Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной. Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian): env X='() { (a)=’ sh -c «echo date»; cat echo Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён … Читать далее Найдет способ обхода патча, устраняющего уязвимость в bash

Администраторы инфраструктуры проекта jQuery несколько часов назад зафиксировали повторную атаку на сайт jQuery.com и подтвердили компрометацию сервера злоумышленниками. В настоящее время сайт jQuery.com оперативно перемещён на новый сервер, на котором запущены только проверенные сервисы. В отличие от первой атаки, в рамках которой было организовано распространение вредоносного ПО, в рамках второй атаки была осуществлена подмена содержимого сайта (дефейс). Содержимое главной страницы было заменено на текст «Common, guys! All your base are belong to us. Just please reinstall dat backdoored spenssh deamon. And all will be fine», что может свидетельствовать об организации сбора паролей через подставной ssh сервер. Предполагается, что атаки проведены … Читать далее Подтверждён взлом jQuery.com. Зафиксирована вторая успешная атака

Доступен выпуск новой стабильной ветки WebKitGTK+ 2.6.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения в новой стабильной ветке: Прекращена поддержка WebKit1 и оставлена только возможность использования API WebKit2, предоставляющего средства для многопроцессной обработки данных. Начиная с выпуска WebKitGTK 2.0 движок по умолчанию предлагал API WebKit2, но продолжал сохранять опциональную поддержку старого API … Читать далее Выпуск WebKitGTK+ 2.6.0

Представлены корректирующие выпуски Firefox 32.0.3 и Chrome 37.0.2062.124, а также в Firefox ESR 24.8.1, 31.1.1, Thunderbird 31.1.2, 24.8.1 и SeaMonkey 2.29.1. В новых выпусках устранена опасная уязвимость в поставляемых в комплекте библиотеках NSS, допускающая создание поддельных RSA-сертификатов. Проблема также устранена в обновлениях NSS 3.16.2.1, NSS 3.16.5 и NSS 3.17.1. Воспользовавшись данной уязвимостью атакующий может сформировать фальсифицированный RSA-сертификат, который может быть применён для вывода индикатора доверия при организации защищённого соединения с поддельным сайтом, закамуфлированным под другой сайт. Таким способом может быть организован сбор параметров аутентификации или распространение вредоносного ПО, так как пользователь будет считать, что работает с проверенным сайтом, на самом … Читать далее Обновление Firefox 32.0.3 и Chrome 37.0.2062.124 с устранению уязвимости и NSS

Увидел свет выпуск свободной криптографической библиотеки Sodium 1.0.0, совместимую на уровне API с библиотекой NaCl (Networking and Cryptography library) и предоставляющую функции для организации защищённого сетевого взаимодействия, шифрования и работы с цифровыми подписями. Выпуск 1.0 примечателен стабилизацией API и ABI, и обеспечением в дальнейшем обратной совместимости. Код библиотеки распространяется под свободной лицензией ISC. В отличие от NaCl в Sodium решены проблемы с переносимостью кода на разные программные и аппаратные платформы, обеспечена сборка в виде разделяемой библиотеки, поставляется стандартный набор заголовочных файлов, добавлены средства для установки и интеграции со сторонними проектами. Среди поддерживаемых в Sodium платформ отмечаются Bitrig, OpenBSD, Dragonfly BSD, … Читать далее Первый стабильный выпуск криптографической библиотеки Sodium

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурациях уязвимость может быть эксплуатирована по сети, если bash вызывается в качестве shell-интерпретатора. Потенциально может быть атаковано любое приложение которые запускает bash или скрипты на bash с установкой переменных окружения на основе внешних данных (манипуляция с подобными suid-программами может привести к повышению привилегий в системе). В том числе могут быть атакованы … Читать далее Критическая уязвимость в bash, которая может привести к удалённому запуску команд

После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.14. Из наиболее значительных изменений в новой версии можно отметить доведение поддержки Wayland до полноценного вида, поддержку мультитач, доступ к медиасервам по протоколу DLNA и интеграция с Picasa/Google+ в GNOME Photos, средства для организации совместного доступа. Основные изменения: Поддержка работы поверх Wayland доведена до полноценного состояния, пригодного для ежедневного использования. По сравнению с прошлым выпуском добавлена поддержка раскладок клавиатуры, операций Drag-and-Drop, сенсорных экранов, работающих контекстных меню и всплывающих подсказок. Решены почти все проблемы с запуском типовых приложений GNOME при работе поверх Wayland; Новые анимационные эффекты в обзорном режиме и при открытии … Читать далее Релиз GNOME 3.14. Обзор новшеств

