Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Названия им дали: Meltdown и Spectre (расплавление ядерного реактора и призрак).

Meltdown позволяет приложению читать любую память компьютера, включая память ядра и других пользователей. Этой атаке подвержены процессоры Intel. Точных сведений об уязвимых процессорах нет, но скорее всего минимум начиная с Core Duo.

Spectre создаёт брешь в изоляции различных приложений и позволяет атакующему обманным способом получить данные чужого приложения. Этой атаке подвержены процессоры Intel, AMD, ARM64, Power8 и 9. По неподтвержденным данным узявимы практически все процессоры, умеющие спекулятивное исполнение кода. Для Intel это процессоры, начиная с Pentium Pro (1995 год), кроме Itanium и Atom. Есть сообщения о том, что уязвимость проверена на Pentium-M 1.5 ГГц (2004 год).

Эксплоит, эксплуатирующий Meltdown позволяет читать память ядра со скоростью 2000 байт в секунду на процессоре Intel Xeon архитектуры Haswell.

Уязвимостям назначены следующие CVE: CVE-2017-5753, CVE-2017-5715 и CVE-2017-5754.

Напомню, что пользователи ежедневно запускают чужой код на своих компьютерах, посещая веб сайты с JavaScript (>99%), поэтому применение патча (здесь и здесь) обязательно, если вы дорожите своими данными. Есть PoC (п.4.3) , демонстрирующий атаку с этой уязвимостью через JavaScript.

Разработчики ARM приводят подробности атаки для ARM, заявляют о том, что уязвимы лишь некоторые процессоры ARM, дают их список и меры по повышению безопасности.

Технические подробности про spectre (есть пример кода в конце файла)
Код из spectre.pdf выложенный отдельно.
Технические подробности про meltdown
Еще про meltdown
Видео, демонстрирующее утечку памяти meltdown
Технические детали для ARM-процессоров
Отчёт от Red Hat, упоминающий процессоры IBM Power как уязвимые.

UPD: Хорошая статья на русском языке про meltdown
UPD2: Продолжение про два вида Spectre

>>> Подробности

Ошибка проектирования всех процессоров Intel, выпущенных за последние 10 лет, заставила разработчиков Linux и Windows в срочном порядке перерабатывать схему разделения адресных пространств ядра и пользователя, брешь в которой вызвана этой ошибкой. По известным сейчас данным, переработка требует модификации критических частей ядра и приводит к падению производительности приложений от 5 до 30% (чипы Intel 2010 года и новее имеют в своём арсенале возможности, чтобы сократить это падение).

Суть уязвимости, скорее всего, заключается в том, что спекулятивное исполнение кода косвенно нарушает контроль доступа, и это позволяет приложению «видеть» содержимое защищенного адресного пространства ядра (раннее описание). Детали уязвимости находятся под эмбарго до выпуска исправлений, который намечается на середину января 2018, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows.

Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских процессов, однако такое решение приводит к серьёзному падению производительности из-за необходимости сброса части кэша транслированных виртуальных адресов (TLB) при входе в ядро.

Разработчики ядра Линукса в шутку предлагали следующие аббревиатуры для новой модели разделения памяти ядра и пользовательских процессов: User Address Separation (*_uass) и Forcefully Unmap Complete Kernel With Interrupt Trampolines (fuckwit_*), однако остановились на Kernel Page Table Isolation (kpti_*).

Компания AMD утверждает, что её процессоры уязвимости не подвержены.

Обсуждение патча на LWN, с результатами тестов.

Общие подробности от издания The Register

>>> Технические подробности, демонстрационный код PoC

На странице загрузки Skype появилось следующее сообщение:

Важное объявление: поддержка работы клиентов Skype для Linux версии 4.3 и старее будет прекращена 1 июля 2017 года. Чтобы продолжить общаться в Skype, пожалуйста, установите последнюю версию.

Последней версией, поддержка которой продолжится, является Skype for Linux Beta. Данное приложение представляет собой надстройку над Skype Web, использующую Electron. Из недостатков этой версии стоит отметить временную недоступность групповых видеозвонков и демонстрации экрана собеседнику, невозможность локального хранения истории сообщений, а также большее потребление ресурсов по сравнению со Skype 4.3.

