В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root

В пакете Webmin, предоставляющем средства для удалённого управления сервером, выявлен бэкдор (CVE-2019-15107), обнаруженный в официальных сборках проекта, распространяемых через Sourceforge и рекомендованных на основном сайте. Бэкдор присутствовал в сборках с 1.882 по 1.921 включительно (в git-репозитории код с бэкдором отсутствовал) и позволял удалённо без прохождения аутентификации выполнить произвольные shell-команды в системе с правами root.

Дата: 19 Августа 2019 23:42:19

OpenDrop - открытая реализации технологии Apple AirDrop

Проект Open Wireless Link, занимающийся разбором проприетарных беспроводных протоколов компании Apple, представил на конференции USENIX 2019 доклад с анализом уязвимостей в беспроводных протоколах Apple (найдены возможности совершения MiTM-атаки для модификации передаваемых между устройствами файлов, DoS-атаки для блокирования взаимодействия устройств и вызова зависания устройств, а также применения AirDrop для идентификации и отслеживания пользователей). В ходе проведённого исследования были подготовлены открытые реализации протокола AWDL (Apple Wireless Direct Link) и технологии AirDrop, детали о которых получены в результате обратного инжиниринга.

Дата: 19 Августа 2019 20:54:26

DoS-атаки для снижения производительности сети Tor

Группа исследователей Джорджтаунского университета и исследовательской лаборатории ВМС США проанализировали стойкость анонимной сети Tor к атакам, приводящим к отказу в обслуживании (DoS). Исследования в области компрометации сети Tor в основном строятся вокруг цензурирования (блокирования доступа к Tor), определения запросов через Tor в транзитном трафике и анализа корреляции потоков трафика перед входным узлом и после выходного узла Tor для деанонимизации пользователей. Представленное исследование показывает, что организация DoS-атак на Tor упускается из виду и при затратах в несколько тысяч долларов в месяц вполне реально создать условия для нарушения нормальной работы Tor, которые могут вынудить пользователей прекратить использование Tor из-за плохой производительности.

Дата: 19 Августа 2019 10:10:20

Атака KNOB, позволяющая перехватить зашифрованный трафик Bluetooth

Раскрыты сведения об атаке KNOB (Key Negotiation Of Bluetooth), позволяющей организовать перехват и подстановку информации в шифрованном Bluetooth-трафике. Имея возможность блокировать прямую передачу пакетов в процессе согласования соединения Bluetooth-устройств, атакующий может добиться задействования для сеанса ключей, содержащих всего 1 байт энтропии, что позволяет применить метод прямого перебора (brute-force) для определения ключа шифрования.

Дата: 17 Августа 2019 21:56:31

Выпуск языка программирования Rust 1.37

Опубликован релиз языка системного программирования Rust 1.37, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime.

Дата: 17 Августа 2019 08:26:50

Выпуск распределенной системы управления исходными текстами Git 2.23

Представлен выпуск распределенной системы управления исходными текстами Git 2.23.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов.

Дата: 17 Августа 2019 03:22:43

Выпуск KDE Applications 19.08

Доступен релиз набора KDE Applications 19.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице.

Дата: 16 Августа 2019 21:32:42

Выпуск эмулятора QEMU 4.1

Представлен релиз проекта QEMU 4.1. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Дата: 16 Августа 2019 10:42:07

В Chrome планируют полностью убрать поддержку FTP

Компания Google опубликовала план прекращения поддержки протокола FTP в Chromium и Chrome. В Chrome 80, намеченном на начало 2020 года, ожидается постепенное отключение поддержи FTP для пользователей стабильной ветки (для корпоративных внедрений будет добавлен флаг DisableFTP для возвращения FTP). В Chrome 82 планируется полностью удалить код и ресурсы, использующиеся для обеспечения работы FTP-клиента.

Дата: 16 Августа 2019 08:38:58

Разработчики PHP предложили P++, диалект со строгой типизацией

Разработчики языка PHP обсуждают идею по созданию нового диалекта P++, который поможет вывести язык PHP на новый уровень. В текущем виде развитию PHP мешает необходимость сохранения совместимости с имеющейся кодовой базой web-проектов, что удерживает разработчиков в ограниченных рамках. В качестве выхода предлагается параллельно начать развивать новый диалект PHP - P++, разработка которого будет вестись без оглядки на необходимость сохранения обратной совместимости, что позволит добавить в язык революционные улучшения и избавиться от устаревших концепций.

Дата: 15 Августа 2019 21:20:49

GCC будет удалён из основного состава FreeBSD

Разработчики FreeBSD представили план удаления GCC 4.2.1 из исходных текстов базовой системы FreeBSD. Компоненты GCC будут удалены до ответвления ветки FreeBSD 13, в состав которой будет входить только компилятор Clang. GCC при желании можно будет поставить из портов, в которых предлагается GCC 9, 7 и 8, а также уже переведённые в разряд устаревших выпуски GCC 4.8, 5, 6 и 7.

Дата: 15 Августа 2019 09:37:22

Проект OpenBSD начинает публиковать обновления пакетов для стабильной ветки

Анонсирована публикация обновлений пакетов для стабильной ветки OpenBSD. Ранее при использовании ветки "-stable" можно было получать только бинарные обновления к базовой системе через syspatch. Пакеты собирались один раз для релизной ветки и более не обновлялись.

Дата: 14 Августа 2019 17:58:50

В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей

Исследователи из компаний Netflix и Google выявили в различных реализациях протокола HTTP/2 восемь уязвимостей, которые позволяют вызвать отказ в обслуживании через отправку определённым образом оформленного потока сетевых запросов. Проблемы в той или иной мере затрагивают большинство HTTP-серверов с поддержкой HTTP/2 и приводят к исчерпанию доступной для рабочего процесса памяти или созданию слишком высокой нагрузки на CPU. Обновления с устранением уязвимостей уже представлены в nginx 1.16.1/1.17.3 и H2O 2.2.6, но пока недоступны для Apache httpd, HA Proxy и других продуктов (дополнение: исправление также выпущено для Netty, Go net/http2, Caddy, SwiftNIO, Envoy и продуктов Microsoft. Для Node.js исправление ожидается 15 августа).

Дата: 13 Августа 2019 22:41:28