Группа исследователей из Рурского университета в Бохуме (Германия) представила новую технику MITM-атаки на SSH — Terrapin, эксплуатирующую уязвимость (CVE-2023-48795) в протоколе. Атакующий, способный организовать MITM-атаку, имеет возможность в процессе согласования соединения блокировать отправку сообщения с настройкой расширений протокола для снижения уровня защиты соединения. Прототип инструментария для совершения атаки опубликован на GitHub. В контексте OpenSSH уязвимость, например, позволяет откатить соединение на использование менее защищённых алгоритмов аутентификации и отключить защиту от атак по сторонним каналам, воссоздающим ввод через анализ задержек между нажатиями клавиш на клавиатуре. В Python-библиотеке AsyncSSH в сочетании с уязвимостью (CVE-2023-46446) в реализации внутреннего конечного автомата (internal state machine) атака … Читать далее Terrapin — уязвимость в протоколе SSH, позволяющая снизить защиту соединения

В ветку net-next, в которой развиваются изменения для ядра Linux 6.8, включены изменения, добавляющие в состав ядра начальную Rust-обвязку над уровнем абстракции phylib и использующий данную обвязку драйвер ax88796b_rust, обеспечивающий поддержку PHY-интерфейса Ethernet-контроллера Asix AX88772A (100MBit). Драйвер включает 135 строк кода и позиционируется как простой рабочий пример для создания сетевых драйверов на языке Rust, готовый для использования с реальным оборудованием. По функциональности драйвер на Rust полностью эквивалентен старому драйверу ax88796b, написанному на языке Си, и может быть использован с сетевыми картами X-Surf 100, оснащёнными чипом AX88796B. Оба драйвера, на Си и на Rust, будут сосуществовать в ядре, и могут включаться … Читать далее В ядро Linux 6.8 намечено включение первого сетевого драйвера на языке Rust

После 6 месяцев разработки представлен выпуск проекта postmarketOS 23.12, развивающего дистрибутив Linux для смартфонов, базирующийся на пакетной базе Alpine Linux, стандартной Си-библиотеке Musl и наборе утилит BusyBox. Целью проекта является предоставление Linux-дистрибутива для смартфонов, не зависящего от жизненного цикла поддержки официальных прошивок и не привязанного к типовым решениям основных игроков индустрии, задающих вектор развития. Сборки подготовлены для PINE64 PinePhone, Purism Librem 5 и 29 поддерживаемых сообществом устройств, включая Samsung Galaxy A3/A5/S4, Xiaomi Mi Note 2/Redmi 2, OnePlus 6, Lenovo A6000, ASUS MeMo Pad 7 и даже Nokia N900. Ограниченная экспериментальная поддержка предоставлена для более чем 300 устройств. Окружение postmarketOS максимально … Читать далее Доступен postmarketOS 23.12, Linux-дистрибутив для смартфонов и мобильных устройств

Доступна очередная версия дистрибутива Radix cross Linux 1.9.300, построенного с использованием собственной системы сборки Radix.pro, упрощающей формирование дистрибутивов для встраиваемых систем. Cборки дистрибутива доступны для устройств на базе архитектуры ARM/ARM64, MIPS и x86/x86_64. Загрузочные образы, приготовленные по инструкциям раздела Platform Download, содержат локальный репозиторий пакетов и поэтому установка системы не требует подключения к сети Internet. Код сборочной системы распространяется под лицензией MIT. Выпуск 1.9.300 примечателен включением в поставку пакетов с пользовательским окружением MATE 1.27.3. Полный список пакетов можно найти на FTP-сервере в каталоге соответствующем имени целевого устройства в файле с расширением ‘.pkglist’. Например, в файле intel-pc64.pkglist находится список пакетов, доступных … Читать далее Выпуск дистрибутива Radix cross Linux 1.9.300

