LINUX.ORG.RU

Новости «Безопасность»

Вышел новый концепт масштабируемого и безопасного домена для Linux

Группа Безопасность

Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

 , , , ,

Jacky-jss ()

Уязвимость в GnuPG

Группа Безопасность

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

>>> Далее...

 , , , ,

rht ()

Исполнение произвольного кода в procps-ng

Группа Безопасность

В пакете procps-ng версии 3.3.15, используемом многими дистрибутивами предоставляющими традиционные программы free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w, watch, а также библиотеку libprocps, было обнаружено несколько уязвимостей, худшая из которых позволяет непривелигированному пользователю исполнить код с правами пользователя, запускающего одну из уязвимых утилит (утилиты pgrep, pidof, pkill и w уязвимы с параметрами по умолчанию).

Уязвимости устранены разработчиками, исправления доступны в основных дистрибутивах.

>>> Qualys Security Advisory - Procps-ng Audit Report

 , , ,

L29Ah ()
Мини-новость: Выпущено обновление безопасности ядра для Ubuntu 18.04 LTS (43 комментария)

Официальное заявление разработчиков GnuPG и GPG4Win по поводу только что обнародованной уязвимости

Группа Безопасность

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

  1. Статья озаглавлена неверно.
  2. Атака направлена на забагованные почтовые клиенты.
  3. Авторы составили список таковых клиентов.

( читать дальше... )

>>> gnupg-users@gnupg.org

 , , ,

Zmicier ()

EFAIL — критическая уязвимость в PGP-шифровании почты

Группа Безопасность

Авторитетный специалист в области компьютерной безопасности Себастиан Шинцель (Sebastian Schinzel) сообщил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME.

Проблемы настолько серьезны, что позволяют полностью дешифровать текст писем, в том числе и отправленных ранее писем.

Был создан специальный сайт посвящённый данной уязвимости, где описаны методы противодействия возможным атакам.

>>> https://efail.de/

>>> Подробности

 , , ,

Bobby_ ()

В ядрах всех крупных ОС обнаружена опасная уязвимость

Группа Безопасность

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Подробности:

https://www.kb.cert.org/vuls/id/631579

>>> Источник

 , , , ,

cvv ()
Мини-новость: Атака Rowhammer с помощью видеоадаптера позволяет успешно атаковать веб-браузер на Android (6 комментариев)
Мини-новость: Стало известно о восьми новых атаках на процессоры Intel/ARM (132 комментария)
Мини-новость: Обновление Kali Linux 2018.2 (68 комментариев)
Мини-новость: Выпущено обновление для IPFire 2.19 — Core Update 120 (4 комментария)
Мини-новость: yescrypt 1.0.1 (12 комментариев)

OpenSSH 7.7

Группа Безопасность

OpenSSH — это реализация протокола SSH 2.0, включающая в себя sftp клиент и сервер.

В этом релизе прекращена поддержка некоторых очень старых реализаций SSH, включая ssh.com старше 2.* и OpenSSH старше 3.*. Эти версии были выпущены до 2001 года и на тот момент еще не было конечной версии RFC, следовательно прекращение поддержки не влияет на совместимые с RFC реализации SSH.

( читать дальше... )

>>> Подробности

 , ,

jollheef ()
Мини-новость: Linux Kernel Runtime Guard v0.2 (20 комментариев)

Enigmail v2.0

Группа Безопасность

Enigmail ― это расширение безопасности для Mozilla Thunderbird, позволяющее использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты.

Значимые изменения с прошлой версии:

  • Поддержка Pretty Easy Privacy (p≡p), который включен по умолчанию для новых пользователей.
  • Поддержка стандарта Autocrypt. Если Enigmail используется в классическом режиме (без p≡p), то Autocrypt включен по-умолчанию.
  • Поддержка Web Key Directory. Теперь Enigmail будет пытаться скачивать недоступные ключи из WKD. Если используется GnuPG 2.2.x и почтовый провайдер поддерживает протокол Web Key Service, то можно также загрузить свои ключи в WKD через Enigmail.
  • Теперь производится зашифровывание темы письма и замена его на «Encrypted Message».
  • Ключи теперь автоматически запрашиваются через определенный интервал.
  • Теперь при обновлении Enigmail более не будет требоваться перезапускать Thunderbird.

>>> Подробности

>>> Установить

 , , ,

jollheef ()

Обнаружены уязвимости в процессорах AMD

Группа Безопасность

Представитель AMD подтвердил, что уязвимости, о которых ранее в этом месяце сообщили исследователи стартапа CTS-Labs, действительно присутствуют в процессорах компании.

( читать дальше... )

>>> Подробности

 ,

MozillaFirefox ()

Let's Encrypt объявили о поддержке Wildcard Certificate

Группа Безопасность

Организация Let's Encrypt, в лице исполнительно директора, заявила о начале поддержки выдачи Wildcard Certificate — единый сертификат подтверждающий подлинность домена для всех поддоменов. Ранее требовалось получать на каждый поддомен отдельный сертификат (поддерживался только алиас www).

( читать дальше... )

>>> Анонс

 , ,

mandala ()
Мини-новость: Скомпрометирована база пользователей Mageia (54 комментария)

Опубликованы новые виды атак MeltdownPrime и SpectrePrime

Группа Безопасность

Группа исследователей из Принстонского университета и компании NVIDIA опубликовали новые варианты атак Meltdown и Spectre, получившие названия MeltdownPrime и SpectrePrime, которые отличаются иным способом воссоздания информации из процессорного кэша. Ключевым отличием новых методов является задействование двух ядер CPU для проведения атаки с применением в качестве канала утечки данных особенностей работы протокола согласования содержимого кэша для разных ядер CPU (Invalidation-Based Coherence Protocol).

( читать дальше... )

>>> Подробности

 ,

Odalist ()
Мини-новость: AMD чипы уязвимы к обоим вариантам Spectre (239 комментариев)