации через web-сервисы на базе фреймворка Mojo;
  • Предложен новый источник аутенитификации "Пароль дня" (Password of the Day, пользователю выдаётся список паролей, в соответствии с которым каждый день используется новый пароль);
  • Добавлена функция для тестирования SMTP;
  • В состав включён модуль создания единой точки входа (SSO) на базе Juniper SRX Firewall;
  • Для коммутаторов Aruba 5400 реализована поддержка VOIP и Downloadable ACL;
  • Для коммутаторо Meraki реализована поддержка CoA (временные IP-адреса для мобильных устройств);
  • Средства применения фильтров коммутаторов теперь могут использоваться для переопределения модуля поддержки коммутатора, выбранного в процессе обработки RADIUS-соединения;
  • Для хранения опций pfdhcp задействован бэкенд на базе MySQL (решение на базе etcd объявлено устаревшим);
  • В pfdns задействована библиотека для ведения логов, написанная на языке Go.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск интерфейса мониторинга Icinga Web 2.0
  3. OpenNews: Релиз системы управления доступом к сети PacketFence 7.0
  4. OpenNews: Релиз системы мониторинга Cacti 1.0.0
  5. OpenNews: Консорциум ISC представил ethq, утилиту для мониторинга активности сетевых карт
  6. OpenNews: Выпуск системы мониторинга Zabbix 4.0
Обсуждение (9 +6) | Тип: Программы |
08.11.2018 В Firefox тестируют поддержку сохранения в облачные хранилища (58 –3)
  Компания Mozilla тестирует возможность сохранения файлов в облачных хранилищах. Поддерживается как сохранение загрузок в облачных хранилищах, так и перемещение ранее сохранённых в локальной ФС файлов в облачные хранилища. В настоящее время обеспечена поддержка сервисов Dropbox и Google Drive, но в будущем возможно расширение списка доступных облачных хранилищ.

В ходе тестирования новая возможность предложена 1% пользователей Firefox 60 и более новых выпусков, у которых установлена локаль en-US. Выбранным для тестирования пользователям выводится диалог с предложением установить системное дополнение с реализацией новой функции. Пользователь вправе согласиться или отказаться от участия в эксперименте.

Целью эксперимента является оценка востребованности функции сохранения в облачные хранилища среди пользователей. Подведение итогов первой стадии эксперимента показало, что 70% участников оставили в браузере возможность сохранения загрузок в облачных хранилищах, а 10.05% выбрали настройку для сохранения в облачном хранилище по умолчанию. Функция перемещения уже сохранённых в локальной ФС файлов в облачное хранилище оказалась мало востребованной, её использовали всего 0.06% участников.

  1. Главная ссылка к новости
  2. OpenNews: В Firefox началось тестирование системы рекомендации контента на основе активности пользователя
  3. OpenNews: Разработчики Mozilla представили две тестовые возможности: Lockbox и Notes
  4. OpenNews: Mozilla рассматривает возможность создания системы голосовой навигации для браузера
  5. OpenNews: В Firefox тестируется возможность одновременного просмотра разных вкладок
  6. OpenNews: Проект Mozilla представил дополнение с реализацией контекстных контейнеров для Firefox
Обсуждение (58 –3) | Тип: К сведению |
08.11.2018 Доступен дистрибутив Oracle Linux 7.6 (36 +7)
  Компания Oracle опубликовала релиз промышленного дистрибутива Oracle Linux 7.6, созданного на основе пакетной базы Red Hat Enterprise Linux 7.6. Для загрузки без ограничений, но после бесплатной регистрации, распространяется установочный iso-образ, размером 4.7 Гб, подготовленный для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux также открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности.

Помимо пакета с ядром из состава RHEL в Oracle Linux поставляется выпущенное летом ядро Unbreakable Enterprise Kernel 5 (4.14.35-1818.3.3), которое предложено по умолчанию. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме ядра, по функциональности Oracle Linux 7.6 аналогичен RHEL 7.6.

