/tech/ - technology

We are pleased to announce the release of GNU Guix version 1.4.0!

The release comes with ISO-9660 installation images, a virtual machine image, and with tarballs to install the package manager on top of your GNU/Linux distro, either from source or from binaries—check out the download page. Guix users can update by running guix pull.

It’s been 18 months since the previous release. That’s a lot of time, reflecting both the fact that, as a rolling release, users continuously get new features and update by running guix pull; but let’s face it, it also shows an area where we could and should collectively improve our processes. During that time, Guix received about 29,000 commits by 453 people, which includes important new features as we’ll see; the project also changed maintainers, structured cooperation as teams, and celebrated its ten-year anniversary!

A happy frog sitting at a Guix-powered computer with an almighty benevolent Guix humanoid in its back.

    Illustration by Luis Felipe, published under CC-BY-SA 4.0.

This post provides highlights for all the hard work that went into this release—and yes, these are probably the longest release notes in Guix’s history, so make yourself comfortable, relax, and enjoy.

    Bonus! Here’s a chiptune (by Trevor Lentz, under CC-BY-SA 3.0) our illustrator Luis Felipe recommends that you listen to before going further.

Improved software environment management

Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной уязвимости пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось).

Уязвимость вызвана переполнением буфера в коде разбора ICMP-сообщений, приходящих в ответ на проверочный запрос. Код отправки и приёма ICMP-сообщений в ping использует raw-сокеты и выполняется с повышеннымми привилегиями (утилита поставляется с флагом setuid root). Обработка ответа производится на стороне ping через реконструкцию IP- и ICMP-заголовков пакетов, получаемых из raw-сокета. Выделенные IP- и ICMP-заголовки копируются функцией pr_pack() в буферы, но принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.

Подобные заголовки выделяются из пакета и включаются в блок заголовков, но не учитываются при расчёте размера буфера. В случае если хост в ответ на отправленный ICMP-запрос вернёт пакет с дополнительными заголовками, их содержимое будет записано в область за границей буфера в стеке. В итоге атакующий может перезаписать до 40 байт данных в стеке, что потенциально позволяет добиться выполнения своего кода. 

На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомные часы раз в несколько лет приостанавливались на одну секунду, как только разница между эталонным и астрономическим временем достигала 0.9 секунд (последняя подобная корректировка была 8 лет назад). С 2035 года синхронизация будет прекращена и разница между мировым координированным временем (UTC) и астрономическим временем (UT1, среднее солнечное время) будет накапливаться.

Вопрос прекращения добавления лишней секунды обсуждался в Международном бюро мер и весов с 2005 года, но решение постоянно откладывалось. В долгосрочной перспективе вращательное движение Земли постепенно замедляется из-за влияния притяжения Луны и интервалы между проведением синхронизации со временем уменьшаются, например, при сохранении динамики через 2000 лет новую секунду пришлось бы добавлять каждый месяц. Отклонения параметров вращения Земли носят случайный характер и их изменение, наблюдаемое последние несколько лет, может привести к необходимости не добавления, а вычитания лишней секунды.

В качестве альтернативы посекундной синхронизации рассматривается возможность проведения синхронизации при накоплении изменений на 1 минуту или 1 час, что потребует к

https://podman-desktop.io/

https://www.youtube.com/watch?v=9Zvuz9r9bc4&feature=youtu.be

Леннарт Поттеринг продолжил публикацию идей по переработке компонентов для загрузки Linux и рассмотрел ситуацию с дублированием загрузочных разделов. Недовольство вызвало использование для организации начальной загрузки двух дисковых разделов с разными ФС, которые монтируются вложенно - раздела /boot/efi на базе ФС VFAT с компонентами прошивки EFI (EFI System Partition) и раздела /boot на базе ФС ext4, btrfs или xfs, на котором размещаются образы ядра Linux и initrd, а также настройки загрузчика.

Ситуация усугубляется тем, что раздел EFI является общим для всех систем, а загрузочный раздел с ядром и initrd создаётся отдельно для каждого установленного дистрибутива Linux, что приводит к необходимости создания лишних разделов при установке в системе нескольких дистрибутивов. В свою очередь необходимость поддержки разных ФС приводит к усложнению загрузчика, а использование вложенного размещения разделов мешает реализации автоматического монтирования (раздел /boot/efi может быть примонтирован только после монтирования раздела /boot).

Леннарт предложил по возможности использовать только один загрузочный раздел и на системах с EFI по умолчанию размещать образы с ядром и initrd в VFAT-разделе /efi. На системах без EFI или если во время установки раздел EFI уже существует (параллельно используется ещё одна ОС) и в нём недостаточно свободного места, можно использовать отдельный раздел /boot с типом XBOOTLDR (раздел /efi в таблице разделов имеет тип ESP). Разделы ESP и XBOOTLDR п

ИБ-специалист Грег Линарес (Greg Linares) рассказал об интересной атаке, произошедшей летом текущего года. Неназванная финансовая компания из США обнаружила, что на крышу ее офиса приземлились модифицированные дроны DJI Matrice 600 и DJI Phantom, оснащенные пентестерским девайсом WiFi Pineapple, и пытались использовать MAC-адрес одного из сотрудников.