Разработчики дистрибутива Kali Linux, продолжающего развитие проекта BackTrack Linux, представили новый продукт Kali NetHunter, в рамках которого подготовлено окружение для мобильных устройств на базе платформы Android, содержащие подборку инструментов для проведения тестирования систем на предмет наличия уязвимостей. Kali NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux. Для установки необходимо наличие root-доступа к Android-прошивке. NetHunter основан на существующей редакции Kali Linux для архитектуры ARM и требует низкоуровневого доступа к беспроводному адаптеру и USB-подсистеме. В настоящее время поддержка устройств ограничена моделями Nexus 5, Nexus 7 и Nexus 10. Готовые варианты окружения сформированы … Читать далее Kali NetHunter, превращающий Android-устройство в окружение исследователя безопасности

Организация LibreUmbria объявила, что органы государственной власти итальянских городов Тоди и Терни переходят на LibreOffice. В этом месяце компьютеры администрации города Тоди будут укомплектованы LibreOffice, администрация города Турни начал миграцию, — говорит Alfredo Parisi, основатель LibreUmbria и исследователь в Университета Перуджа. Администрация Тоди имеет 79 компьютеров, Терни — 50. LibreUmbria в прошлом году помогла администрации и управлению здравоохранения провинции Перуджа перевести все свои компьютеры на LibreOffice (1200 и 600 рабочих мест, соответственно). Проект LibreUmbria фокусируется на государственных и муниципальных администрациях и школах, помогая им мигрировать и использовать LibreOffice. Проект также помогает мигрировать предприятиям среднего и малого бизнеса. «Мы стремимся обучать … Читать далее LibreUmbria помогла в переходе администрациям Тоди и Терни на LibreOffice

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурация уязвимость может быть эксплуатирована по сети, если bash вызывается в качестве shell-интерпретатора. Потенциально может быть атаковано любое приложение которые запускает bash или скрипты на bash с установкой переменных окружения на основе внешних данных (манипуляция с подобными suid-программами может привести к повышению привилегий в системе). В том числе могут быть атакованы … Читать далее Критическая уязвимость в bash, которая может привести к удалённому выполнению кода

Разработчики Mozilla присоединились к инициативе Google и Microsoft по выводу из обихода сертификатов, подписанных с использованием SHA-1. Инициатива подразумевает прекращение выпуска сертификатов с подписью SHA-1 начиная с 1 января 2016 года и полное прекращение доверия к таким сертификатам с 1 января 2017 года. Вместо SHA-1 для формирования подписи рекомендуется использовать SHA-256, SHA-384 или SHA-512. Несмотря на то, что настоящее время подавляющие большинство HTTPS-сайтов всё ещё используют сертификаты, подписанные SHA-1, в обозримом будущем безопасность SHA-1 находится под вопросом. Если в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, то к 2015 году прогнозируется уменьшение стоимости до … Читать далее Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS

Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах jquery.com, через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад. С учётом того, что JQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников. Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые … Читать далее Зафиксировано распространение вредоносного кода через инфраструктуру jQuery

Спустя три года с момента прошлых выпусков представлены обновления пакетов LXDE-common 0.5.6 и LXLauncher 0.2.3. Несмотря на то, что в состав LXDE-common входит лишь набор предлагаемых по умолчанию файлов конфигурации, а функциональность LXDE обеспечивают выпускаемые отдельно модули, номер версии пакета LXDE-common указывается в некоторых дистрибутивах как версия LXDE. Из изменений можно отметить смену горячей клавиши для перехода в полноэкранный режим (Alt+F11 вместо F11), добавление горячей клавиши для создания скриншота (PrintScreen) и унификацию клавиатурной комбинации для вызова меню с GNOME и Lubuntu (Alt+F1). Кроме того, файлы конфигурации перемещены из области совместно используемых данных в директорию системной конфигурации. Одновременно анонсирован выпуск библиотеки … Читать далее Выпуск LXDE-common 0.5.6

Российские разработчики Ice-Pick Lodge запустили Kickstarter-кампанию ремейка весьма известной и своеобразной игры Pathologic (Мор.Утопия). Для успешного завершения планируется собрать $250 000. На данный момент собрано $231 500, а до завершения компании остается 13 дней. «Мор. Утопия» — это сюжетная игра на выживание с открытым миром. В провинциальном городке, построенном в районе старинных кожевенных промыслов, разражается эпидемия неизвестной болезни. Ее можно узнать по некоторым внешним признакам, но причины и происхождение представляются загадкой. Болезнь заразна и смертельна. Она поражает одновременно нервную и кровеносную системы человека и протекает как в физиологической, так и в психической форме. Игра разрабатывается на движке Unity 5 и … Читать далее Kickstarter-кампания по созданию ремейка Pathologic (Мор.Утопия)

Компания Backblaze, развивающая online-сервис резервного копирования данных, опубликовала статистику по отказам жестких дисков, накопленную в результате эксплуатации 35 тысяч НЖМД, используемых для хранения более 100 петабайт данных. Если прошлогодний отчёт рассматривал корреляцию между выходами из строя и сроком эксплуатации дисков, то в нынешнем отчёте рассматривается надёжность дисков от разных производителей. Выявлено, что 3TB диски Seagate выходят из строя значительно чаще (9-15%), чем диски 3TB Western Digital (4-7%). Для всех моделей дисков Hitachi, а также для Seagate 4.0TB и Western Digital 1.0TB частота сбоев существенно ниже. Читать далее Статистика надёжности жестких дисков Seagate, Western Digital и Hitachi