Среди новых возможностей Oracle Linux 7.6 (многие из перечисленных изменений свойственны и для RHEL 7.6):

  • В менеджер кластерных ресурсов Pacemaker добавлена поддержка systemd-юнитов path, mount и timer, помимо ранее поддерживаемых юнитов service и socket;
  • В пакетный менеджер RPM добавлена генерация событий аудита;
  • Во фреймворк Clevis, применяемый для автоматического шифрования и расшифровки данных в дисковых разделах, добавлена поддержка ключей, хранимых с использованием чипов TPM 2.0 (Trusted Platform Module). TPM 2.0 поддерживается только для архитектуры x86_64;
  • Для pNFS предложены экспериментальные раскладки для создания хранилищ в виде блочных устройств и хранилищ объектов;
  • В ext4 и XFS добавлена экспериментальная поддержка DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств);
  • Файловая система Btrfs продолжает оставаться полностью поддерживаемой в ядрах Unbreakable Enterprise Kernel, несмотря на объявление устаревшей в ядрах RHCK (Red Hat Compatible Kernel);
  • Обеспечена поддержка установки и загрузки с накопителей NVDIMM;
  • Драйвер NVMe синхронизирован с кодом из ядра Linux 4.17-rc1;
  • Для SCSI предложена экспериментальная поддержка ввода/вывода с использованием нескольких очередей (scsi-mq, Multi-queue);
  • Для платформ на базе архитектуры ARM включена поддержка системы динамической отладки DTrace. Поддержка DTrace для ARM входит в состав ядра Unbreakable Enterprise Kernel 5 и пакета dtrace-utils.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Red Hat Enterprise Linux 7.6
  3. OpenNews: Релиз дистрибутива SUSE Linux Enterprise 15
  4. OpenNews: Первый стабильный выпуск Oracle Linux 7 для ARM
  5. OpenNews: Запрет на использование торговой марки CentOS для сторонних сборок
  6. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 5
Обсуждение (36 +7) | Тип: Программы |
07.11.2018 Выпуск платформы обмена сообщениями Zulip 1.9 (80 +2)
  Представлен релиз Zulip 1.9, серверной платформы для развёртывания корпоративных мессенджеров, подходящих для организации общения сотрудников и групп разработчиков. Проект изначально был разработан компанией Zulip и открыт после её поглощения компанией Dropbox под лицензией Apache 2.0. Код серверной части написан на языке Python с использованием фреймворка Django. Клиентское ПО доступно для Linux, Windows, macOS, Android и iOS, также предоставляется встроенный web-интерфейс.

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, aвтоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

  • Реализованы инструменты для импорта данных из HipChat и Gitter. Завершено бета-тестирование модуля для импорта из Slack;
  • Запуск Python-процесса Zulip ускорен приблизительно на 30% благодаря решению проблем с производительностью в django-bitfield, libthumbor и pika;
  • Добавлена возможность создания собственных полей в профиле, позволяющих размещать специфичную для каждой организации информацию о сотрудниках;
  • Добавлена поддержка использования Google Hangouts вместо Jitsi для обеспечения работы видеочата;
  • Пользователям предоставлена возможность настройки push-уведомлений или уведомлений по email;
  • Добавлены настройки, позволяющие контролировать доступ пользователей к истории приватных каналов до подключения к каналу, а также возможность создания каналов, в которые имеют право отправлять сообщения только администраторы;
  • Представлена экспериментальная поддержка предоставления доступа к каналам неавторизированных гостей, например, при необходимости просмотра определённых каналов подрядчиками;
  • Реализованы новые модули для бесшовной интеграции с Ansible Tower, Appveyor, Clubhouse, Netlify и Zabbix;
  • Добавлена поддержка Ubuntu 18.04 и Debian 9.

  1. Главная ссылка к новости
  2. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
  3. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
  4. OpenNews: Открыт код сервиса мгновенного обмена сообщениями Gitter
  5. OpenNews: Выпуск платформы для конфиденциального обмена сообщениями RetroShare 0.6.2
  6. OpenNews: Выпуск распределённой системы обмена сообщениями ii 0.3
Обсуждение (80 +2) | Тип: Программы |
07.11.2018 Пользователи столкнулись с невозможностью установить Linux на новые iMac и MacBook (244 +3)
  В анонсированных на прошлой неделе новых моделях компьютеров и ноутбуков iMac Pro, Mac mini, MacBook Pro и MacBook Air для обеспечения безопасности компания Apple задействовала специализированный чип T2, который тесно интегрирован с различными контроллерами, включая System Management Controller и контроллер SSD-накопителей. На оборудовании с чипом T2 может загружаться и функционировать только программное обеспечение, заверенное цифровой подписью Apple, что привело к невозможности установить Linux на подобные устройства.