Об этой нестандартной атаке Линарес поведал в Twitter, при этом отказавшись сообщить название пострадавшей компании. Журналисты издания The Register проверили историю специалиста сами, связавшись с представителями компании-жертвы, и подтверждают, что попытка взлома при помощи модифицированных дронов действительно мела место.

Нужно сказать, что исследователи давно предупреждают и строят теории о хакерском потенциале беспилотников. После того как в продаже появились доступные потребительные квадрокоптеры, эта тема не раз поднималась на ИБ-конференциях, таких как Black Hat, как в США, так и в Европе.

Напомню, что еще в 2013 году известный исследователь Сэми Камкар (Samy Kamkar) показывал свой дрон SkyJack, который оснащался Raspberry Pi для захвата других дронов через Wi-Fi. А в 2017 году DIY-энтузиаст Наоми Ву (Naomi Wu) продемонстрировала проект под названием Screaming Fist, так же направленный на создание хакерского квадрокоптера. Пару лет назад и мы посвятили захвату дронов большую статью, которую ты можешь найти здесь.

Однако теперь проблема переходит из теорий в реальность. Линарес рассказывает, что все началось с того, что компания-жертва обнаружила необычную активность на внутренней странице Atlassian Confluence, которая исходила из сети компании.

Служба безопасности отреагировала быстро и обнаружила, что сотрудник, MAC-адрес которого использовался для частичного доступа к Wi-Fi-сети компании, также вошел в систему дома за много километров от офиса. То есть пользователь был активен за пределами офиса, но кто-то, находившийся в радиусе действия Wi-Fi-сети здания, пытался использовать его MAC-адрес.

Тогда команда попыталась отследить Wi-Fi-сигнал, использовав для идентификации устройства систему Fluke. Это привело защитников на крышу здания, где одни обнаружили модифицированных дронов DJI Matrice 600 и DJI Phantom.

По словам Линареса, Phantom был в отличном состоянии и имел на борту модифицированное пентестерское устройство WiFi Pineapple. Дрон Matrice и вовсе принес кейс, в котором находились Raspberry Pi, несколько аккумуляторов, мини-ноутбук GPD, 4G-модем и еще один Wi-Fi девайс. Этот беспилотник приземлился рядом с системой отопления и вентиляции здания и выглядел поврежденным, хотя тоже работал.

Компания Mozilla ведёт работу по расширению сервиса Firefox Relay, позволяющего генерировать временные почтовые адреса для прохождения регистрации на сайтах или оформления подписок, чтобы не афишировать свой реальный адрес. В настоящее время проходит рецензирование изменение, реализующее похожую функциональность для номеров телефонов. Firefox Relay позволит генерировать временные телефонные номера для скрытия реального номера пользователя при прохождении регистрации или получения SMS-оповещений.

Звонки и SMS, поступающие на созданный виртуальный номер, автоматически будут перенаправляться на реальный номер пользователя, скрывая его от посторонних. При необходимости пользователь может деактивировать виртуальный номер и не получать больше вызовы и SMS через него. Как и в случае с почтовыми адресами, сервис также можно использовать для выявления источника утечки информации. Например, для разных регистраций можно привязать отдельные виртуальные номера, что в случае поступления SMS-рассылок или рекламных звонков позволит понять, кто именно является источником утечки.

Кроме того, можно отметить намерение интегрировать поддержку Firefox Relay в основной состав Firefox. Если ранее для генерации и подстановки адресов требовалась установка специального дополнения, то теперь браузер при подключении пользователя к учётной записи в Firefox Account будет автоматически предлагать замены в полях ввода с email. Включение Firefox Relay в состав Firefox запланировано на 27 сентября.

До

We are pleased to announce the GNU Shepherd version 0.9.2.  This is a
bug-fix release, representing 27 commits by 2 people over 4 months.



• About

  The GNU Daemon Shepherd or GNU Shepherd is a service manager written
  in Guile that looks after the herd of system services.  It provides
  dependency-based management for system services: daemons such as
  ‘sshd’, programs such as Xorg, as well as user-provided actions.  The
  GNU Shepherd may also be used by unprivileged users to manage per-user
  daemons—e.g., tor, privoxy, mcron, etc.  It is written in Guile
  Scheme, and is configured and extended using Guile.

Компания Microsoft объявила о начале тестирования кандидата в релизы Linux-версии СУБД SQL Server 2022 (RC 0). Установочные пакеты подготовлены для RHEL и Ubuntu. Для загрузки также доступны готовые образы контейнеров с SQL Server 2022, основанные на дистрибутивах RHEL и Ubuntu. Для Windows тестовый выпуск SQL Server 2022 был сформирован 23 августа.

Отмечается, что помимо общих новых возможностей, в SQL Server 2022 RC 0 также предложено несколько специфичных для Linux улучшений. В частности, добавлена поддержка аутентификации с использованием Azure Active Directory (AAD), обеспечена возможность изменения параметра REQUIRED_SYNCHRONIZED_SECONDARIES_TO_COMMIT для распределённых групп доступности, предоставлена поддержка средств аналитики Azure Synapse Link (для интеграции используется runtime, установленный на Windows-системе в той же сети). 

https://www.opennet.ru/opennews/art.shtml?num=57755