Доступен первый официальный выпуск экспериментальной реализации сервера и клиента для протокола SSH3, оформленного в форме надстройки над протоколом HTTP/3, использующей QUIC (на базе UDP) и TLS 1.3 для установки защищённого канала связи и механизмы HTTP для аутентификации пользователей. Проект разрабатывает Франсуа Мишель (François Michel), аспирант Лувенского католического университета (Бельгия), при участии Оливье Бонавентуры (Olivier Bonaventure), профессора того же университета, известного разработкой подсистемы Multipath TCP и кода сегментной маршрутизации IPv6 для ядра Linux, а также соавтора 10 RFC и черновиков более 60 сетевых спецификаций. Код эталонной реализации клиента и сервера написан на языке Go и распространяется под лицензией Apache 2.0. Разработка … Читать далее Представлен SSH3, вариант протокола SSH, использующий HTTP/3

В инфраструктуре компании MongoDB, развивающей одноимённую документо-ориентированную СУБД и облачный сервис MongoDB Atlas, выявлены следы взлома. Судя по уведомлению, направленному клиентам компании, злоумышленники смогли получить доступ к некоторым корпоративным системам, на которых, среди прочего, были размещены сведения об учётных записях клиентов и контактные данные пользователей. Свидетельств, указывающих на то, что атакующие получили доступ к данным, хранимым пользователями в облачном сервисе MongoDB Atlas, на текущем этапе разбирательства не выявлено. Вредоносная активность была обнаружена вечером 13 декабря, после чего неавторизованный доступ был пресечён и начат процесс разбора инцидента. В течение какого времени атакующие имели доступ к инфраструктуре не сообщается. Также не упоминается … Читать далее Взлом инфраструктуры MongoDB

Состоялся релиз дистрибутива Manjaro Linux 23.1, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (3.7 ГБ), GNOME (3.5 ГБ) и Xfce (3.5 ГБ). При участии сообщества дополнительно развиваются сборки с Budgie, Cinnamon, Deepin, LXDE, LXQt, MATE и i3. Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии проходят дополнительную стадию стабилизации. Кроме собственного репозитория, … Читать далее Релиз дистрибутива Manjaro Linux 23.1

Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы. Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации … Читать далее Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений

Дуглас ДеМайо (Douglas DeMaio), менеджер SUSE, отвечающий за маркетинг и взаимодействие с сообществом openSUSE, объявил о решении провести дополнительное голосование по выбору логотипа, принятое в ответ на критику участниками проекта процесса проведения голосования и отсутствия варианта сохранения нынешнего логотипа. Конкурс логотипов проводился с учётом голосов всех желающих, независимо от вовлечённости в разработку, в том числе в голосовании могли участвовать люди, не имеющие отношения к openSUSE, что не позволило в полной мере учесть коллективную идентичность разработчиков. При обсуждении было предложено предоставить участникам проекта openSUSE возможность повлиять на выбор нового логотипа. Также упомянуто, что компания SUSE, владеющая правами на нынешний логотип, должна … Читать далее Проект openSUSE назначил дополнительное голосование по выбору логотипа

Компания Cloudflare проанализировала степень внедрения протокола IPv6 в глобальной сети, используя в качестве источника данных сведения о трафике в своих сервисах. В трафике сети доставки контента число пользователей, поддерживающих IPv6, оценено в 35.9% (доля поддержки IPv6 среди ботов составляет 24%, а среди людей — 46%). Для сравнения по данным интернет-регистратора APNIC общемировая степень внедрения IPv6 оценена в 36.64%. Лидеры по внедрению IPv6: Индия (81.53%), Малазия (69.48%), Франция (66.67%), Бельгия (66.02%) и Германия (64.91%). В России уровень поддержки IPv6 составляет 10.84%, Украине — 11.76%, Беларуси — 13.59%, Казахстане — 14.61%, Узбекистане — 0.15%, Киргизии — 0.05%. Вышеуказанные данные охватывают только поддержку … Читать далее Оценка популярности IPv6 в трафике Cloudflare