Чип предоставляет полностью отделённое от основной системы анклав-окружение, в котором выполняются операции, связанные с обеспечением безопасности и шифрованием. Например, на стороне T2 выполняются операции шифрования данных в хранилище, верификации процесса загрузки, распознавания отпечатков пальцев и лиц. При попытке загрузить операционную систему, не заверенную цифровой подписью Apple, система допускает только переход в режимы восстановления (Recovery) и диагностики.

При этом в новых моделях iMac и MacBook с чипом T2 предусмотрена возможность загрузки Windows при помощи предоставляемой компанией Apple утилиты BootCamp, позволяющей совмещать на одном устройстве macOS и Windows. При загрузке Windows поддерживается верификация при помощи сертификата Microsoft Windows Production CA 2011.

Сертификат Microsoft Corporation UEFI CA 2011, который применяется при формировании цифровых подписей для загрузчиков Linux-дистрибутивов, компанией Apple не поддерживается. В отличие от типичных систем с UEFI Secure Boot, все проверочные сертификаты в устройствах Apple не подлежат изменению пользователем, что не позволяет установить сертификат для верификации загрузки Linux и иных операционных систем, отличных от macOS и Windows.

Как вариант рассматривалась возможность использования утилиты Apple Startup Security Utility, доступной при загрузке в macOS Recovery, которая предоставляет опцию для загрузки без включения режима обеспечения безопасности (режим "No Security"). Но реализовать работу Linux в данном режиме пока не получается, так как чип T2 блокирует доступ ОС к некоторым подсистемам, необходимым для корректной работы на устройстве.

  1. Главная ссылка к новости
  2. OpenNews: Google анонсировал Asylo, универсальный фреймворк для защищённых анклавов
  3. OpenNews: Компания Intel открыла компоненты для использования технологии защиты SGX в Linux
  4. OpenNews: Обзор отличий UEFI Secure Boot загрузчика Shim и решения от Linux Foundation
  5. OpenNews: Организация Linux Foundation выпустила решение для поддержки UEFI Secure Boot в любых дистрибутивах
  6. OpenNews: Опубликован заверенный загрузчик для использования UEFI Secure Boot в любых дистрибутивах Linux
Обсуждение (244 +3) | Тип: К сведению |
07.11.2018 Adobe, AT&T, GitHub, NVIDIA и Twitter изменили условия расторжения лицензии для GPLv2-кода (41 +10)
  К инициативе по увеличению предсказуемости процесса лицензирования открытого ПО присоединилось ещё 16 компаний, который согласились применить для своих открытых проектов более мягкие условия отзыва лицензии, предоставляющие время на устранение выявленных нарушений. Предлагаемое в рамках инициативы соглашение GPL Cooperation Commitment подписали компании Adobe, Alibaba, Amadeus, Ant Financial, Atlassian, Atos, AT&T, Bandwidth, Etsy, GitHub, Hitachi, NVIDIA, Oath, Renesas, Tencent и Twitter.

Утверждённые условия применяются для кода под лицензиями GPLv2, LGPLv2 и LGPLv2.1 и полностью соответствуют условиям, принятым осенью прошлого года разработчиками ядра Linux и компаниями Red Hat, Facebook, Google и IBM, к которым затем присоединились Microsoft, Cisco, HPE, SAP, SUSE, Amazon, Arm, Canonical, GitLab, Intel, NEC, Philips, Toyota и ещё несколько десятков компаний. Общее число компаний, подписавших соглашение достигло 40.

В лицензии GPLv2 определена возможность незамедлительного отзыва лицензии у нарушителя и прекращения всех прав лицензиата, предоставленных ему данной лицензией, что позволяет трактовать несоблюдение GPLv2 как нарушение договора, за которое у суда можно добиться финансовых взысканий. Подобная особенность создаёт дополнительные риски для компаний, использующих GPLv2 в своих продуктах, и делает юридическое сопровождение производных решений непредсказуемым, так как даже непреднамеренная оплошность или недосмотр создают условия для получения компенсации через судебные разбирательства.

