Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра. Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив … Читать далее Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot

После пяти месяцев разработки представлен релиз OpenSSH 8.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Разработчики OpenSSH напомнили о грядущем переводе в разряд устаревших алгоритмов, использующих хеши SHA-1, в связи с повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). В одном из ближайших выпусков планируют отключить по умолчанию возможность использования алгоритма цифровых подписей по открытому ключу «ssh-rsa», который упоминается в оригинальном RFC для протокола SSH и остаётся широко распространённым на практике. Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией «-oHostKeyAlgorithms=-ssh-rsa». … Читать далее Релиз OpenSSH 8.5

Доступен релиз web-браузера Pale Moon 29.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 29.1

Представлены новые выпуски руководств Linux From Scratch 10.1 (LFS) и Beyond Linux From Scratch 10.1 (BLFS), а также редакций LFS и BLFS с системным менеджером systemd. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 1000 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей. В Linux From Scratch 10.1 осуществлён переход на Glibc 2.33, ядро Linux 5.10.17, SysVinit 2.98 и Systemd 247. Обновлены 40 пакетов, включая Binutils 2.36.1, Autoconf … Читать далее Опубликованы Linux From Scratch 10.1 и Beyond Linux From Scratch 10.1

Андрей Столяров опубликовал в свободном доступе второе издание книги «Программирование: введение в профессию». Книга также доступна в бумажном варианте, напечатанном издательством МАКС Пресс. Издание включает три тома: «Азы программирования» (теоретическое введение, история программирования, язык Pascal, язык ассемблера). «Системы и сети» (язык Си, операционные системы, ядро ОС, создание сетевых приложений и параллельное программирование). «Парадигмы» (языки C++, LISP, Scheme, Prolog, Tcl, создание графических интерфейсов на FLTK и Tcl/Tk). Источник: http://www.opennet.ru/opennews/art.shtml?num=54684 Читать далее Доступно второе издание книги «Программирование: введение в профессию»

В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8 устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас. При выполнении операции «restartcheck» имеется возможность осуществить подстановку произвольных команд через манипуляции с именем процесса. В частности, запрос наличия пакета осуществлялся через запуск пакетного менеджера с передачей аргумента, полученного на основе имени процесса. Пакетный менеджер запускается через вызов функции popen в режиме запуска shell, но без экранирования спецсимволов. Изменив имя процесса и используя … Читать далее Опасные уязвимости в системе управления конфигурацией SaltStack

Брайан Фой (brian d foy), основатель организации Perl Mongers, опубликовал подробный разбор инцидента, в результате которого домен perl.com был захвачен посторонними лицами. Захват домена не затронул серверную инфраструктуру проекта и был совершён на уровне смены владельца и замены параметров DNS-серверов у регистратора. Утверждается, что компьютеры ответственных за домен также не были скомпрометированы и атакующие пользовались методами социальной инженерии для введения регистратора Network Solutions в заблуждение и смены данных о владельце, используя фальшивые документы для подтверждения прав на владение доменом. Среди факторов, способствовавших атаке, также упоминаются отключение двухфакторной аутентификации в интерфейсе регистратора и использование контактного email, указывающего на тот же домен. … Читать далее Опубликован разбор инцидента с потерей контроля над доменом perl.com

Сопровождающий пакеты с Telegram Desktop для Fedora и RPM Fusion сообщил об удалении пакетов из репозиториев. За день до этого о прекращении поддержки Telegram Desktop также объявил сопровождающий пакеты с Gentoo. В обоих случаях заявлено о готовности вернуть пакеты в репозитории в случае если для них найдётся новый мэйнтейнер, готовый взять сопровождение в свои руки. В качестве причин отказа от поддержки Telegram Desktop нынешними сопровождающими называется отталкивающее и неприязненное отношение разработчиков, которые даже не пытаются разобраться в ошибках, приводящих к проблемам со сборкой их исходных текстов в дистрибутивах Linux. Сообщения о подобных ошибках сразу закрываются с признаком «WONTFIX» и рекомендацией … Читать далее Мэйнтейнеры Fedora и Gentoo отказались от сопровождения пакетов с Telegram Desktop

Состоялся выпуск aTox 0.6.0 — новой версии бесплатного мобильного мессенджера с открытым исходным кодом, использующего протокол Tox (c-toxcore). Tox предлагает децентрализованную P2P-модель распространения сообщений, использующую криптографические методы для идентификации пользователя и защиты транзитного трафика от перехвата. Приложение написано на языке программирования Kotlin. Исходный код и готовые сборки приложения распространяются под лицензией GNU GPLv3. Особенности aTox: Открытый исходный код: возможность его свободно распространять, исследовать и изменять. Удобство: простые и понятные настройки. Сквозное шифрование: единственные люди, которые могут увидеть ваши переписки, это вы и ваши собеседники. Распределённость: отсутствие центральных серверов которые могут быть выключены или с которых ваши данные могут быть переданы … Читать далее Выпуск aTox 0.6.0, приватного и безопасного мессенджера для Android

