LINUX.ORG.RU

109
Всего сообщений: 1556

Компания Intel опубликовала сведения о новом классе уязвимостей

Группа Безопасность

Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах - MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre, новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel также передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по определению возможных векторов атак и доставке исправлений. Процессоры AMD и ARM проблеме не подвержены.

Выявленные уязвимости:

CVE-2018-12126 — MSBDS (Microarchitectural Store Buffer Data Sampling), восстановление содержимого буферов хранения. Используется в атаке Fallout. Степень опасности определена в 6.5 баллов (CVSS);

CVE-2018-12127 — MLPDS (Microarchitectural Load Port Data Sampling), восстановление содержимого портов загрузки. Используется в атаке RIDL. CVSS 6.5;

CVE-2018-12130 — MFBDS (Microarchitectural Fill Buffer Data Sampling), восстановление содержимого буферов заполнения. Используется в атаках ZombieLoad и RIDL. CVSS 6.5;

CVE-2019-11091 — MDSUM (Microarchitectural Data Sampling Uncacheable Memory), восстановление содержимого некэшируемой памяти. Используется в атаке RIDL. CVSS 3.8.

>>> Подробности

 ,

Blowfish ()

Уязвимость в образе Docker Alpine Linux

Группа Безопасность

Официальные образы Docker Alpine Linux, начиная с версии 3.3, содержат пустой пароль суперпользователя. При использовании PAM или другого механизма аутентификации, использующего файл /etc/shadow в качестве источника, система может позволить вход пользователю root с пустым паролем. Обновите версию базового образа или измените файл /etc/shadow вручную.

Уязвимость исправлена в версиях:

  • edge (20190228 snapshot)
  • v3.9.2
  • v3.8.4
  • v3.7.3
  • v3.6.5

>>> CVE-2019-5021

 , , ,

java_util_Random ()

Взломана инфраструктура Matrix.org

Группа Безопасность

Крупнейший сервер Matrix — matrix.org — и его инфраструктура были подвергнуты хакерской атаке, выявившей проблемы в их безопасности. Пользователем matrixnotorg на Github были созданы тикеты, описывающие проблемы, существующие в инфраструктуре matrix.org, и их возможное решение.

Доступ к инфраструктуре был получен через «дыру» в устаревшей версии Jenkins — системе непрерывного развёртывания, которую использует matrix.org.

По заявлению matrix.org, репозитории и их Docker Hub не скомпрометированы.

>>> Подробности

 , ,

DoctorSinus ()

Spoiler — новая уязвимость в процессорах Intel

Группа Безопасность

Снова спекулятивное исполнение инструкций в процессорах Intel пятого поколения (сегодня это все выпускаемые процессоры Intel) привело к обнаружению уязвимости, названной исследователями «Spoiler». Грубо говоря, эта уязвимость основана на особенностях работы с DRAM, исследователи утверждают, что атака может быть применена через JavaScript браузера. Известных способов устранения сегодня не существует.

( читать дальше... )

>>> Подробности

 , , ,

Woolf ()

Уязвимость в Nginx Unit (CVE-2019-7401)

Группа Безопасность

Выпущен Unit 1.7.1, исправляющий уязвимость CVE-2019-7401, которой подвержены все версии Unit с 0.3 по 1.7.

Уязвимость позволяет вызвать переполнение буфера в памяти процесса роутера при обработке специально созданного запроса. Это может привести к отказу в обслуживании (краху процесса роутера) и другим неопределенным последствиям.

Также версия 1.7.1 исправляет ошибку, появившеюся в 1.7 и не позволяющую установить модуль Go без предварительной сборки самого Unit-демона.

Разработчики сообщили что Unit 1.8 с поддержкой внутренней маршрутизации запросов и экспериментального модуля Java запланирован на конец февраля.

Nginx Unit – сервер приложений, управляющий приложениями на ряде языков (Python, PHP, Go, Perl, Ruby, JavaScript) и конфигурируемый через RESTful JSON API.

