LINUX.ORG.RU

Семилетний баг в Polkit, позволяющий получить права root

Группа Безопасность

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

 , , ,

ls-h ()

video2midi 0.4.5.2

Группа Мультимедиа

Вышло обновление video2midi – кроссплатформенной утилиты, предназначенной для воссоздания многоканального midi-файла из видеороликов в которых присутствует виртуальная midi-клавиатура/нотный лист аналогичный синтезии.

Основные изменения с версии 0.4.0.2:

  • Добавлена ​​функция RollCheck, используется для улучшения считывания нажатия нот ( отсеивания ложных срабатываний на чёрных клавишах ), что помогает улучить реконструкцию midi с гибридных видео, где нотный лист отображён с ситнезии а клавиши затёрты реальным пианино.

  • Добавлен ползунок в дополнительное окно для управления высотой вертикальных линий клавиш, что позволяет более точно позиционировать клавиши относительно видео.

  • Добавлен ползунок для регулировки относительного положения черных клавиш.

  • Добавлена ​​возможность определять повторное нажатие/отпуск клавиш по искрам. В некоторых видео многократное нажатие клавиш отображается на виртуальной клавиатуре длительным удержанием клавиш.

  • Изменен тип midi формата по умолчанию на 0 (старый тип по умолчанию 1).

  • Добавлена ​​возможность указать выходной формат файла midi. Не все DAW могут разделять многоканальные midi типа 1 при импорте. Поэтому, если ваша DAW импортирует многоканальные MIDI-файлы как одноканальную дорожку, попробуйте поиграться с выходным MIDI-форматом.

  • Добавлена ​​новая функция квантования нот по времени (привязка к сетке 1/32).

  • Внесены изменения в графический интерфейс, переработан код отвечающий за работу кнопок и ползунков.

>>> Подробности

 , , , ,

svsd_val ()

Релиз Plasma 5.22

Группа KDE

Состоялся выпуск новой версии окружения рабочего стола KDE Plasma, в которой, благодаря очистке и рефакторингу кода, повышена надёжность и стабильность.

Plasma 5.22 стала более приятной в использовании благодаря улучшенному дизайну, большей плавности и согласованности прозрачности, размытия, значков и анимации.

( читать дальше... )

>>> Подробности

 ,

fernandos ()

Большая летняя распродажа на GOG!

Группа Игры

Жаркие летние деньки возвращаются! И GOG позаботился о том, как тебе провести эти каникулы, чтобы было о чем вспомнить. Расчехляй клавиатуру и мышь, ПК-боярин - впереди шквал скидок и отличных предложений! Как всегда - без DRM.

Вот что тебя ждет:

Распродажа продлится до 28 июня, 16:00 по МСК.

>>> Подробности

 , , , ,

anonymous ()

Вышли новые версии браузера Vivaldi 4.0 для десктопа и Android

Группа Проприетарное ПО

Норвежская компания Vivaldi Technologies объявила о выходе браузера Vivaldi 4.0 для десктопа и Android. Данный браузер создаётся на открытом коде Chromium и продолжает традиции старой Opera Presto, предлагая большой набор функций, встроенных в браузер. Также разработчики декларируют принципиальный отказ от сбора и монетизации данных пользователей, уделяя особое внимание опциям приватности.

В новой версии браузера появился встроенный переводчик, позволяющий осуществлять перевод веб-страниц целиком как в автоматическом, так и в ручном режиме. На данный момент поддерживается более 50 языков. Движок системы перевода разработан компанией Lingvanex, при этом вся облачная часть переводчика размещена на собственных серверах Vivaldi, расположенных в Исландии. Подобное решение позволяет избавиться от слежки со стороны крупных компаний, предлагающих автоматический перевод.

( читать дальше... )

Одной из главных целей создания браузера Vivaldi разработчики называют стремление дать пользователям возможность выйти из-под контроля гигантов индустрии, предоставив браузер, не следящий за своими пользователями и не монетизирующий персональные данные.

>>> Подробности

 , , ,

Shpankov ()

Еще новости

Июнь 2021

Май 2021

RSS-подписка на новости

Канал в Telegram

О Сервере - Правила форума
Разработка и поддержка — Максим Валянский 1998–2021
Сервер для сайта предоставлен «ITTelo»
Размещение сервера и подключение к сети Интернет осуществляется компанией «Selectel».