>>> Подробности

Крис Эванс (Chris Evans), автор защищённого FTP-сервера vsftpd и эксперт по безопасности, опубликовал 0day-эксплоиты, использующие уязвимости обработчиков мультимедиа в GNU/Linux.

Для компрометации системы не требуется ничего, кроме открытия «плохого» аудиофайла, ошибка парсинга которого вызывает выполнение произвольного кода. При этом можно получить доступ ко всем данным, доступным текущему пользователю.

Работа эксплоита была продемонстрирована на полностью обновлённых системах Fedora 25 и Ubuntu 16.04 (видео на YouTube). В случае с Fedora эксплоит сработал при открытии файла процессом tracker-extract.

>>> Подробности

Состоялся релиз Adobe Flash Player 24.0.0.186; версии для Windows, Google Chrome и дистрибутивов Linux синхронизированы впервые за несколько лет.

Увы, у автора новости в CentOS 7.3 x86_64 все вкладки в Firefox с Flash падают с ошибкой сегментирования (segfault), если закрыть любую вкладку с Adobe Flash. Версия 11.2.202.644 этой проблемой не страдала.

>>> Список изменений всех релизов, начиная с версии 13

>>> Подробности

В ближайшие дни Microsoft представит совместную с Ubuntu разработку для ОС Windows 10, которая позволяет запускать немодифицированные (пока только консольные) бинарные файлы в Windows. Суть новинки заключается в трансляции системных вызовов Linux/POSIX в вызовы Win32 API, что позволяет достичь практически родной скорости выполнения Linux-приложений в среде Windows. Если не вдаваться в тонкости, то разработчики из Microsoft написали Wine наоборот.

Некоторые детали реализации:

( читать дальше... )

>>> Подробности

Вышла новая условно стабильная версия Wine 1.6.0.

Основные изменения по сравнению с версией 1.4.0, которая вышла 16 месяцев назад, следующие:

• 10 тысяч коммитов в git.
• Новый драйвер вывода для Mac OS X.
• Полная поддержка прозрачности окон.
• Пакет Mono для поддержки .NET приложений.
• Стали полноценно поддерживаться сотни новых приложений.
• Для запуска Steam по-прежнему нужно использовать флаг "-no-dwrite".
• Полные release notes ещё не успели подготовить, на сайте opennet скомпилирована подборка измений версий Wine 1.5.X.

Пользователям Wine 1.6-rc5 можно не обновляться, отличия только в документации.

>>> Подробности

В рассылке OSS-security появился тривиальный эксплоит для ядра 3.8, который посредством использования вызова clone() с параметрами CLONE_NEWUSER|CLONE_FS позволяет непривилегированному пользователю получить права суперпользователя.

Эксплоит работает только в том случае, если в ядре встроена поддержка namespaces, а также у пользователя есть права на запись в корневую файловую систему (в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Для запуска эксплоита в 32-битном окружении, поменяйте все вхождения lib64 на lib, а ld-linux-x86-64.so.2 на ld-linux.so.2.

>>> Подробности

В конце прошлой недели на поверхности сети объявился эксплоит для уязвимости Линукс ядра, которая, судя по всему, существует уже очень продолжительное время и затрагивает все ядра, начиная с версии 3.3.0.

Ошибка находится в реализации функции sock_diag() и она позволяет локальному непривилегированному пользователю послать netlink сообщение, тем самым вызывая ошибку доступа вне границ, что позволяет коду, который выполняется в контексте пользователя, получить права ядра.

На ванильном ядре моей системы (3.7.9), под который эксплоит не заточен, выполнение программы вызывает полное зависание системы.

>>> Подробности

В ядре Linux найдена опасная уязвимость, позволяющая локальному злоумышленнику выполнить код с правами пользователя root. Проблема наблюдается начиная с ядра 2.6.39. На данный момент уже опубликовано три рабочих эксплоита. Уязвимости присвоен номер CVE-2012-0056.

Источником уязвимости является ошибка в реализации proc-интерфейса для прямого доступа к памяти процесса (/proc/pid/mem). В ядре 2.6.39 защита против неавторизованного доступа к этому файлу была признана неэффективной, поэтому «#ifdef» для защиты от записи в случайные области памяти был убран, вместо этого была добавлена проверка правильных разрешений на доступ. Как оказалась, проверка привилегий была выполнена некорректно, что позволяет локальному пользователю получить права суперпользователя в ядрах 2.6.39 и выше (исключая GIT snapshot, в котором данная уязвимость была на днях закрыта).