>>> Подробности

 , , ,

MrClon ()

FOSSA объявил список проектов нового раунда Bug Bounty на 2019-2020 год

Группа Open Source

Проект FOSSA (Free and Open Source Software Audit) при финансовой поддержке Европейского Союза объявил о начале нового раунда аудита безопасности в FOSS проектах, включая такие как glibc, Apache Tomcat, Drupal, VLC и другие. Список проектов, участвующих в программе, был определен по итогам голосования пользвателей.

Free and Open Source Software Audit (FOSSA) - проект выделения средств, одобренный властями ЕС в 2015 году после того, как годом ранее обнаружились серьёзные уязвимости криптографической библиотеки OpenSSL. В этом году в программе принимает участие 15 проектов:

( читать дальше... )

>>> Подробности на сайте депутата Европарламента Юлии Реда

 , , ,

Deleted ()

IBM представила браузерный упрощенный вариант атаки Spectre v1

Группа Безопасность

Исследователи из Северо-Восточного университета Бостона и команды IBM Research обнаружили новый вариант уязвимости Spectre, которую можно эксплуатировать через браузер. Как и в предыдущих случаях, новая проблема, получившая название SplitSpectre, представляет собой уязвимость в механизме спекулятивного выполнения, реализованном в современных процессорах.

Различие между SplitSpectre и Spectre v1, обнаруженной в минувшем году, заключается в методе выполнения атаки. Способ эксплуатации SplitSpectre более простой в исполнении по сравнению с оригинальной атакой Spectre.

Как пояснили исследователи, данная атака технически увеличивает длину окна спекулятивного выполнения. Новый метод был успешно протестирован на процессорах Intel Haswell, Skylake и AMD Ryzen с использованием JavaScript-движка SpiderMonkey 52.7.4.

Статья в формате PDF с подробным описанием атаки

>>> Подробности

 , ,

StReLoK ()

Tails 3.10.1

Группа Debian

Дистрибутив Tails обновлен до версии 3.10.1

The Amnesic Incognito Live System или TAILS — дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась. Проект Tor является главным спонсором TAILS.

В этом выпуске исправлены многие уязвимости системы безопасности. Пользователям рекомендуется применить обновления как можно скорее.

Изменения
Обновления и изменения

  • Скрыт параметр PIM при разблокировке томов VeraCrypt, поскольку PIM не будет поддерживаться до Tails 4.0.
  • Переименованы кнопки в диалоговом окне подтверждения установщика Tails Установить (или Обновить ) и Отмены, для меньшей путаницы.
  • Обновлен Linux до 4.18.
  • Обновлен Tor Browser до 8.0.3.
  • Обновлен Thunderbird до 60.2.1.

Исправленые проблемы

  • Предотрващение утечки языка сеанса через Tor Browser.
  • Additional Software больше не отправляет запрос на сохранение пакетов, которые уже были настроены как дополнительное ПО.
  • Предотвращение сбоя установщика Tails при выдаче сообщения об ошибке с использованием международных символов (не ASCII).
  • Исправлена поддержка VeraCrypt для multiple encryption.
  • Фиксация конфигурации Sudo для предотвращения повышения привилегий.

Подробнее в Changelog

Известные проблемы

Ничего конкретного для этой версии.

См. Список давних проблем.

Подробнее.

 , ,

anonymous ()

D-Link новые уязвимости

Группа Безопасность

Произвольное перемещение по директориям, хранение паролей в plaintext, shell command injection.

Все вместе они дают полный контроль над устройством.

Уязвимые модели:


    DWR-116 through 1.06,
    DIR-140L through 1.02,
    DIR-640L through 1.02,
    DWR-512 through 2.02,
    DWR-712 through 2.02,
    DWR-912 through 2.02,
    DWR-921 through 2.02,
    DWR-111 through 1.01,
    and probably others with the same type of firmware.