Принятое соглашение переносит на GPLv2 условия расторжения, применяемые в лицензии GPLv3, и отличающиеся явным определением сроков и порядка устранения нарушений. В соответствии с принятыми в GPLv3 правилами, если нарушения были выявлены впервые и устранены за 30 дней с момента уведомления, права на лицензию восстанавливаются и лицензия полностью не отзывается (договор остаётся не нарушен). Права возвращаются сразу также в случае устранения нарушений, если правообладатель не уведомил о нарушении в течение 60 дней. Иначе, вопрос восстановления прав должен обсуждаться отдельно с каждым правообладателем. При применении новых условий финансовые компенсации могут предъявляться в суде не сразу после выявления нарушения, а лишь спустя 30 дней, которые выделяются на устранение лицензионных проблем.

  1. Главная ссылка к новости
  2. OpenNews: Фонд СПО добавил EUPL 1.2 в список свободных лицензий, не совместимых с GPL
  3. OpenNews: Microsoft, Cisco, HPE, SAP и SUSE изменили условия расторжения лицензии для GPLv2-кода
  4. OpenNews: Бывший лидер Netfilter прекратил дело о нарушении GPL и выплатит судебные издержки
  5. OpenNews: Red Hat, Facebook, Google и IBM изменили условия расторжения лицензии для GPLv2-кода
  6. OpenNews: Artifex и Hancom урегулировали конфликт, связанный с нарушением GPL
Обсуждение (41 +10) | Тип: К сведению |
07.11.2018 Уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы (73 +29)
  Сергей Зеленюк раскрыл детальную информацию об ещё не исправленной (0-day) критической уязвимости в системе виртуализации VirtualBox, позволяющей обойти механизм изоляции гостевых систем и выполнить код на стороне хост-окружения. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита. Для атаки требуется наличие прав root или администратора в гостевой системе. Проблема проявляется в конфигурации по умолчанию с сетевым адаптером E1000 при применении трансляции адресов (NAT) для организации сетевого взаимодействия.

Проблема вызвана переполнением буфера в коде эмуляции сетевого адаптера E1000 (Intel PRO/1000 MT Desktop). Практическая атака, использующая данное переполнение буфера, разделена на несколько этапов: через манипуляцию с Tx-дескрипторами пакета (структура с информацией о пакете), создаются условия для целочисленного переполнения через нижнюю границу (integer underflow), что позволяет организовать загрузку произвольных данных в буфер и вызвать его переполнение с наложением не уместившегося в буфер хвоста на область указателей или инициировать переполнение стека.

Суть уязвимости в том, что возможно создание условий, при которых Tx-дескрипторы данных могут поступить для обработки раньше Tx-дескрипторов контекста. Дескрипторы данных включают сведения о физическом адресе пакета в памяти и размере пакета. Дескрипторы контекста содержат информацию о максимальном размере пакета и сегментации. Размер пакета в дескрипторе с данными всегда меньше максимального размера пакета в дескрипторе контекста. В случае нарушения порядка обработки Tx-дескрипторов при вычислении размера возникает целочисленное переполнение через нижнюю границу.

Атака позволяет выполнить код на уровне третьего кольца защиты (ring3) в хост-окружении, после чего можно воспользоваться техникой повышения привилегий до уровня ring0 через манипуляции с /dev/vboxdrv. Подготовленный прототип эксплоита демонстрирует 100% повторяемость и не зависит от сборки VirtualBox. Эксплоит оформлен в виде модуля ядра, загружаемого на стороне гостевой системы. Уязвимость проявляется независимо от операционных систем, используемых на стороне хоста и гостевого окружения. В качестве обходного пути для защиты рекомендуется сменить в настройках эмулируемый сетевой адаптер на PCnet или Paravirtualized Network, или отключить режим NAT.

Решение опубликовать сведения об уязвимости, не дожидаясь исправления, вызваны неприятием сложившейся практики в области связанных с безопасностью исследований и негативным опытом информирования о уязвимостях в прошлом. Исследователям приходится ждать по полгода, пока будет исправлена уязвимость, а также возникает неопределённость при участии в программах выплаты вознаграждений за выявление уязвимостей. При участии в программах выплаты вознаграждений приходится более месяца ждать пока уязвимость будет проверена и будет принято решение о выплате. Решение при этом принимается наобум - сегодня за уязвимость могут заплатить, а через неделю она уже может показаться неинтересной. Размер выплаты мало предсказуем. Неприятие также вызывает последнее время раздуваемая маркетинговая шумиха вокруг уязвимостей - исследователи дают уязвимостям имена, создают сайты и логотипы, преувеличивают важность собственной работы и преподносят себя как спасителей мира.