Опубликованы результаты конкурса по выбору новых логотиов для проекта openSUSE и развиваемых в его составе дистрибутивов Tumbleweed, Leap, Slowroll и Kalpa. Победители было отобраны в результате общедоступного голосования: Основной логотип openSUSE openSUSE Tumbleweed. Победителями признаны сразу три логотипа, показавшие очень близкие результаты. openSUSE Leap openSUSE Slowroll openSUSE Kalpa Работа по замене логотипа проводится в рамках инициативы по дистанцированию элементов брендинга openSUSE от проекта SUSE. До сих пор в компании SUSE и свободном проекте openSUSE использовался общий логотип, что вызывало путаницу и искажённое восприятие проекта у потенциальных пользователей. Cтарому логотипу также были присущи такие недостатки, как использование слишком яркого цвета для … Читать далее Проект openSUSE подвёл итоги конкурса логотипов

Компания Mozilla объявила о готовности инфраструктуры и каталога дополнений для Android-версии Firefox. Firefox для Android стал первым мобильным браузером, для которого доступна полноценная открытая экосистема дополнений. В начале ноября к моменту запуска каталога планировалось адаптировать для Android-версии Firefox около 200 дополнений, но в итоге план был перевыполнен и в день официального открытия каталога для установки доступно 489 дополнений. Конечной целью является реализация поддержки в мобильной версии браузера всех имеющихся для Firefox дополнений, представленных в каталоге addons.mozilla.org (AMO). До недавних пор в Firefox для Android поддерживалось лишь около 20 дополнений, выполняемых в основном потоке. Для того чтобы ошибки в дополнениях не … Читать далее Mozilla ввела в строй каталог дополнений для Android-версии Firefox

Для включения в состав ядра Linux предложен обработчик для реагирования на переохлаждение системы. Linux довольно часто используется для встраиваемых систем, на которых кроме перегрева заслуживает внимания и возможность отслеживания переохлаждения системы, поэтому в подсистему Thermal были добавлены новые контрольные точки THERMAL_TRIP_COLD и HERMAL_TRIP_CRITICAL_COLD (аналоги HERMAL_TRIP_HOT и THERMAL_TRIP_CRITICAL), позволяющие вызывать обработчики не при перегреве, а при переохлаждении. Как один из вариантов реакции на переохлаждение предлагается, например, увеличивать частоту и напряжение с целью увеличения температуры для подогрева устройства. Источник: http://www.opennet.ru/opennews/art.shtml?num=60291 Читать далее Для ядра Linux предложена возможность отслеживания переохлаждения системы

Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что 38% из них используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode, 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются). Выделены три основные категории приложений, использующих уязвимые версии Log4j: 2.8% приложений продолжают использовать версии Log4j с 2.0-beta9 по 2.15.0, содержащие … Читать далее Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии

Сообщество разработчиков Glibc объявило о принятии кодекса поведения (Code of Conduct), определяющего правила общения участников в списках рассылки, bugzilla, wiki, IRC и других ресурсах проекта. Кодекс рассматривается как инструмент для воздействия в случае выхода обсуждений за рамки приличия, а также как способ уведомления руководства об оскорбительном поведении участников. Кодекс также поможет новичкам сориентироваться, как нужно себя вести и какое отношение к себе следует ожидать. Одновременно сообщается о поиске добровольцев, готовых принять участие в работе комитета, отвечающего за разбор жалоб и разрешение конфликтных ситуаций. Принятый кодекс приветствует дружелюбие и терпимость, доброжелательность, внимательность, уважительное отношение, аккуратность в высказываниях, и желание вникнуть в … Читать далее В сообществе разработчиков Glibc внедрён кодекс поведения

9 декабря в Китае был запущен спутник Tianyi-33, разработанный в рамках проекта Tiansuan и оснащённый бортовым компьютером, на котором задействовано модифицированное ядро Linux с компонентами для обеспечения работы в режиме реального времени, написанными на языке Rust с использованием абстракций и прослоек, предоставляемых подсистемой Rust for Linux. Операционная система оснащена двойным ядром RROS, сочетающим обычное ядро Linux, применяемое для решения задач общего назначения, с RTOS-ядром на языке Rust, предназначенным для выполнения задач в режиме жёсткого реального времени. Код ядра RROS открыт под лицензией GPLv2. Ядро RROS совместимо с большинством обычных Linux программ, но при этом предоставляет возможности по работе в режиме … Читать далее В Китае запущен спутник с real-time подсистемой ядра Linux, написанной на Rust

Компания Mozilla опубликовала экспериментальное дополнение MemoryCache с реализацией диалоговой системы машинного обучения, учитывающей контент, к которому пользователь обращается в браузере. В отличие от других AI-чатов MemoryCache позволяет персонализировать общение с пользователем и использовать важные для конкретного пользователя данные при формировании ответов на вопросы. Код проекта распространяется под лицензией MPL. Установка в Firefox пока поддерживается только вручную в режиме «about:debugging» и требуется применения патча. Все компоненты MemoryCache выполняются на системе пользователя и не обращаются к внешним ресурсам. В качестве базы знаний в MemoryCache задействована модель GPT4All-J, обученная на коллекциях англоязычного контента Pile (825 ГБ данных), ShareGPT (13 МБ) и Dolly (660 … Читать далее Mozilla представила встраиваемый в браузер AI-бот MemoryCache

Компания Canonical опубликовала новую версию системы управления контейнерами LXD 5.20, которая примечательна изменением лицензии на проект и введением необходимости подписания CLA-соглашения о передаче имущественных прав на код при приёме изменений в LXD. Лицензия на код, добавленный в LXD сотрудниками Canonical, изменена с Apache 2.0 на AGPLv3, а код сторонних участников, на который у Canonical нет имущественных прав, остаётся под Apache 2.0. Так как Canonical не имеет возможность изменить лицензию на весь код LXD, проект теперь будет поставляться под смешанными условиями — часть кода под AGPLv3, а часть под Apache 2.0. Переход на новую лицензию объясняется желанием унифицировать лицензию с другими … Читать далее Компания Canonical перевела проект LXD на лицензию AGPLv3

Опубликованы корректирующие выпуски X.Org Server 21.1.10 и DDX-компонента (Device-Dependent X) xwayland 23.2.3, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены две уязвимости. Первая уязвимость может быть эксплуатирована для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Выявленные проблемы: CVE-2023-6377 — переполнение буфера в обработчике кнопок XKB, возникающее при переключении логического устройства ввода (например, при переключении с тачпада на мышь) из-за некорректного расчёта информации об устройстве. X-сервер выделял память, достаточную … Читать далее Обновление X.Org Server 21.1.10 с устранением уязвимостей. Удаление поддержки UMS из ядра Linux

Опубликован выпуск проекта FreeRDP 3.0.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0. В новой версии: Добавлена поддержка аутентификации при помощи смарткарт и реализована полная эмуляция смарткарт. Предложена новая эталонная реализация клиента, использующая библиотеку SDL2. Добавлена поддержка методов аутентификации AAD (Azure AD) и AVD (Azure Virtual Desktop). Реализована возможность использования транспорта на базе Websocket. Переписан прокси и предложен новый API модулей. … Читать далее Релиз FreeRDP 3.0, свободной реализации протокола RDP

Организация Linux Foundation представила первый выпуск открытой платформы для программно управляемых Flash-накопителей SEF (Software Enabled Flash), построенной на основе кода, переданного компанией KIOXIA (до переименования Toshiba Memory Corporation), в которой в 1980 году была изобретена Flash-память. Исходные тексты инструментария написаны на языке Си и распространяются под лицензией BSD. Инструментарий включает в себя набор патчей для ядра Linux, блочный драйвер для устройств SEF (Software Enabled Flash), утилиты для управления из командной строки, паравиртуализированные SEF-драйверы для QEMU, библиотека с API для разработки приложений, патчи для nvme-cli и FIO, добавляющие поддержку SEF. SDK также включает эталонную реализацию программного уровня FTL (Flash Translation Layer), … Читать далее Опубликована платформа SEF для программно управляемых Flash-накопителей