Опубликован релиз интерактивной командной оболочки fish 3.2.0 (friendly interactive shell), развивающейся как более дружественная пользователю альтернатива bash и zsh. Fish поддерживает такие возможности как подсветка синтаксиса с автоматическим выявлением ошибок ввода, предложение возможных вариантов ввода на основе истории прошлых операций, автодополнение ввода опций и команд с использованием их описания в man-руководствах, комфортная работа из коробки без необходимости дополнительной настройки, упрощённый язык написания сценариев, поддержка буфера обмена X11, удобные средства поиска в истории выполненных операций. Код проекта распространяется под лицензией GPLv2. Готовые пакеты сформированы для Ubuntu, Debian, Fedora, openSUSE и RHEL. Среди добавленных новшеств: Добавлена поддержка отката изменений (Undo и Redo) … Читать далее Выпуск командной оболочки fish 3.2

В пакете wpa_supplicant, используемом для организации подключения к беспроводной сети во многих дистрибутивах Linux, *BSD и Android, выявлена уязвимость (CVE-2021-27803), которая потенциально может быть использована для выполнения кода злоумышленника при обработке специально оформленных управляющих кадров Wi-Fi Direct (Wi-Fi P2P). Для проведения атаки злоумышленник должен находится в пределах досягаемости беспроводной сети, чтобы отправить жертве специально оформленный набор кадров. Проблема вызвана ошибкой в обработчике Wi-Fi P2P, из-за которой обработка некорректно оформленного кадра PDR (Provision Discovery Request) может привести к состоянию, при котором запись о старом P2P-пире будет удалена и информация будет записана в уже освобождённый блок памяти (use-after-free). Проблеме подвержены выпуски wpa_supplicant … Читать далее Уязвимость в wpa_supplicant, не исключающая удалённое выполнение кода

Федеральный Суд США вынес решение о необходимости предоставления стороне защиты исходных текстов программного обеспечения TrueAllele, использовавшегося для анализа ДНК подозреваемого в совершении тяжкого преступления. Суд согласился с позицией адвокатов, которые утверждали, что применяемое при сборе доказательств программное обеспечение может содержать ошибки, способные исказить результаты и привести к осуждению невиновного. Поэтому адвокаты настаивали на предоставлении им доступа к коду программы, применявшейся для анализа ДНК, для проведения независимого аудита. Изначально сторона обвинения и компания-производитель Cybergenetics отказывались предоставить код под предлогом сохранения коммерческой тайны, но суд решил, что право обвиняемого оспорить предоставленные доказательства и опасность возникновения ложных выводов о совершении преступления из-за ошибок … Читать далее Федеральный Суд США обязал предоставить исходные тексты ПО для анализа ДНК

Разработчики дистрибутива Linux Mint намерены в следующем выпуске переработать менеджер установки обновлений для форсирования поддержания дистрибутива в актуальном состоянии. Проведённое исследование показало, что лишь около 30% пользователей устанавливают обновления своевременно, спустя менее недели с момента их публикации. В Linux Mint не собирается телеметрия, поэтому для оценки актуальности компонентов дистрибутива использовался косвенный метод на основе анализа используемых версий Firefox. Разработчики Linux Mint совместно с компанией Yahoo проанализировали какая версия браузера применяется пользователями Linux Mint. После выпуска пакета с обновлением Firefox 85.0 на основе значения заголовка User Agent, передаваемого при обращении к сервисами Yahoo, была вычислена динамика перехода пользователей Linux Mint на … Читать далее Linux Mint намерен решить проблему с игнорированием установки обновлений

Вышла новая версия компилятора для языка программирования Vala 0.50.4. Также была обновлена ветка с долгосрочной поддержкой (LTS) Vala 0.48.14 (упаковывается для Ubuntu 18.04) и экспериментальная ветка Vala 0.51.3. Язык Vala является объектно-ориентированным языком программирования, предоставляет синтаксис, подобный языкам C# или Java. В качестве объектной модели используется Gobject (Glib Object System). Управление памятью осуществляется по владению (owned/unowned ссылки) либо с помощью ARC(подстановка деструкторов и декрементов счетчиков ссылок объектов на этапе компиляции). В языке имеется поддержка интроспекции, лямбда-функций, интерфейсов, делегатов и замыканий, сигналов и слотов, исключений, свойств, ненулевых типов, выведения типов для локальных переменных. В комплекте поставляется большое количество биндингов к библиотекам … Читать далее Обновление компилятора языка программирования Vala 0.50.4

Подготовлен корректирующий релиз OpenVPN 2.5.1, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. Нововведения: В список состояний соединения добавлено новое состояние AUTH_PENDING, которое позволяет в интерфейсе отображать более корректное состояние соединения; Оформлена предварительная версия документации на «Management Interface «echo» protocol», канал передачи команд в GUI; Удалена поддержка initd; Добавлена поддержка EKM (Exported Keying Material,RFC 5705) для получения векторов encryption/hmac/iv (data channel keys). Прежний механизм остался неизменным. Основные … Читать далее Корректирующий релиз OpenVPN 2.5.1