  1. Главная ссылка к новости
  2. OpenNews: Бета-выпуск VirtualBox 6.0
  3. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  4. OpenNews: Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы
  5. OpenNews: Уязвимость в механизме виртуализации Intel VT-d позволяет выйти за пределы изолированного окружения
  6. OpenNews: Критическая уязвимость в системах виртуализации, использующих драйвер PCNET
Обсуждение (73 +29) | Тип: Проблемы безопасности |
06.11.2018 Атака на биржу криптовалюты через взлом счётчика StatCounter (38 +26)
  Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтов, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter.

После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску "myaccount/withdraw/BTC", которая специфична для сайта Gate.io и используется на странице перевода средств. При совпадении маски осуществляется загрузка дополнительного скрипта https://www.statconuter.com/c.php (атакующими зарегистрирован домен statconuter.com, который отличается от statcounter.com переменой двух букв - "nu" вместо "un"), который содержит код для атаки на gate.io.

В случае обнаружения в форме перевода Bitcoin-адреса, вредоносный код заменяет его на Bitcoin-адрес злоумышленников во время нажатия кнопки для отправки средств. Для каждой жертвы используется отдельный подставной Bitcoin-адрес (при каждой загрузке скрипта c.php генерируется новый Bitcoin-адрес), что затрудняет отслеживание ущерба от атаки.

Атака была совершена 3 ноября и пока сохраняет активность. Код изменённого счётчика (www.statcounter.com/counter/counter.js) до сих пор содержит вредоносное изменение (скрипт упакован утилитой packer для экономии трафика, поэтому без распаковки появление вредоносного кода не бросается в глаза). Выявившие проблему исследователи направили в StatCounter уведомление о проблеме, но пока не получили ответа.

Администраторы Gate.io удалили счётчик со своих страниц, но он продолжает использоваться на многочисленных сайтах других пользователей StatCounter. Несмотря на то, что вредоносный код нацелен только на компрометацию биржи Gate.io, не исключено, что злоумышленники в любой момент могут изменить код счётчика для совершения более масштабной универсальной атаки (например, для захвата паролей или платёжной информации на сайтах со счётчиком StatCounter).

  1. Главная ссылка к новости
  2. OpenNews: Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP
  3. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
  4. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
  5. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
  6. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
Обсуждение (38 +26) | Тип: Проблемы безопасности |
06.11.2018 Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей (14 +5)
  Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.14.1 и 1.15.6, в которых устранены три уязвимости:
  • CVE-2018-16845 - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
  • CVE-2018-16843 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
  • CVE-2018-16844 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов) добавлены новые директивы:

  • "proxy_socket_keepalive",
  • "fastcgi_socket_keepalive",
  • "grpc_socket_keepalive",
  • "memcached_socket_keepalive",
  • "scgi_socket_keepalive",
  • "uwsgi_socket_keepalive"

Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокращено потребление памяти.

  1. Главная ссылка к новости
  2. OpenNews: Релиз njs 0.2.5, интерпретатора JavaScript от NGINX
  3. OpenNews: Выпуск сервера приложений NGINX Unit 1.5 с поддержкой Node.js
  4. OpenNews: Выпуск nginx 1.15.4
  5. OpenNews: Релиз nginx 1.14.0
Обсуждение (14 +5) | Тип: Программы |
06.11.2018 Доступна система обнаружения атак Suricata 4.1 (12 +8)
  Организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 4.1, которая предоставляет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Основные изменения:

  • Добавлена поддержка разбора и ведения лога для протоколов SMBv1/2/3, NFSv4, Kerberos, DHCP и IKEv2. Для FTP реализована возможность извлечения передаваемых файлов. Для TFTP предложена поддержка ведения лога. Для ICMPv4 добавлена поддержка отслеживания потока. Для HTTP добавлена возможность распаковки Flash-файлов. Код новых модулей инспектирования протоколов реализован на языке Rust;
  • Добавлена поддержка отслеживания соединений и ведения лога для протокола TLS 1.3. Реализована поддержку метода профилирования/идентификации TLS-клиентов JA3, позволяющего определять какое ПО используется для установки соединения (например, позволяет определить использование Tor и других типовых приложений);
  • Проведена оптимизация кода для обхода обработчиков захвата пакетов, который переписан с использованием подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком. Для пользователей Windows предложен новый режим IPS, основанный на использовании WinDivert;
  • Улучшен код извлечения файлов, в котором появилась поддержка дедупликации, именования файлов на основе хэша и сохранения метаданных в формате json. Добавлен инструментарий для чистки архива извлечённых файлов;
  • В EVE JSON, обеспечивающий вывод событий в формате JSON, добавлена поддержка определения метаданных через ключевое слово metadata в правилах и возможность получения информации о трафике через плагин flowbits. Для DNS-записей реализован новый более компактный формат;
  • Добавлена возможность разом обработать все pcap-файлы в заданном каталоге. Добавлен режим сохранения PCAP-логов в сжатом виде;
  • Расширена поддержка заголовка XFF (X-Forwarded-For);
  • Добавлена поддержка Community Flow Id - единых идентификаторов для Suricata и Bro/Zeek;
  • Так как новые модули поддержки протоколов написаны на Rust, при сборке Suricata в число включённых по умолчанию зависимостей добавлен компилятор Rust.
  • В состав включено приложение для обновления правил - Suricata-Update 1.0.

Особенности Suricata:

  • Использование для вывода результатов проверки унифицированного формата Unified2, также используемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
  • Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH;
  • Мощная система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика специальную библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате Apache. Поддерживается извлечение и проверка передаваемых по протоколу HTTP файлов. Поддержка разбора сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
  • Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
  • Высокая производительность, способность обрабатывать на обычном оборудовании потоки до 10 гигабит/cек.
  • Высокопроизводительный механизм сопоставления по маске с большими наборами IP адресов. Поддержка выделение контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или контрольной сумме MD5.
  • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
  • Использование формата YAML в файлах конфигурации, что позволяет сохранить наглядность при легкости машинной обработки;
  • Полная поддержка IPv6;
  • Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
  • Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Режим ведения лога ключей и сертификатов, фигурирующих в рамках соединений TLS/SSL;
  • Возможность написания скриптов на языке Lua для обеспечения расширенного анализа и реализации дополнительных возможностей, необходимых для определения видов трафика, для которых не достаточно стандартных правил.
    1. Главная ссылка к новости
    2. OpenNews: Доступна система обнаружения атак Suricata 4.0
    3. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
    4. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
    5. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
    6. OpenNews: Релиз системы обнаружения атак Snort 2.9.12.0
Обсуждение (12 +8) | Тип: Программы |
06.11.2018 Релиз операционной системы ReactOS 0.4.10 (201 +37)
  Представлен релиз операционной системы ReactOS 0.4.10, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Это восьмой выпуск, подготовленный после перехода проекта к более оперативному формированию релизов, которые теперь выходят не раз в год, а раз в три месяца. Операционная система находится на "альфа"-стадии разработки. Для загрузки подготовлены установочный ISO-образ (112 Мб) и Live-сборка (в zip-архиве 79 Мб). Код проекта распространяется под лицензиями GPLv2 и LGPLv2.

Ключевые изменения:

  • Реализована возможность загрузки с дискового раздела с файловой системой Btrfs. Если в самой ОС поддержка Btrfs на базе свободного драйвера WinBtrfs была добавлена ещё в прошлом году (также поддерживаются NTFS, FAT, Ext2, Ext3, Ext4, ReiserFS, FFS и NFS), то теперь код для доступа к содержимому разделов с Btrfs также добавлен в загрузчик Freeloader и инсталлятор. После решения ряда всплывших в процессе разработки проблем, в том числе устранения мешавшей загрузке ошибки в VirtualBox, загрузка ReactOS с использованием Btrfs теперь работает относительно стабильно.
  • Расширены возможности пользовательской оболочки и связанной с ней библиотеки shell32. Добавлена возможность перемещения файлов в режиме drag&drop из файлового менеджера в командную строку (копируется полный путь к файлу). В файловом менеджере появились опции для настройки отображения каталогов, открытия каталога в новом или текущем окне, настройки операций при одинарном и двойном клике;
  • Модернизировано оформление пользовательской оболочки и запускаемых приложений. Проведена работа по упрощению операций копирования файлов и создания ярлыков. Реализовано отдельное оформление для MSI-установщиков;
  • Продолжена работа по решению проблем со стабильностью. Внесены улучшения и исправления в систему управления памятью. В стандартную Си-библиотеку внесены изменения, позволившие избавиться от проблем при запуске Git в ReactOS. Решены проблемы с работой FreeType, приводившие к BSoD (Blue Screen of Death). Внесены многочисленные исправления, направленные на обеспечение корректной работы различных приложений;
  • Добавлен код для корректного извлечения информации о системе из BIOS, которая теперь используется в выводе утилиты dxdiag;
  • Осуществлена синхронизация с кодовой базой Wine Staging 3.9 и обновлены версии сторонних компонентов. Например, драйвер WinBTRFS синхронизирован с версией 1.0.2.

  1. Главная ссылка к новости
  2. OpenNews: Microsoft выпустил утилиту ProcDump для Linux
  3. OpenNews: Релиз операционной системы ReactOS 0.4.9
  4. OpenNews: Red Hat прекратит поддержку Btrfs в будущем значительном выпуске RHEL 8
  5. OpenNews: SUSE продолжит поддержку файловой системы Btrfs
  6. OpenNews: ReactOS перешел с Subversion на Git и GitHub
Обсуждение (201 +37) | Тип: Программы |
06.11.2018 Уязвимость, предоставляющая доступ к данным на самошифруемых SSD-накопителях (131 +31)
  Группа исследователей из Университета Неймегена (Нидерланды) в ходе проведения обратного инжиниринга прошивок некоторых моделей самошифруемых SSD-накопителей выявила фундаментальную недоработку, позволяющую получить доступ к зашифрованным данным. Пользователям рекомендовано не доверять встроенным в SSD-накопители аппаратным механизмам шифрования, а использовать полностью программные реализации, такие как VeraCrypt.

Суть проблемы в некорректной организации шифрования, позволяющей расшифровать данные без знания заданного пользователем пароля. Оказалось, что реализуемые в накопителях схемы шифрования не соответствуют стандарту TCG Opal и задаваемый пользователем пароль никак не используется для генерации или защиты DEK-ключа (Data Encryption Key), непосредственного применяемого для шифрования. Несмотря на то, что задаваемый пользователем пароль позиционируется как пароль для шифрования, прошивка накопителя использует его лишь для авторизации доступа. Даже если для разных разделов пользователем заданы разные пароли, фактически для шифрования на уровне прошивки применяется один общий DEK-ключ.

Для защиты основного ключа шифрования на деле используется мастер-пароль, который предопределён в прошивке и доступен для извлечения. Более того, в некоторых изученных устройствах мастер-пароль представляет собой просто пустую строку (32 нулевых байта). Подключившись к отладочному порту при помощи программатора можно через изменение специального флага в прошивке, извлечение DEK-ключа или модификации прошивки для отключения процедуры проверки пароля получить доступ к зашифрованным данным без знания пароля, заданного пользователем.

Наличие проблемы подтверждено в накопителях Samsung T3, T5, 840 EVO и 850 EVO, а также в накопителях Crucial (Micron) MX100, MX200 и MX300. Возможно проблеме подвержены и другие модели, так как анализ ограничился лишь имеющимися у исследователей устройствами. Производители Samsung и Crucial были уведомлены о проблеме в апреле и уже успели выпустить обновления прошивок для проблемных SSD-накопителей.

  1. Главная ссылка к новости
  2. OpenNews: Серия уязвимостей в BMC-контроллерах серверов Huawei
  3. OpenNews: Получение контроля над смартфоном после ремонта через комплектующие
  4. OpenNews: Аппаратное AES шифрование, на деле оказалось простым XOR.
  5. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  6. OpenNews: Уязвимость в NAND Flash может привести к повреждению чужих данных на SSD-накопителях
Обсуждение (131 +31) | Тип: Проблемы безопасности |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor