Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.

Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

Опубликована 83-я версия кэширующего и антиспамного прокси-сервера для персонального использования c гибкими настройками.

Основные функции (всё настраивается):

1. фильтрация нежелательного контента (белые/чёрные списки на урлы, запрет кук);
2. принудительное и бессрочное кеширование полученных данных (в основном удобно для картинок и скриптов);
3. исправление содержимого веб-страниц на лету (правкой исходника на Си, есть пример для замены содержания страниц-клонов stackoverflow ссылкой на оригинал);
4. чёрные/белые списки сертификатов и certificate pinning по списку;
5. подмена айпи-адреса/домена/пути/протокола http-запроса по конфигу (такой расширенный вариант /etc/hosts);
6. http/https-сниффер.

Прекрасно подходит для просмотра сайтов через медленный интернет или с медленного устройства (благодаря п.1 и 2, ради которых изначально всё и затевалось), но вообще полезно в любом случае.

Прокси-сервер в целях безопасности и упрощения логики работы разделён на три части: TLS-сервер (терминирующий браузерные подключения), центральный модуль прокси и клиент, терминирующий исходящие подключения.

Программа рассчитана на персонализированное использование, то есть все конфиги и директория с текущими данными прокси-сервера привязана к конкретному пользователю, или даже к конкретному профилю браузера. Запустить прокси в качестве общесистемного демона технически возможно, но в таком виде затруднительно использовать одну из его главных функций - агрессивное кеширование всего подряд, поскольку закешированные данные у каждого профиля браузера могут быть свои, и должны быть изолированы друг от друга в целях безопасности.

Пример списка блокировки:

deny    nosub   all     share.yandex.ru browser-updater.yandex.net
deny    nosub   all     a.ria.ru # ?
deny    nosub   spec    vk.com
                query   /share.php
deny    nosub   spec    yastatic.net
                query   /pcode/adfox/loader.js
                query   /share2/share.js
deny    nosub   spec    www.youtube.com
                query   /subscribe_widget
deny    nosub   spec    pano.img.ria.ru
                query   /adriver/flashplagin/movie.swf
deny    nosub   spec    a.ria.ru
                query   /ping
deny    nosub   spec    n-ssl.ria.ru
                query   /polling
deny    nosub   spec    apis.google.com
                query   /js/plusone.js
deny    nosub   spec    yandex.ru
                pref    /clck/safeclick/
                pref    /clck/click/
                pref    /clck/jclck/
deny    all     spec
                query   /tnc    # index.ru proxied counter
                exact   /tnc.js # index.ru proxied counter
                query   /pixel.gif # some spammers use this

Пример списка роутинга:

https://my.local.site
        set proxy none
        set target http://127.0.0.1:1234/localsite
        set http_host new.host:1234
.intel.com
        resolve off
        set proxy socks5://127.0.0.1:3333

В случае обновления с версии более старой чем 78 следует сконвертировать кеш: зайти в рабочую директорию прокси-сервера от юзера (uid/gid) прокси-сервера и выполнить fproxy-cacheconv-78 (по умолчанию эта программа не компилируется).

Изменения с прошлой опублированной версии (80):