Разработчики дистрибутива Void Linux утвердили рассматривавшееся с апреля прошлого года предложение по возвращению к использованию библиотеки OpenSSL. Замена LibreSSL на OpenSSL намечена на 5 марта. Предполагается, что изменение не повлияет на системы большинства пользователей, но существенно упростит сопровождение дистрибутива и позволит решить многие проблемы, например, даст возможность собирать OpenVPN со штатной TLS-библиотекой (сейчас из-за проблем с LibreSSL пакет собирается с Mbed TLS). Ценой возвращения на OpenSSL станет прекращение поддержки некоторых пакетов, которые завязаны на старый API OpenSSL, поддержка которого прекращена в новых ветках OpenSSL, но сохранялась в LibreSSL. Ранее c LibreSSL на OpenSSL уже вернулись проекты Gentoo, Alpine и HardenedBSD. … Читать далее Void Linux возвращается с LibreSSL на OpenSSL

После трёх лет разработки представлен первый выпуск GNU Poke, интерактивного редактора бинарных данных. В отличие от редакторов дампов, позволяющих редактировать информацию на уровне битов и байтов, Poke предоставляет полноценный язык описания и разбора структур данных, дающий возможность автоматически кодировать и декодировать данные в разных форматах. После определения структуры бинарных данных, например, на основе сопоставления c списком поддерживаемых форматов, пользователь может выполнять операции поиска, инспектирования и модификации на более высоком уровне, манипулируя такими абстрактными структурами как таблицы символов формата ELF, MP3-теги, выражения DWARF и записи в таблице дисковых разделов. Предоставляется библиотека готовых описаний для различных форматов. Программа может оказаться полезной при … Читать далее Доступен редактор бинарных данных GNU Poke 1.0

В состав находящегося в разработке ядра Linux 5.12 включена реализация механизма KFence (Kernel Electric Fence), который проверяет работу с памятью, отлавливая выход за границы буферов, обращения к памяти после освобождения и другие ошибки подобного класса. Подобная функциональность уже присутствовала в ядре в виде опции сборки KASAN (kernel address sanitizer, использует Address Sanitizer в современных gcc и clang) — однако позиционировалась в основном для отладочного применения. Подсистема KFence отличается от KASAN высокой скоростью работы, что позволяет использовать эту возможность даже на ядрах в рабочих системах. Применение на рабочих системах даст возможность отлавливать ошибки работы с памятью, которые не проявляются в тестовых … Читать далее В ядро Linux 5.12 принята подсистема KFence для выявления ошибок при работе с памятью

Разработчики Chrome сообщили о добавлении в тестовые ветки Chrome Canary, Dev и Beta новой экспериментальной настройки «chrome://flags#omnibox-default-typed-navigations-to-https», при активации которой при наборе имён хостов в адресной строке сайт по умолчанию будет открываться с использованием схемы «https://», а не «http://». В запланированном на 2 марта выпуске Chrome 89 указанная возможность будет включена по умолчанию для небольшого процента пользователей и, если не возникнет непредвиденных проблем, использование по умолчанию HTTPS будет предложено всем в выпуске Chrome 90. Напомним, что, несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию до сих пор продолжает … Читать далее В Chrome экспериментируют с открытием сайтов по умолчанию через HTTPS

Компания Mozilla заверила пользователей, что не собирается отказываться от изображения лисы на логотипе Firefox. Последние дни в сети активно обсуждается дезинформация об исчезновении лисы с логотипа Firefox, которая стала источником для появления мемов и возмущений. Логотипы Firefox не менялись с 2019 года и логотип без лисы, который преподносится в обсуждениях как новый логотип Firefox, на деле является давно существующим общим логотипом, охватывающим не только Firefox, но и всё связанное браузером семейство продуктов. Логотип браузера Firefox остаётся прежним и содержит изображение лисы (на изображении ниже действующий логотип показан в центре второй строки, а справа от него показан общий логотип для всех … Читать далее Компания Mozilla опровергла ложную информацию об удалении лисы с логотипа Firefox

Спустя почти два года с момента прошлого значительного выпуска опубликован релиз Linux-дистрибутива Mageia 8, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva. Для загрузки доступны 32- и 64-разрядные DVD-сборки (4 ГБ) и набор Live-сборок (3 ГБ) на базе GNOME, KDE и Xfce. Ключевые улучшения: Обновлены версии пакетов, включая ядро Linux 5.10.16, glibc 2.32, LLVM 11.0.1, GCC 10.2, rpm 4.16.1.2, dnf 4.6.0, Mesa 20.3.4, X.Org 1.20.10, Firefox 78, Chromium 88, LibreOffice 7.0.4.2, Python 3.8.7, Perl 5.32.1, Ruby 2.7.2, Rust 1.49.0, PHP 8.0.2, Java 11, Qt 5.15.2, GTK 3.24.24/4.1.0, QEmu 5.2, Xen 4.14, VirtualBox 6.1.18. Обновлены версии рабочих столов KDE … Читать далее Выпуск дистрибутива Mageia 8, форка Mandriva Linux