На данный момент ни один из дистрибутивов данную ошибку не закрыл.

Взято с opennet.ru

>>> Подробности

Организация ICANN, которая занимается распределением IP адресов в сети Интернет, объявила (PDF), что пул адресов IPv4 был исчерпан. Два больших блока адресов, приблизительно 33 миллиона, были выданы организации RIR (Региональный Интернет Реестр) Азиатско-Тихоатлантического региона. Оставшиеся уже последние адреса были поделены поровну между пятью основными организациями RIR, согласно ранее подготовленному на этот случай регламенту.

Данное событие должно ускорить переход Интернета на новый протокол обмена IPv6, который позволяет выделить 2^128 адресов, что, по идее, предоставит возможность отказаться от использования NAT, значительно упростит маршрутизацию в сети, позволит также отказаться от обязательной ручной настройки параметров доступа (IPv6 может работать автоматически без использования сервера DHCP).

Эксперты полагают, однако, что миграция с IPv4 на IPv6 может занять несколько, а то и десяток лет, а полный переход может потребовать все пятьдесят лет, потому что в мире существует огромное количество оборудования, которое не умеет работать по протоколу IPv6. Данный переход должен побить по стоимости ошибку 2000 года в сотни раз, ведь если для её исправления было достаточно добавить недостающие разряды в обработчики даты, то для IPv6 требуется переписывание огромного объёма кода, который порой уже никем не поддерживается, забыт, а его авторы более не существуют.

Исчерпание IPv4 на данный момент не должно никак сказаться на работе Интернета — просто, начиная с этого момента, организациям придётся использовать NAT для подключения новых клиентов. Также прогнозируется возможность продажи некоторыми компаниями пула неиспользованных адресов для того, чтобы удовлетворить потребность в белых адресах сети Интернет.

В обозримом будущем протоколы IPv4 и IPv6 продолжат своё сосуществование, однако если вы занимаетесь покупкой сетевого оборудования, проверьте его потенциальную совместимость с новым протоколом, чтобы впоследствии избежать дополнительных трат.

>>> Подробности

Con Kolivas вернулся с новым планировщиком задач для Линукс ядра BFS (Brain Fuck Scheduler). Цитата:

Почему я написал его?

После многих лет использования моего старого ядра [Линукса] и многочисленных обновлений железа, в конце концов у меня появилось оборудование, которое требовало новых драйверов ядра, а также мне хотелось попробовать новые файловые системы. Загрузка в стандартное ядро [основная ветка на kernel.org] была достаточно обнадёживающей в том, что поведение планировщика стало гораздо лучше, чем в старых ядрах. Однако, много времени не потребовалось, чтобы я разочаровался и в этом [планировщике]. Случайные зависания при движении курсора мыши и нажатиях клавиш, странное распределение процессорного времени при разных вариантах нагрузки на систему и непредсказуемое поведение - это всё то, что, я надеялся, уже исправили. Поэтому я сделал то, чего поклялся никогда не делать - изучил код [планировщика CFS в ядре]. Увидев, что он превратился в монстра невероятных размеров, я сел и поразмыслил, что же в нём не так.

Одна из основных особенностей "справедливости" и интерактивности, за которую я всегда ратовал — это простая семантика того, как должно распределяться процессорное время; с гарантированными низкими задержками так, чтобы интерактивность была гарантирована архитектурой системы, а не так, чтобы она была привинчена с краю [bolted on]. По сути CFS так и делает, но у CFS есть кое-что ещё. CFS варьирует отрезки времени с тем, чтобы попытаться сохранить список завершения задач и определяет распределение процессорного времени, основываясь на отношении работы, поделённой на отдых. CFS также спроектирован, чтобы работать на супер-компьютерах - то, что обычный человек никогда даже не увидит.

Все эти подсчёты времени сна - это то, что, как я обнаружил, ответственно за различное поведение системы при различных нагрузках на неё - то, что вызывает относительное "голодание" и нечестность распределения процессорного времени. Хотя, надо отдать должное, в CFS это не сильно выражено, и это замечательно. Но, тем не менее, поведение системы при работе CFS - это не то ощущение, которое я бы хотел получить при работе планировщика. Правильный планировщик должен "думать" только о будущем (не подсчитывая время сна), а CFS, увы, не загружает полностью достаточно ненагруженную систему с небольшим количеством процессоров.

Поэтому я всё выкинул и начал писать код, работающий приблизительно наоборот.

Что же это такое?

BFS - это аббревиатура от Brain Fuck Scheduler (позволю себе оставить без перевода). Он был разработан по принципу "гляжу только вперёд" и позволяет выжать максимум из достаточно слабых компьютеров, при этом он не ориентирован на суперкомпьютеры. BFS ориентирован на десктоп, имеет при этом по дизайну сверхнизкие задержки для великолепной интерактивности, вместо того, чтобы заниматься подсчётами, при этом BFS имеет настоящую "честность" (распределения процессорного времени), хорошее распределение уровней NICE и отличную масштабируемость при обычных нагрузках.

Отличная масштабируемость при обычных нагрузках? Разве тут нет противоречия?

Многие годы мы нагружали свои Linux системы так, чтобы работы было больше, чем у нас есть процессоров, потому что все мы считали, что jobservers ограничены в своих способностях по полному использованию процессоров (поэтому на 4х процессорном компьютере мы запускали компиляцию в шесть потоков). Мой планировщик доказал, что jobserver ни в чём не виноват, потому что на компьютере с 4 процессорами четыре потока при использовании BFS завершают работу быстрее, чем *любое* количество jobserver'ов при использовании CFS. Предлагаю вам посмотреть на графики обратной масштабируемости Сергея Беляшева, показывающие нагрузку на систему при разном количестве "задач" (jobs) на 4х ядерном компьютере. Планировщик задач в основном ядре никогда не может нагрузить машину полностью - он не может выжать максимум из вашей настольной системы ни при каких обстоятельствах. Отмечу, что этот график достаточно стар - масштабируемость с тех пор улучшилась.

Далее Кон объясняет выбор его имени (потому что, скорее всего, этот планировщик никогда не появится в основном ядре, и BFS не ориентирован на супер-компьютеры, например, на NUMA машины) и даёт рекомендации по его использованию (просто наложите патч на ядро).

>>> BFS Faq

На ЛОРе, к сожалению, не было объявлено об очень серьёзной ошибке в udev, о чём уже успел сообщить Максим Чирков:

В коде подсистемы udev найдены две уязвимости в настоящее время подтвержденные во всех поддерживаемых версиях Debian, Fedora и Ubuntu (в ближайшее время ожидается выпуск обновления для SUSE, Mandriva и других дистрибутивов):

• Локальный злоумышленник может получить привилегии суперпользователя, отправив к udev специально оформленное netlink-сообщение с запросом на создание доступного всем пользователям на запись /dev файла, дублирующего уже существующее блочное устройство (например, корневого раздела ФС);
• Целочисленное переполнение в утилите для передачи управляющих команд к udev позволяет через передачу специально оформленных аргументов вызвать отказ в обслуживании подсистемы udev и теоретически выполнить свой код с повышенными привилегиями.

Источник: opennet.ru.

>>> Подробности

Один из разработчиков веб-браузера Google в своём блоге написал, что тестовая оболочка, на которой основан Chrome, уже кое-как работает под Linux, чем невольно доказал факт портирования браузера под новую платформу. Тем не менее, работа предстоит немалая, учитывая использование в исходном коде продукта некоторых специфичных для Windows библиотек.

>>> Подробности

Специалисты по безопасности, прибывшие на последнюю конференцию DefCon, рассказывают о способе тихого пассивного прослушивания или даже полного управления трафиком практически любой Интернет сети из-за уязвимости протокола BGP. Решения пока нет.

Тема прямого отношения к Linux не имеет, но, тем не менее, очень актуальна и интересна для обсуждения. Также не стоит забывать, что в сети уже немало основанного на Linux сетевого оборудования магистрального масштаба.

>>> Подробности (PDF)

Theodore Ts'o в своём online-дневнике поделился информацией о скорости проверки диска, отформатированного в ext4. Согласно его измерениям, шестимесячный том ext4 FS размером в 128 GB проверяется за 63 секунды, тогда как те же самые данные, скопированные на свежеотформатированный раздел ext3, проверялись 425 секунд, т.е. почти в 7 раз медленней.

