Новости «Безопасность»

Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

>>> Далее...

В пакете procps-ng версии 3.3.15, используемом многими дистрибутивами предоставляющими традиционные программы free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w, watch, а также библиотеку libprocps, было обнаружено несколько уязвимостей, худшая из которых позволяет непривелигированному пользователю исполнить код с правами пользователя, запускающего одну из уязвимых утилит (утилиты pgrep, pidof, pkill и w уязвимы с параметрами по умолчанию).

Уязвимости устранены разработчиками, исправления доступны в основных дистрибутивах.

>>> Qualys Security Advisory - Procps-ng Audit Report

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

1. Статья озаглавлена неверно.
2. Атака направлена на забагованные почтовые клиенты.
3. Авторы составили список таковых клиентов.

( читать дальше... )

>>> gnupg-users@gnupg.org

Авторитетный специалист в области компьютерной безопасности Себастиан Шинцель (Sebastian Schinzel) сообщил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME.

Проблемы настолько серьезны, что позволяют полностью дешифровать текст писем, в том числе и отправленных ранее писем.

Был создан специальный сайт посвящённый данной уязвимости, где описаны методы противодействия возможным атакам.

>>> https://efail.de/

>>> Подробности

Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.

Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.

Подробности:

https://www.kb.cert.org/vuls/id/631579

>>> Источник

OpenSSH — это реализация протокола SSH 2.0, включающая в себя sftp клиент и сервер.

В этом релизе прекращена поддержка некоторых очень старых реализаций SSH, включая ssh.com старше 2.* и OpenSSH старше 3.*. Эти версии были выпущены до 2001 года и на тот момент еще не было конечной версии RFC, следовательно прекращение поддержки не влияет на совместимые с RFC реализации SSH.

( читать дальше... )

>>> Подробности

Enigmail ― это расширение безопасности для Mozilla Thunderbird, позволяющее использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты.

Значимые изменения с прошлой версии:

• Поддержка Pretty Easy Privacy (p≡p), который включен по умолчанию для новых пользователей.
• Поддержка стандарта Autocrypt. Если Enigmail используется в классическом режиме (без p≡p), то Autocrypt включен по-умолчанию.
• Поддержка Web Key Directory. Теперь Enigmail будет пытаться скачивать недоступные ключи из WKD. Если используется GnuPG 2.2.x и почтовый провайдер поддерживает протокол Web Key Service, то можно также загрузить свои ключи в WKD через Enigmail.
• Теперь производится зашифровывание темы письма и замена его на «Encrypted Message».
• Ключи теперь автоматически запрашиваются через определенный интервал.
• Теперь при обновлении Enigmail более не будет требоваться перезапускать Thunderbird.

>>> Подробности

>>> Установить

Представитель AMD подтвердил, что уязвимости, о которых ранее в этом месяце сообщили исследователи стартапа CTS-Labs, действительно присутствуют в процессорах компании.

( читать дальше... )

>>> Подробности

Организация Let's Encrypt, в лице исполнительно директора, заявила о начале поддержки выдачи Wildcard Certificate — единый сертификат подтверждающий подлинность домена для всех поддоменов. Ранее требовалось получать на каждый поддомен отдельный сертификат (поддерживался только алиас www).

( читать дальше... )

>>> Анонс

Группа исследователей из Принстонского университета и компании NVIDIA опубликовали новые варианты атак Meltdown и Spectre, получившие названия MeltdownPrime и SpectrePrime, которые отличаются иным способом воссоздания информации из процессорного кэша. Ключевым отличием новых методов является задействование двух ядер CPU для проведения атаки с применением в качестве канала утечки данных особенностей работы протокола согласования содержимого кэша для разных ядер CPU (Invalidation-Based Coherence Protocol).

( читать дальше... )

>>> Подробности