1. fproxy-dashboard теперь имеет опцию для показа размеров контента в байтах а не кбайтах;
2. поддержка багнутых серверов, игнорирующих заголовок «Connection: close»;
3. поддержка багнутых серверов, отдающих некорректный заголовок «Content-Encoding: identity»;
4. отправка TLS-опции ALPN;
5. улучшение работы TLS-терминатора внешней стороны (клиента): он теперь поддерживает не только TLS, но и обычные соединения, поддерживает работу в виде независимого демона с приёмом запросов от основного прокси по сети, а также может пробрасывать свои исходящие соединения через другое прокси, таким образом позволяя гибко разделять задачи между узлами в условиях плохого интернет-соединения и/или необходимости организовать «выход» трафика где-то на удалённом сервере разной степени доверенности; так же новая версия более удобна для использования вручную из командной строки в качестве консольного TLS-клиента с поддержкой проксирования;
6. упрощена сборка, теперь есть Makefile вместо шелл-скриптов
7. организованы предсобранные .deb-пакеты в репозитории (для версий Debian 8-12)
8. изменения файла конфигурации, обратно-несовместимые
9. новый конфиг для управления роутингом запросов, объединивший ранее бывшие отдельными конфиги resolv и включения проброса исходящих соединений на удалённый сервер, а так же получивший ряд новых опций: теперь можно для каждого url-а (протокол, домен, порт, путь) выбирать через какой клиент, какое прокси он будет отправлен, через чей днс-сервер будет проводиться определение его айпи-адреса (включая опциональное делегирование этой задачи внешнему прокси-серверу http или socks5), либо прописать адрес вручную, а так же заменить протокол, порт или префикс пути url-а
10. добавлена поддержка SAN-сертификатов для ip-адресов и в клиенте и в сервере (браузеры с некоторых пор перестали принимать ip-адреса в CommonName)

В планах на будущее:

1. поддержка CGI/FastCGI/.so хуков для mitm-обработки полученного от сайтов контента
2. менеджер профилей и конфигураций прокси
3. интерактивное управление проверкой сертификатов удалёных сайтов и списками блокировок

>>> Подробности

14 ноября состоялся выпуск Blender 4.0.

Переход на новую версию будет мягким, поскольку значительных изменений в интерфейсе нет. Поэтому большинство обучающих материалов, курсов и руководств останутся актуальными и для новой версии.

( читать дальше... )

>>> Подробности

Вечер добрый всем, и да пребудет с вами сила, коллеги по линуксу. :)

Намедни водрузил я экзотическую ось хайку на недобук «на посмотреть», да так ее и оставил. Стоит, обновляется, работает.

Нынешняя ревизия системы — 294. Работает на удивление хорошо (это булыжник в огород реактоси и прочих подобных изделий).

Кратко так. Офис представлен либрой, работает без нареканий. Кому не катит либра — есть thinkfree office, 4 версии, по работе никаких вопросов нет. Сеть подхватывает «на ура», что провод, что по вайфаю. Мой МФУ EPSON L366 система подхватила искаропки, НИКАКИХ телодвижений не понадобилось. Есть разнообразные виджеты, так называемые репликанты. Телега есть, работает, ютуб крутит, браузер все более пользую нативный — webpositive. Почту получаю claws-mail, видео смотрю vlc — лагов, поддрагиваний нет, все плавно. И это без аппаратного ускорения то, на 2 гигах оперативы и камне атоме 1.33ГГц!

Скорость работы реактивна, загруженная под завязку ОЗУ гайки не затрудняет работу приложений, сама операционка старается вытянуть все, зависаний очень мало. Как-то всё в общем хорошо для бетки:)

На скрине практически дефолт — стандартная тема и значки, обои от Владстудио какие-то. Ну и жду сборку 57301+ с фиксом https://t.me/Haiku_RUS/6447

P.S. пишу сюда сейчас из-под гайки.

>>> Просмотр (1024x600, 501 Kb)

Тестовый комп - i5-8400, GPU UHD 630, driver intel_extreme, wifi intel N-6235, monitor 24"/hdmi cable, screenmode 1920х1080х32, ssd NVMe WD SN750, bios CSM/legacy enabled

>>> Просмотр (1920x1080, 1231 Kb)

Протестировал haikuos на своем нетбуке.

Работает по ощущуениям весьма неплохо, но нехватает 3D-ускорения.

Реально ли поставить туда дрова для Radeon HD 6290?

Вышла новая версия открытой графической библиотеки Mesa - 23.1. Эта версия содержит множество исправлений ошибок и улучшений производительности.

Mesa — это свободная реализация графических API OpenGL и Vulkan с открытым исходным кодом, и других спецификаций, а также набор видеодрайверов пространства пользователя для GPU AMD/ATI Radeon, Intel, Nvidia, Qualcomm.

( читать дальше... )

>>> Подробности

После более года разработки состоялись выпуски 1.7 и 1.7.1 программы создания двумерных анимаций OpenToonz.

Краткий список изменений:

( читать дальше... )

>>> Подробности

Haiku OS, установлена на ноутбук, использую для работы (хотя пока это громко сказано) каждый день.

На скриншоте, в порядке следования:

• ЛОР, виртуалка с FreeBSD 14, информация о системе https://0x0.st/HHVm.png

• Сторонние приложения, результат недавних достижений по портированию. GIMP через wayland прослойку, FEMM и WinRAR через Wine. https://0x0.st/HHVB.png

• Пустой рабочий стол https://0x0.st/HHVM.png

• Системное меню, системный ФМ, терминал. https://0x0.st/HHVu.png

Бонус скриншоты:

• HaikuDepot (магазин приложений) https://0x0.st/HHVS.png

• QMMP (hobbit) https://0x0.st/HHVQ.png

• LibreOffice https://0x0.st/HHV1.png

• Cortex (управление звуком) R_He_Po6oT https://0x0.st/HHVj.png

Из интересных моментов.

На скриншоте рабочего стола - видны репликанты (как виджеты в плазме, но работает это несколько иначе).

Окно с виртуалкой QEMU - в его заголовок присоединены (stacked, не знаю, как по-русски сказать) другие окна QEMU и терминал, переключаются как вкладки. Это киллер фича Haiku, как вы знаете.

Аппаратной виртуализации нет, поэтому QEMU работает в TCG-режиме. Но работает.

В Wine работают только чистые 64 бит приложения, и это огромная проблема, потому что винду…дисты до сих пор на 2023 год плещут 32 битные бинари в перемешку с 64 битными. Во имя Ктулху видимо.

Система установки и обновления приложений тоже оставляет самые положительные впечатления. При обновлении, установке, удалении чего-либо - создается «снапшот» системы и в загрузчике можно выбрать его, если что-то пошло не так. Причем как он создается! Без всех этих ваших линукс/FreeBSD чудес с вундер файловыми системами. Это работает просто на папках.

Система работает на ноуте, работает встроенный WiFi из коробки, звук из коробки, разрешение экрана родное из коробки. Отзывчивость, стабильность работы, производительность и безглючность системы впечатляет.

Хотя баги, конечно, есть, например драйвер сети иногда валит ядро при загрузке системы. Но в целом, то, что называется в линуксе DE, - работает чётко. (Привет, плазма).

>>> Просмотр (2732x1536, 1943 Kb)

Не совсем про линукс, но тем не менее хочу поделиться с уважаемой публикой.

Поставил на древний нетбук Lenovo S100 гайку. Диск ssd. Система летает, что не могу сказать о линях, тем паче о виньдовзах. Даже православный дебиан на i3 не отличался такой скоростью работы. Машинка быстро работает, в интернеты ходит, тексты печатает, кино смотрит музыку слушает. И все это происходит весьма шустро.

По сути кратко так — когда выйдет из бетки, весьма интересный вариант ОС на замену линуксвиндовсам.

>>> Просмотр (1024x600, 116 Kb)

[Предыдущая тема была через Хайковский браузер запущенный на qemu, к которому я подключался через vnc с планшета. Русский ввод в такой комбинации не работал, точнее набирать русские можно было, если андройд-клавиатуру на русский не переводить. Я так не умею…]