Фёдор не обратил внимание на интересную деталь из лога проверки: 779726 inodes used (9.30%), 1 non-contiguous inode (0.0%), т.е. либо он копировал на ext4 файлы, никогда не удаляя старые, либо в ext4 наконец-то работает online-дефрагментатор, что не может не радовать — теперь в Линуксе есть две файловые системы, которые позволяют ускорить доступ к лежащим на них данным. [От автора новости: осталось дождаться, когда кто-то напишет prefetcher и исправит дефрагментатор, чтобы тот учитывал порядок чтения файлов при запуске системы].

>>> Подробности

Всех поклонников и пользователей KDE можно поздравить с выходом первой по-настоящему готовой версии KDE 4.x, основанной на библиотеке Qt4. Среда [рабочего стола] стала по-настоящему универсальной, ведь теперь можно запускать её не только на Linux и FreeBSD, но и на MacOS и Windows.

Что значительного появилось в этой версии:

• Обновлены и доработаны старые, а также появилось много новых приложений Plasma, в т.ч. с поддержкой WebKit
• Наконец-то вернулся рабочий стол в виде приложения Plasma. На самом деле, решение более функционально, ибо можно вывести на рабочий стол содержимое любой папки
• Значительно улучшены эффекты менеджера окон KWin, повышена стабильность его работы
• Вернулось приложение для ведения дел Kontact, а также остальные приложения для совместной работы
• Наконец-то появились приложения для просмотра видео (Dragon Player), возвращён к жизни проигрыватель CD
• Огромное количество улучшений в Konqueror: мягкая прокрука страниц, восстановление страниц после падения, появился менеджер веб-сессий
• Значительно улучшены просмотрщик картинок GwenView и новый легковесный менеджер файлов Dolphin (в дополнение к Konqueror)

Уже хотелось бы радоваться, но, увы, многие пользователи видеокарт NVIDIA не смогут получить удовольствие от работы в этой среде из-за ужасающе низкой скорости прорисовки интерфейса. К сожалению, компания до сих пор не дала внятного ответа касательно этой проблемы.

Горькой пилюлей остаётся тот факт, что многие приложения KDE 3.x до сих пор не портированы или находятся в состоянии alpha-версии. В первую очередь речь идёт о K3B и Amarok. Среди менее значимых, но не менее полезных, стоит отметить KSensors и KNetStats/KNemo.

Обзор новых возможностей можно прочитать здесь и здесь.

>>> Подробности

Популярный игровой сайт GamaSutra взял интервью у бывшего ведущего самого популярно игрового Linux-сайта Linux Game Tome. Bob Zimbinski рассказал о том, что уже отчаялся увидеть Linux в качестве игровой платформы, что уже давно перешёл на XBox 360, а качестве desktop'ной OS использует Mac OS. Также он поведал о том, сколько игр появлялось для Linux в последние 10 лет — статистика весьма удручающая.

Microsoft медленно, но верно открывает свой пакет офисных приложений для других файловых форматов.

В среду компания объявила, что она планирует добавить поддержку новых форматов в Office 2007, включая Open Document Format (ODF), Portable Document Format (PDF) и XML Paper Specification (XPS). Их поддержка будет добавлена как часть второго сервисного обновления (SP2) для Office 2007, который ожидается к выходу в первой половине 2009 года.

ODF, конкурирующий файловый формат, стал популярным в правительственной среде и в школах. Microsoft, следуя требованиям пользователей по поводу совместимости с ним, выпустила конвертер, который позволяет пользователь Microsoft Word открывать документы в формате ODF.

Примерно также компания чуть ранее выпустила дополнения для Office, которое позволяет сохранять документы в формате PDF.

Теперь, компания пошла дальше, путём встраивания поддержки ODF и PDF прямо в Microsoft Office. Кроме этого, пользователи Office 2007 теперь смогут установить ODF как формат по умолчанию для сохранения документов.

Компания также объявила о продолжении сотрудничества с open-source сообществом, чтобы сделать доступным конвертер ODF для старых версий Microsoft Office, таких как 2000, XP и 2003.

>>> Подробности

Что новое ждёт нас в новой версии открытого офисного пакета Open Office 3?