>>> Подробности

 , , , ,

Bobby_ ()

Спецслужбы Франции сделали доступной защищенную ОС

Группа Безопасность

Проект носит название CLIP OS, разрабатывается с 2005 года. Основной целью было создать создать ОС, отвечающую требованиям к безопасности, предъявляемым во Франции.

Проект создан на основе Gentoo Hardened с заимствованием некоторых решений из Chromium OS и Yocto. Все открытые компоненты опубликованы под лицензией LGPLv2.1+.

Для установки приложений используются портажи Gentoo.

В настоящее время CLIP OS 5 находится на стадии альфа-тестирования.

>>> Подробности

 ,

Bobby_ ()

Tails 3.9

Группа Debian

Дистрибутив Tails обновлен до версии 3.9. The Amnesic Incognito Live System, или Tails, — дистрибутив GNU/Linux на основе Debian 9 (Stretch), созданный для обеспечения приватности и анонимности.

( читать дальше... )

>>> Подробности

 , , ,

Promusik ()

Tails 3.8

Группа Debian

Дистрибутив Tails обновлен до версии 3.8. Tails основан на Debian 9 (Stretch). The Amnesic Incognito Live System, или Tails, — дистрибутив GNU/Linux, созданный для обеспечения приватности и анонимности.

Все исходящие соединения проходят через сеть Tor, а неанонимные соединения блокируются. Система предназначена для загрузки в live-режиме и не оставляет следов на компьютере, где использовалась. Проект Tor является главным спонсором Tails. Данная ОС рекомендована Фондом свободной прессы, а также использовалась Эдвардом Сноуденом для разоблачения PRISM. Сообщество Tails тесно сотрудничает с Debian, помогая обнаруживать и исправлять проблемы безопасности. Пользователям рекомендуется применить обновления как можно скорее.

Значительные изменения включают:

  • Tor Browser обновлен до 7.5.6;
  • Enigmail обновлен до 2.0.7;
  • libgcrypt обновлен до 1.7.6;
  • perl обновлен до 5.24.1;

Исправлены ошибки.

Дистрибутив включает в себя множество программ для обеспечения безопасности и bitcoin-кошелек Electrum Bitcoin Wallet.

>>> Подробности

 , , ,

Promusik ()

EFF анонсировало инициативу STARTTLS Everywhere

Группа Безопасность

Организация Electronic Frontier Foundation предоставила новую инициативу - STARTTLS Everywhere, в рамках которой они предлагают повсеместное использование шифрования для серверов электронной почты. Эта инициатива дополняет предыдущую - HTTPS Everywhere, запущенную ещё в 2011 году и направленную на защиту трафика между браузером и веб-сервером.

Так же EFF запустила сервис, позволяющий проверить, поддерживает ли сервер STARTTLS, и какие алгоритмы он поддерживает (устаревшие и небезопасные SSLv2/SSLv3 или TLS). Сервис проверяет валидность используемого сертификата - многие сервера используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

В рамках инициативы представлен инструмент Certbot для автоматического получения сертификата Let's Encrypt и быстрого конфигурирования сервера для его использования. Помимо этого, создана утилита для обновления списка серверов, уже поддерживающих STARTTLS, которая поможет избежать атак, связанных с использованием устаревшего ПО.

>>> Подробности

 , , ,

StReLoK ()

Уязвимость в GnuPG

Группа Безопасность

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

>>> Далее...

 , , , ,

Deleted ()

25 и 26 июня в Новосибирске пройдёт конференция Highload++ Siberia

Группа Конференции и встречи

Профессиональная конференция разработчиков высоконагруженных систем.

Впервые в Новосибирске конференция для разработчиков highload-систем соберет 1200 участников из разных регионов России и мира. Мероприятие направлено на обмен знаниями о технологиях, позволяющих одновременно обслуживать многие тысячи и миллионы пользователей.

Стоимость конференции постоянно растёт — чем ближе к мероприятию, тем дороже. В билет входит посещение всех докладов и митапов HighLoad++ Siberia 25 и 26 июня, питание, трансфер до Эскпоцентра, а также раздаточные материалы.