В поддерживаемой во FreeBSD инфраструктуре эмуляции окружения Linux добавлена поддержка CentOS 6.5 в качестве базовой системы для эмулятора Linuxulator. Связанные с эмулятором порты адаптированы для использования CentOS 6.5. До сих пор в качестве базовой системы для Linuxulator использовался устаревший Fedora 10, который не позволял использовать Skype 4, Sublime Text 2 и различные современные игры, для которых недоставало необходимых библиотек. Для использования окружения эмулятора на основе пакетов CentOS 6.5 следует активировать порты linux-c6 вместо linux-f10, указав в /etc/make.conf опции «OVERRIDE_LINUX_BASE_PORT=c6» и «OVERRIDE_LINUX_NONBASE_PORTS=c6», а также добавив в /etc/sysctl.conf строку «compat.linux.osrelease=2.6.18». Читать далее В развиваемый для FreeBSD эмулятор Linux добавлено окружение на основе CentOS 6.5

Разработчики проекта Debian отменили изменение, внесённое в ноябре прошлого года в компонент tasksel, определяющий выбор устанавливаемых пакетов в различных режимах установки дистрибутива. Таким образом, в сборках Debian 8.0 «Jessie» по умолчанию по-прежнему будет рекомендован GNOME. Окружения Xfce, KDE и LXDE как и раньше останутся доступны для установки, продвижение GNOME затронет только предложение выбора по умолчанию и начинку первого установочного CD. Основными мотивами в пользу GNOME стало наличие средств для людей с ограниченными возможностями и обеспечение интеграции с systemd. Сдерживающим фактором оставались опасения, что окружение с GNOME не уместится на LiveCD, но это не воспринимается как критическая проблема в условиях устаревания … Читать далее Debian завершил эксперимент с Xfce и оставил GNOME по умолчанию

Спустя всего неделю с момента исправления порции уязвимостей в пакетном менеджере APT, для Debian и Ubuntu доступны очередное корректирующее обновление с устранением ещё одной уязвимости (CVE-2014-6273). Проблема вызвана переполнением буфера в коде загрузки данных по протоколу HTTP в apt-get и может привести к организации выполнения кода злоумышленника, который имеет возможность вклиниться в трафик через проведение MITM-атаки (man-in-the-middle). Читать далее В пакетном менеджере APT выявлена новая уязвимость

Доступна для тестирования альфа-версия дистрибутива Fedora 21. Альфа-выпуск содержит все базовые возможности будущего релиза, пригодные для оценки и тестирования. Релиз запланирован на 2 декабря. В рамках подготовки выпуска Fedora 21 началось воплощение в жизнь идей проекта Fedora.next, подразумевающего превращение дистрибутива в многослойный продукт. В качестве основы для формирования слоёв выступает базовый минимальный набор пакетов Fedora Base, поверх которого можно организовать поставку слоёв с реализацией поддержки расширенных возможностей и специфичных областей применения. В настоящее время на основе Fedora Base сформированы три продукта: Fedora Workstation, Fedora Server и Fedora Cloud. Дополнительно в форме спинов продолжено формирование Live-сброк c десктоп-окружениями KDE, Xfce и … Читать далее Началось альфа-тестирование Fedora 21

Представлены новые выпуски руководств Linux From Scratch 7.6 (LFS), Linux From Scratch Systemd 7.6, Beyond Linux From Scratch 7.6 (BLFS) и Beyond Linux From Scratch Systemd 7.6. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 750 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей. LFS systemd и BLFS systemd представляют собой варианты LFS и BLFS, в которые используется системный менеджер systemd вместо традиционной системы инициализации Sysvinit. В Linux … Читать далее Опубликованы Linux From Scratch 7.6 и Beyond Linux From Scratch 7.6

Джим Вайтхерст (Jim Whitehurst), руководитель компании Red Hat, рассказал в своём блоге о новых приоритетах в развитии продуктов компании и индустрии в целом. Если ранее первичное внимание уделялось продуктам для организации работы клиент-серверных систем, то отныне главным направлением деятельности становятся облачные технологии на основе Linux и платформы OpenStack. Целью Red Hat становится занятие лидирующих позиций в области корпоративных облачных решений. По мнению Вайтхерста, индустрия находится на изломе в переходе от клиент-серверных систем к облачным и мобильным технологиям. Подобные изменения происходят раз в 20 лет и тот кто оказывается у истоков перелома закладывает стандарты. Компания Red Hat получила отличную возможность продвинуть … Читать далее Red Hat: приоритеты смещаются от клиент-серверных систем к облачным технологиям