Чуть больше чем через 14 месяцев после релиза 6-й версии французского дистрибутива Mageia, корни которого восходят к легендарному дистрибутиву Mandrake, состоялся релиз версии 6.1.
( читать дальше... )
>>> Подробности
Разработчики из Google Project Zero опубликовали детали уязвимостей, которые затрагивают не только процессоры Intel и ARM64, но и AMD тоже (есть сообщения, что только при включении BPF JIT в ядре, что по умолчанию выключено). Названия им дали: Meltdown и Spectre (расплавление ядерного реактора и призрак).
Meltdown позволяет приложению читать любую память компьютера, включая память ядра и других пользователей. Этой атаке подвержены процессоры Intel. Точных сведений об уязвимых процессорах нет, но скорее всего минимум начиная с Core Duo.
Spectre создаёт брешь в изоляции различных приложений и позволяет атакующему обманным способом получить данные чужого приложения. Этой атаке подвержены процессоры Intel, AMD, ARM64, Power8 и 9. По неподтвержденным данным узявимы практически все процессоры, умеющие спекулятивное исполнение кода. Для Intel это процессоры, начиная с Pentium Pro (1995 год), кроме Itanium и Atom. Есть сообщения о том, что уязвимость проверена на Pentium-M 1.5 ГГц (2004 год).
Эксплоит, эксплуатирующий Meltdown позволяет читать память ядра со скоростью 2000 байт в секунду на процессоре Intel Xeon архитектуры Haswell.
Уязвимостям назначены следующие CVE: CVE-2017-5753, CVE-2017-5715 и CVE-2017-5754.
Напомню, что пользователи ежедневно запускают чужой код на своих компьютерах, посещая веб сайты с JavaScript (>99%), поэтому применение патча (здесь и здесь) обязательно, если вы дорожите своими данными. Есть PoC (п.4.3) , демонстрирующий атаку с этой уязвимостью через JavaScript.
Разработчики ARM приводят подробности атаки для ARM, заявляют о том, что уязвимы лишь некоторые процессоры ARM, дают их список и меры по повышению безопасности.
Технические подробности про spectre (есть пример кода в конце файла)
Код из spectre.pdf выложенный отдельно.
Технические подробности про meltdown
Еще про meltdown
Видео, демонстрирующее утечку памяти meltdown
Технические детали для ARM-процессоров
Отчёт от Red Hat, упоминающий процессоры IBM Power как уязвимые.
UPD: Хорошая статья на русском языке про meltdown
UPD2: Продолжение про два вида Spectre
>>> Подробности
На сайте А. В. Столярова выложен в открытый доступ учебник «Системы и сети», продолживший серию «Программирование: введение в профессию». Серия в целом ориентирована на ОС семейства Unix (в том числе использующие ядро Linux) в качестве единой среды для обучения.
( читать дальше... )
>>> Подробности
Спустя два года вышла новая версия Mageia — форка Mandriva Linux. Дистрибутив примечателен свободой использовать проприетарное ПО во время установки: например, можно загрузиться с использованием драйвера NVIDIA в LiveCD. Для загрузки доступны 32- и 64-разрядные DVD-сборки (2,4 ГиБ), минималистичный образ для установки по сети (32 МиБ) и набор live-сборок на базе GNOME, KDE и Xfce. Срок поддержки Mageia 6 составит не менее 18 месяцев (до 16 января 2019 г.). Обновления для прошлой ветки будут формироваться до 31 октября 2017 г.
( читать дальше... )
>>> Подробности