Билеты: https://www.highload.ru/siberia/2018

>>> Подробности

 , , , ,

anonymous ()

Tails 3.7

Группа Debian

Дистрибутив Tails обновлен до версии 3.6. Tails основан на Debian 9 (Stretch).The Amnesic Incognito Live System, или Tails, — дистрибутив GNU/Linux, созданный для обеспечения приватности и анонимности.

Все исходящие соединения проходят через сеть Tor, а неанонимные соединения блокируются. Система предназначена для загрузки в live-режиме и не оставляет следов на компьютере, где использовалась. Проект Tor является главным спонсором Tails. Данная ОС рекомендована Фондом свободной прессы, а также использовалась Эдвардом Сноуденом для разоблачения PRISM. Сообщество Tails тесно сотрудничает с Debian, помогая обнаруживать и исправлять проблемы безопасности. Пользователям рекомендуется применить обновления как можно скорее.

Значительные изменения включают:

  • Tor Browser обновлен до 7.5.4 (основан на Firefox 52.8.0 ESR).
  • OpenSSL обновлен до 1.1.0.
  • Perl обновлен до 5.24.1.
  • Libre Office обновлен до 5.2.7.
  • libmad обновлен до 0.15.1.

Дистрибутив включает в себя множество программ для обеспечения безопасности и bitcoin-кошелек Electrum Bitcoin Wallet.

>>> Подробности

 , , , ,

Promusik ()

Обновление Kali Linux 2018.2

Группа Безопасность

Релиз с ядром ​​Linux 4.15, в котором пропатчены уже всем известные уязвимости Spectre и Meltdown.

Улучшена поддержка графических процессоров AMD и AMD Secure Encrypted Virtualization, это позволяет шифровать память виртуальной машины.

Помимо этого упрощена работа с Metasploit, а именно упрощен доступ к наиболее часто используемым скриптам. Теперь их можно использовать напрямую, поскольку ссылки на них включены в PATH и для каждого добавлен префикс msf-.

Также были обновлены некоторые приложения, включая Bloodhound, Reaver, PixieWPS, Burp Suite, Hashcat и другие. Более полный список можно будет посмотреть по ссылке.

>>> Подробности

 , ,

pusheeen ()

Tails 3.6

Группа Debian

Дистрибутив Tails обновлен до версии 3.6. Tails основан на Debian 9 (Stretch).
The Amnesic Incognito Live System, или Tails, — дистрибутив GNU/Linux, созданный для обеспечения приватности и анонимности.

( читать дальше... )

>>> Подробности

 , , , ,

Promusik ()

Конференция по кибербезопасности. Новосибирск. 15 марта.

Группа Конференции и встречи

Конференция для профессионалов ИБ, охватывающая в этом году 6 стран (27 городов), пройдет в Новосибирске в четвертый раз. Эксперты из Москвы и Новосибирска расскажут о главных трендах, технологиях и нюансах управления ИБ. Кроме того, состоится мозговой штурм на тему главных проблем отрасли и их оптимальных решений.

В числе докладчиков Александр Бондаренко (Лаборатория Касперского) совместно с Киасофт (Новосибирск), Игорь Пеннер (Группа компаний ТОНК, г. Москва), а также спикеры из компаний Доктор Веб, One Identity, StaffCop и др.

Программа и регистрация: https://novosibirsk.codeib.ru/

>>> Подробности

 , , ,

anonymous ()

AMD чипы уязвимы к обоим вариантам Spectre

Группа Безопасность

В последний четверг (11 JAN 2018) AMD сообщила что ее чипы чувствительны к обоим варинатам Spectre. Днем позже AMD сообщила что риск от одного из них «близок к нулю». А патчи для Ryzen и EPYC исправляющие другой из них будут на этой неделе. Патчи для более старых процессоров обещаны на следующей неделе.

Эти новости привели к падению стоимости акций на 4%.

>>> Подробности

 , , , ,

cvv ()