New Thread
Name
×
Email
Subject
Message
Files Max 5 files10MB total
Tegaki
Password
Captcha*
[New Thread]


Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной уязвимости пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось).

Уязвимость вызвана переполнением буфера в коде разбора ICMP-сообщений, приходящих в ответ на проверочный запрос. Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышеннымми привилегиями (утилита поставляется с флагом setuid root). Обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета. Выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, но принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.

Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера. В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке. В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода. 

Message too long. View the full text

На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомные часы раз в несколько лет приостанавливались на одну секунду, как только разница между эталонным и астрономическим временем достигала 0.9 секунд (последняя подобная корректировка была 8 лет назад). С 2035 года синхронизация будет прекращена и разница между мировым координированным временем (UTC) и астрономическим временем (UT1, среднее солнечное время) будет накапливаться.

Вопрос прекращения добавления лишней секунды обсуждался в Международном бюро мер и весов с 2005 года, но решение постоянно откладывалось. В долгосрочной перспективе вращательное движение Земли постепенно замедляется из-за влияния притяжения Луны и интервалы между проведением синхронизации со временем уменьшаются, например, при сохранении динамики через 2000 лет новую секунду пришлось бы добавлять каждый месяц. Отклонения параметров вращения Земли носят случайный характер и их изменение, наблюдаемое последние несколько лет, может привести к необходимости не добавления, а вычитания лишней секунды.

В качестве альтернативы посекундной синхронизации рассматривается возможность проведения синхронизации при накоплении изменений на 1 минуту или 1 час, что потребует к
Message too long. View the full text

https://podman-desktop.io/

https://www.youtube.com/watch?v=9Zvuz9r9bc4&feature=youtu.be
Replies: >>25
>>24 (OP) 

скоро человеки будут не нужны

Леннарт Поттеринг продолжил публикацию идей по переработке компонентов для загрузки Linux и рассмотрел ситуацию с дублированием загрузочных разделов. Недовольство вызвало использование для организации начальной загрузки двух дисковых разделов с разными ФС, которые монтируются вложенно - раздела /boot/efi на базе ФС VFAT с компонентами прошивки EFI (EFI System Partition) и раздела /boot на базе ФС ext4, btrfs или xfs, на котором размещаются образы ядра Linux и initrd, а также настройки загрузчика.

Ситуация усугубляется тем, что раздел EFI является общим для всех систем, а загрузочный раздел с ядром и initrd создаётся отдельно для каждого установленного дистрибутива Linux, что приводит к необходимости создания лишних разделов при установке в системе нескольких дистрибутивов. В свою очередь необходимость поддержки разных ФС приводит к усложнению загрузчика, а использование вложенного размещения разделов мешает реализации автоматического монтирования (раздел /boot/efi может быть примонтирован только после монтирования раздела /boot).

Леннарт предложил по возможности использовать только один загрузочный раздел и на системах с EFI по умолчанию размещать образы с ядром и initrd в VFAT-разделе /efi. На системах без EFI или если во время установки раздел EFI уже существует (параллельно используется ещё одна ОС) и в нём недостаточно свободного места, можно использовать отдельный раздел /boot с типом XBOOTLDR (раздел /efi в таблице разделов имеет тип ESP). Разделы ESP и XBOOTLDR п
Message too long. View the full text

ИБ-специалист Грег Линарес (Greg Linares) рассказал об интересной атаке, произошедшей летом текущего года. Неназванная финансовая компания из США обнаружила, что на крышу ее офиса приземлились модифицированные дроны DJI Matrice 600 и DJI Phantom, оснащенные пентестерским девайсом WiFi Pineapple, и пытались использовать MAC-адрес одного из сотрудников.

Об этой нестандартной атаке Линарес поведал в Twitter, при этом отказавшись сообщить название пострадавшей компании. Журналисты издания The Register проверили историю специалиста сами, связавшись с представителями компании-жертвы, и подтверждают, что попытка взлома при помощи модифицированных дронов действительно мела место.

Нужно сказать, что исследователи давно предупреждают и строят теории о хакерском потенциале беспилотников. После того как в продаже появились доступные потребительные квадрокоптеры, эта тема не раз поднималась на ИБ-конференциях, таких как Black Hat, как в США, так и в Европе.

Напомню, что еще в 2013 году известный исследователь Сэми Камкар (Samy Kamkar) показывал свой дрон SkyJack, который оснащался Raspberry Pi для захвата других дронов через Wi-Fi. А в 2017 году DIY-энтузиаст Наоми Ву (Naomi Wu) продемонстрировала проект под названием Screaming Fist, так же направленный на создание хакерского квадрокоптера. Пару лет назад и мы посвятили захвату дронов большую статью, которую ты можешь найти здесь.

Однако теперь проблема переходит из теорий в реальность. Линарес рассказывает, что все началось с того, что компания-жертва обнаружила необычную активность на внутренней странице Atlassian Confluence, которая исходила из сети компании.

Служба безопасности отреагировала быстро и обнаружила, что сотрудник, MAC-адрес которого использовался для частичного доступа к Wi-Fi-сети компании, также вошел в систему дома за много километров от офиса. То есть пользователь был активен за пределами офиса, но кто-то, находившийся в радиусе действия Wi-Fi-сети здания, пытался использовать его MAC-адрес.

