Спустя два года закрытого тестирования команда разработчиков Linux-дистрибутива TankOS (официальный релиз ожидается к концу 2018 года) готова представить нативную доменную систему Jacky Security System (JSS), полностью построенную на базе opensource-компонентов, таких как MIT Kerberos, OpenLDAP, SSSD. В процессе создания JSS разработчики, оценив многообразие инфраструктур на базе Linux, отказались от идеи создания самописного программного продукта в пользу описания концепции универсальной системы безопасного доступа. Это решение позволило максимально упростить процедуру внедрения JSS в любую существующую Linux-инфраструктуру независимо от её размера, а также дало возможность закрывать потенциальные уязвимости, обновляя пакетную базу штатными средствами операционной системы.

В архитектуру JSS легли такие парадигмы, как мульти-мастер репликация, высокая отказо- и катастрофоустойчивость, симметричное и двойное шифрование, горизонтальное масштабирование центров авторизации и аутентификации, использование существующих распространённых протоколов для интеграции с использующимися в Linux-среде программными продуктами.

Первая презентация системы пройдёт 25 июня на конференции HighLoad++ Siberia 2018. Участники конференции смогут пообщаться с экспертами и принять участие в митапах, посвящённых вопросам IT-безопасности. “Мы надеемся, что Jacky Security System внесёт свой вклад в повышение глобального уровня информационной безопасности и станет надёжным фундаментом для создания более совершенных методов борьбы с киберпреступлениями” - СТО TankOS Зайцев Петр (Энтроп).

Для широкой публики 25-26 июня будет организован открытый турнир CTF, где любой желающий сможет познакомиться с системой, попробовав обойти средства защиты. Результаты конкурса будут опубликованы организаторами в виде статистики отражённых атак, а в случае успешного проникновения разработчики компонентов и Linux-сообщества будут проинформированы о найденных уязвимостях.

>>> Подробности

Ранее, разработчики OpenBSD уже решили окончательно и бесповоротно переписать всю библиотеку OpenSSL, удалив поддержку несуществующих архитектур, неиспользуемых алгоритмов шифрования (GOST) и временно отключив поддержку для платформ, не представляющих интерес для проекта (Mac OS, NetWare, OS/2, VMS).

Теперь же, из кодовой базы удалены компоненты системы аутентификации Kerberos V. Причины те же: низкое качество сложного, запутанного кода и ненужность подавляющему большинству пользователей. Паре пользователей, которым до сих пор нужна поддержка Kerberos V, предлагается создать и поддерживать порт своими силами.

Вдобавок, проект OpenBSD совместно с разработчиками FreeBSD исправил давнюю уязвимость в OpenSSL о которой было известно на протяжении нескольких лет, возникающую из-за cостояния гонки и заключающуюся в освобождении буфера памяти до окончания его использования.

>>> Подробности

После весьма продолжительного периода ожидания (с середины июля прошлого года) и весьма непростого процесса тестирования, в ходе которого сроки релиза отодвигались несколько раз из-за выявленных ошибок в новом коде, OpenLDAP Project наконец официально объявил о выходе эпохального релиза OpenLDAP 2.4.24, рассеивающего все сомнения в здравии проекта.

OpenLDAP — самый популярный на сегодняшний день открытый сервер каталогов, который продолжает развиваться и совершенствоваться. Каждый новый релиз OpenLDAP добавляет функциональности, хотя изредка бывает, что и нарушает обратную совместимость.

Что же нового и интересного появилось в 2.4.24? Перечислим не всё, только основное:

• В клиентских утилитах OpenLDAP добавлено управление разделением LDIF-файла на строки. Причина той самой старой головной боли со «склеиванием» длинных строк в значениях атрибутов наконец устранена.
• Добавлена поддержка библиотеки MozNSS.
• slapcat стал способен читать даже проблемные базы (добавилась соответствующая опция).
• Бэкенд slapd-sql (чтение из SQL-баз и представление их данных в LDAP-каталоге) поддерживает даже очень длинные ключи.
• Добавлен оверлэй noopsrch: теперь можно быстро получить количество результатов поиска без считывания самих результатов.
• Новый оверлэй kinit позволяет самому серверу slapd получать для себя Kerberos-тикет и самостоятельно обновлять его. Протестирован пока только с MIT Kerberos, но, скорее всего, работает и с Heimdal.

Хотелось бы отметить, что в списке рассылки openldap-announce сообщение о выходе 2.4.24 пока не было опубликовано, а на официальном сайте ссылки на ChangeLog до сих пор не обновлены, так что, как это ни странно, актуальный файл CHANGES можно получить только скачав тарболл с исходным кодом.

>>> Скачать