qemu-system-i386 -cdrom ~/ISO/haiku-r1beta4-x86_gcc2h-anyboot.iso -m 1024 -enable-kvm -display egl-headless -vnc :2 -hda ~/QEMU/haiku.qcow
qemu-system-i386: warning: no scancode found for keysym 1748                                       qemu-system-i386: warning: no scancode found for keysym 1748
qemu-system-i386: warning: no scancode found for keysym 1733                                       qemu-system-i386: warning: no scancode found for keysym 1733                                       qemu-system-i386: warning: no scancode found for keysym 1748                                       qemu-system-i386: warning: no scancode found for keysym 1748
qemu-system-i386: warning: no scancode found for keysym 1733                                       qemu-system-i386: warning: no scancode found for keysym 1733
qemu-system-i386: warning: no scancode found for keysym 1747                                       qemu-system-i386: warning: no scancode found for keysym 1747
qemu-system-i386: warning: no scancode found for keysym 1748                                       qemu-system-i386: warning: no scancode found for keysym 1748
qemu-system-i386: warning: no scancode found for keysym 1739                                       qemu-system-i386: warning: no scancode found for keysym 1739
qemu-system-i386: warning: no scancode found for keysym 1746                                       qemu-system-i386: warning: no scancode found for keysym 1746                                       qemu-system-i386: warning: no scancode found for keysym 1746                                       qemu-system-i386: warning: no scancode found for keysym 1746
qemu-system-i386: warning: no scancode found for keysym 1746                                       qemu-system-i386: warning: no scancode found for keysym 1746

А вот это уже с планшета …ну что сказать, ставится все быстро, но вот inkscape на x86 версию не ставится, и Links тоже - зависимостей не хватает …

SMtube ищет, но не показывает сами видео (может ему гига памяти мало? еле прибил…через kill -9). top странный. whereis нету?

Я так понял старые libx11 и xlibe конфликтуют, и /proc там нема.

Почему-то /bin/x86 нету в PATH, добавил вручную.

Жаль, но на всякий случай я скачал исходники cinelerra-gg, хотя она без /proc работать не будет, проверено на FreeBSD.

BeOS прожила довольно недолгую жизнь, почти не заимев приложений, и вроде бы не совсем понятно, зачем делают совместимую с ней ОС. Даже с тем же дизайном, хотя могли бы его обновить. Но вопрос не в этом.

BeOS вроде как могла в адовую многозадачность. Можно было запустить несколько десятков приложений, и ничего не лагало, не тормозило, не заикалось. Haiku OS тоже так может? Проверить у себя не могу, ведь они до сих пор не осилили видеодрайверы.

И что там с многопользовательским режимом? Его добавили, или не собираются?

Линукс тут при том, что если Хайку допилят, то можно будет свалить на неё, ведь она развивается куда быстрее фряхи.

Собственно говоря, в теме о выходе новой версии ОС Haiku, возникла дискуссия о её внешнем виде. Интересно было бы узнать мнение сообщества по этому поводу.

Посмотреть внешний вид этой операционной системы по умолчанию можно тут.

Тихо и незаметно…

После полутора лет разработки опубликован четвёртый бета-выпуск операционной системы Haiku R1. Изначально проект был создан как реакция на закрытие ОС BeOS и развивался под именем OpenBeOS, но был переименован в 2004 году из-за претензий, связанных с использованием в названии торговой марки BeOS.

( читать дальше... )

>>> Подробности

Небольшая новость в преддверии свежей beta-версии Haiku.

Илья Чугин (X512) портировал реализацию протокола Wayland, через которую стало возможно запускать GTK-приложения на Haiku. Данный слой совместимости использует модифицированный код libwayland. Он предоставляет библиотеку libwayland-client.so, совместимую с API и ABI, которая позволяет запускать приложения Wayland без изменений. Cервер работает не в отдельном процессе, а в виде аддона (плагина) в процессе приложения. Для этого была адаптирована библиотека libwayland-client.so. Вместо сокетов в сервере используется нативный цикл обработки сообщений на основе BLooper.

( читать дальше... )

>>> Подробности

Всем привет. Столкнулся со следующей ситуацией: имеется ноутбук с Debian, смартфон Vivo Y19 (Android 9). WiFi и проводного интернета нет (лежу в больнице). Подключаю ноутбук к интернету через смартфон:

• Подключаю смартфон по USB (пробовал разные порты)
• На телефоне иду в «WiFi hotspot -> Other sharing mode»
• Включаю пункт «Share phone network via USB»

Всё ок, ноутбук подключается к сети, показывает это как проводное соединение:

$ ip a show dev usb0 
32: usb0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether 52:1c:c4:d9:81:ca brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.225/24 brd 192.168.42.255 scope global dynamic noprefixroute usb0
       valid_lft 3578sec preferred_lft 3578sec
    inet6 fe80::501c:c4ff:fed9:81ca/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Но при вытаскивании кабеля питания из ноутбука соединение рвётся. То есть смартфон как бы отключается и подключается заново:

[11571.369324] usb 2-2: USB disconnect, device number 64
[11571.369756] rndis_host 2-2:1.0 usb0: unregister 'rndis_host' usb-0000:26:00.0-2, RNDIS device
[11571.683472] usb 2-2: new high-speed USB device number 65 using xhci_hcd
[11571.835074] usb 2-2: New USB device found, idVendor=2d95, idProduct=6ffa, bcdDevice= 4.04
[11571.835086] usb 2-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[11571.835091] usb 2-2: Product: vivo 1915
[11571.835096] usb 2-2: Manufacturer: vivo
[11571.835100] usb 2-2: SerialNumber: W8G6ZLQCY9SW4P5H
[11571.842731] rndis_host 2-2:1.0 usb0: register 'rndis_host' at usb-0000:26:00.0-2, RNDIS device, fe:3f:c0:24:ae:45
[11600.537453] usb 2-2: USB disconnect, device number 65
[11600.537864] rndis_host 2-2:1.0 usb0: unregister 'rndis_host' usb-0000:26:00.0-2, RNDIS device
[11600.858839] usb 2-2: new high-speed USB device number 66 using xhci_hcd
[11601.014243] usb 2-2: New USB device found, idVendor=2d95, idProduct=6ffa, bcdDevice= 4.04
[11601.014256] usb 2-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[11601.014261] usb 2-2: Product: vivo 1915
[11601.014265] usb 2-2: Manufacturer: vivo
[11601.014269] usb 2-2: SerialNumber: W8G6ZLQCY9SW4P5H
[11601.021987] rndis_host 2-2:1.0 usb0: register 'rndis_host' at usb-0000:26:00.0-2, RNDIS device, 26:4b:fb:21:3f:a2

Шарить интернет, есстественно, приходится заново. Кто-нибудь сталкивался с такой проблемой? Куда копать?

Ололо, котаны. Юзаю сабж. Вполне себе юзабелен, учитывая небольшое количество разработчиков.

Работает офигенно шустро. Учитывая что носитель - СД-карточка.

Браузер открывается, ютубчик работает.

Некоторые решения неочевидны, всякие там настройки раскладки клавиатуры, и тд.

Нету достающего меня в ФриБСД и Линуксе, глюка с залипанием рандомных клавиш.

В отличие от ФриБСД (вообще это лол) - тачпад работает бай дефолт.

Вафля работает в обеих режимах.

Правда нету звука, но неработающий звук с работающим тачпадом починить проще, чем неработающий тачпад с работающим звуком.

Короче лапчатые в вендекапец не смогли, а вот у Гайки похоже есть неиллюзорный шанс.

Напомним, что проект Falkon заменил QupZilla, перейдя под крыло KDE. Браузер лицензирован под GPLv3.

( читать дальше... )

>>> Подробности

Уязвимость в компоненте pkexec пакета Polkit, идентифицированная как CVE-2021-4034 (PwnKit), присутствует в конфигурации всех основных дистрибутивов Linux и может быть использована для получения привилегий root в системе, предупреждают исследователи из Qualys.

Уязвимый участок кода был отслежен до начального коммита pkexec, более 12 лет назад, что означает, что все текущие версии Polkit затронуты.

Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys, пояснил, что PwnKit — это «уязвимость повреждения памяти в Polkit, которая позволяет любому непривилегированному пользователю получить полные привилегии root на уязвимой системе, при использовании конфигурации Polkit по умолчанию».

Код эксплойта для доказательства концепции (PoC), уже стал общедоступным.

>>> Подробности

https://discuss.haiku-os.org/t/my-progress-in-porting-wine/11741

тов. X512 продолжает удивлять производительностью)