Тогда команда попыталась отследить Wi-Fi-сигнал, использовав для идентификации устройства систему Fluke. Это привело защитников на крышу здания, где одни обнаружили модифицированных дронов DJI Matrice 600 и DJI Phantom.

По словам Линареса, Phantom был в отличном состоянии и имел на борту модифицированное пентестерское устройство WiFi Pineapple. Дрон Matrice и вовсе принес кейс, в котором находились Raspberry Pi, несколько аккумуляторов, мини-ноутбук GPD, 4G-модем и еще один Wi-Fi девайс. Этот беспилотник приземлился рядом с системой отопления и вентиляции здания и выглядел поврежденным, хотя тоже работал.
Message too long. View the full text

Компания Mozilla ведёт работу по расширению сервиса Firefox Relay, позволяющего генерировать временные почтовые адреса для прохождения регистрации на сайтах или оформления подписок, чтобы не афишировать свой реальный адрес. В настоящее время проходит рецензирование изменение, реализующее похожую функциональность для номеров телефонов. Firefox Relay позволит генерировать временные телефонные номера для скрытия реального номера пользователя при прохождении регистрации или получения SMS-оповещений.

Звонки и SMS, поступающие на созданный виртуальный номер, автоматически будут перенаправляться на реальный номер пользователя, скрывая его от посторонних. При необходимости пользователь может деактивировать виртуальный номер и не получать больше вызовы и SMS через него. Как и в случае с почтовыми адресами, сервис также можно использовать для выявления источника утечки информации. Например, для разных регистраций можно привязать отдельные виртуальные номера, что в случае поступления SMS-рассылок или рекламных звонков позволит понять, кто именно является источником утечки.

Кроме того, можно отметить намерение интегрировать поддержку Firefox Relay в основной состав Firefox. Если ранее для генерации и подстановки адресов требовалась установка специального дополнения, то теперь браузер при подключении пользователя к учётной записи в Firefox Account будет автоматически предлагать замены в полях ввода с email. Включение Firefox Relay в состав Firefox запланировано на 27 сентября.

До
Message too long. View the full text

We are pleased to announce the GNU Shepherd version 0.9.2.  This is a
bug-fix release, representing 27 commits by 2 people over 4 months.



• About

  The GNU Daemon Shepherd or GNU Shepherd is a service manager written
  in Guile that looks after the herd of system services.  It provides
  dependency-based management for system services: daemons such as
  ‘sshd’, programs such as Xorg, as well as user-provided actions.  The
  GNU Shepherd may also be used by unprivileged users to manage per-user
  daemons—e.g., tor, privoxy, mcron, etc.  It is written in Guile
  Scheme, and is configured and extended using Guile.

Message too long. View the full text

Компания Microsoft объявила о начале тестирования кандидата в релизы Linux-версии СУБД SQL Server 2022 (RC 0). Установочные пакеты подготовлены для RHEL и Ubuntu. Для загрузки также доступны готовые образы контейнеров с SQL Server 2022, основанные на дистрибутивах RHEL и Ubuntu. Для Windows тестовый выпуск SQL Server 2022 был сформирован 23 августа.

Отмечается, что помимо общих новых возможностей, в SQL Server 2022 RC 0 также предложено несколько специфичных для Linux улучшений. В частности, добавлена поддержка аутентификации с использованием Azure Active Directory (AAD), обеспечена возможность изменения параметра REQUIRED_SYNCHRONIZED_SECONDARIES_TO_COMMIT для распределённых групп доступности, предоставлена поддержка средств аналитики Azure Synapse Link (для интеграции используется runtime, установленный на Windows-системе в той же сети). 

https://www.opennet.ru/opennews/art.shtml?num=57755

Бен Коттон (Ben Cotton), занимающий в компании Red Hat должность Fedora Program Manager, объявил о намерении перевести Fedora Linux по умолчанию на пакетный менеджер DNF5. В Fedora Linux 39 планируется заменить пакеты dnf, libdnf и dnf-cutomatic на инструментарий DNF5 и новую библиотеку libdnf5. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

В своё время DNF пришёл на смену Yum, который был написан целиком на языке Python. В DNF требовательные к производительности низкоуровневые функции были переписаны и вынесены в отдельные Си-библиотеки hawkey, librepo, libsolv и libcomps, но каркас и высокоуровневые компонеты остались на языке Python. Проект DNF5 нацелен на унификацию имеющихся низкоуровневых библиотек, переписывание на языке С++ остающихся на Python компонентов управления пакетами и вынос базовой функциональности в отдельную библиотеку libdnf5 с созданием вокруг этой библиотеки обвязки для сохранения Python API.

Использование языка С++ вместо Python позволит избавиться от большого числа зависимостей, сократить размер инструментария и повысить производительность. Более высокая производительность достигается не только благодаря применению компиляции в машинный код, но и за счёт улучшенной реализации таблицы транзакций, оптимизации загрузки из репозиториев и реструктуризации БД (разделены базы с состоянием системы и историей операций). Инструментарий DNF5 избавлен 
Message too long. View the full text

Show Post Actions

Actions:

Captcha:

- feedback - news - rules - faq -
jschan 1.6.2