The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.12.2017 Выпуск криптографической библиотеки Sodium 1.0.16 (11 +9)
  Доступен выпуск свободной криптографической библиотеки Sodium 1.0.16, которая совместима на уровне API с библиотекой NaCl (Networking and Cryptography library) и предоставляет функции для организации защищённого сетевого взаимодействия, хэширования, генерации псевдослучайных чисел, работы с цифровыми подписями, шифрования с использованием аутентифицированных открытых и симметричных (shared-key) ключей. API Sodium отличается простотой и предлагает по умолчанию наиболее безопасные опции, методы шифрования и хэширования. Код библиотеки распространяется под свободной лицензией ISC.

Основные новшества:

  • Увеличена производительность кода для создания и проверки цифровых подписей, при его использовании на 64-разрядных платформах с компиляторами, поддерживающими 128-разрядную арифметику (gcc, clang, icc). Оптимизации также применимы к целевой платформе WebAssembly;
  • Представлен набор низкоуровневых функций для вычислений с использованием алгоритма edwards25519: crypto_scalarmult_ed25519(), crypto_scalarmult_ed25519_base(), crypto_core_ed25519_is_valid_point(), crypto_core_ed25519_add(), crypto_core_ed25519_sub() и crypto_core_ed25519_from_uniform();
  • В функциях crypto_sign_open(), crypto_sign_verify_detached() и andcrypto_sign_edwards25519sha512batch_open() теперь запрещено использовать открытые ключи в формах, отличных от канонической;
  • Добавлена отключенная по умолчанию возможность сборки в режиме ED25519_NONDETERMINISTIC для использования синтетических векторов инициализации (nonce) для EdDSA;
  • В сборки для платформы Webassembly добавлены функции crypto_pwhash_*();
  • Добавлена функция sodium_stackzero() для очистки содержимого стека;
  • Добавлена поддержка новых версий Android SDK с унифицированной коллекцией заголовочных файлов;
  • При сборке с использованием cmake улучшено определение статических библиотек в Unix-системах;
  • На платформе Linux ускорена работа функций хэширования паролей Argon2 и scrypt.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск криптографической библиотеки Sodium 1.0.15
  3. OpenNews: Представлена новая криптографическая библиотека Sodium
  4. OpenNews: В основной состав PHP будет включена криптографическая библиотека Libsodium
  5. OpenNews: Библиотека Sodium Compat поможет реализовать верификацию обновлений в WordPress
  6. OpenNews: Первый стабильный выпуск криптографической библиотеки Sodium
Обсуждение (11 +9) | Тип: Программы |
14.12.2017 Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R4U6 (7 +1)
  Компания Oracle представила шестое функциональное обновление для ядра Unbreakable Enterprise Kernel 4 (UEKR4U6). Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро распространяется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Пакеты с ядром подготовлены для Oracle Linux 6 и Oracle Linux 7.

Ключевые улучшения:

  • Функция автоматической балансировки NUMA-узлов отключена по умолчанию из-за выявления ряда проблем (подвисание процессов в состоянии D), наблюдаемых на системах с несколькими NUMA-узлами;
  • Включена по умолчанию функция отложенного уплотнения THP (Transparent Huge Pages), которая бэкпортирована из свежей кодовой базы основного ядра. Изменение позволило избавиться от проблем с приостановкой выполнения приложений в моменты выделения THP-страниц, которые могли занимать слишком много времени при большой фрагментации памяти;
  • Обновлён код файловых систем Btrfs и XFS (бэкпортирован набор исправлений);
  • Обновлены версии драйверов;
  • В Crypto API представлен дополнительный драйвер ccp, предоставляющий доступ к функциям сопроцессора для ускорения криптографических операций (AMD CCP, Cryptographic Coprocessor);
  • В генератор псевдослучайных чисел добавлен коллектор энтропии на основе джиттера (jitter), основанный на учёте отклонения времени повторного исполнения определённого набора инструкций на CPU (CPU execution time jitter), которое зависит от множества внутренних факторов и непредсказуемо без физического контроля над CPU;
  • В DTrace предоставлен провайдер трассировки ввода/вывода для NFS (поддерживает обработку событий начала и завершения операции, чтения и записи) и провайдер lockstat для трассировки событий, связанных с установкой блокировок в ядре;
  • Прекращена поставка отдельных пакетов dtrace-modules, dtrace-modules-provider-headers и dtrace-modules-shared-headers, содержимое которых включено в состав основного пакета kernel-uek и связанные с ним пакеты с заголовочными файлами;
  • Под флагом Technology Preview продолжается тестирование экспериментальной поддержки DCTCP (Data Center TCP), DRBD (Distributed Replicated Block Device), системы верификации модулей ядра по цифровой подписи, серверной реализации pNFS (parallel NFS).

  1. Главная ссылка к новости
  2. OpenNews: Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R4U5
  3. OpenNews: Доступен дистрибутив Oracle Linux 7.4
  4. OpenNews: Компания Oracle выпустила обновление ядра Unbreakable Enterprise Kernel R4U4
  5. OpenNews: Опубликована редакция Oracle Linux для архитектуры SPARC
  6. OpenNews: Выпуск дистрибутива Oracle Linux 7.3 и ядра Unbreakable Enterprise Kernel R4U2
Обсуждение (7 +1) | Тип: Программы |
14.12.2017 Релиз эмулятора QEMU 2.11.0 (25 +16)
  Доступен релиз проекта QEMU 2.11. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 2.11 внесено более 2000 изменений от 165 разработчиков.

Ключевые улучшения, добавленные в QEMU 2.11:

  • В VFIO-устройствах проброса доступа к GPU NVIDIA (p2p DMA) добавлена экспериментальная поддержка технологии NVIDIA GPUDirect Cliques;
  • Добавлен эмулятор TPM (Trusted Platform Module);
  • Улучшена поддержка запуска гостевых систем на базе Hyper-V поверх гипервизора KVM, добавлена возможность использования более 64 виртуальных CPU на гостевую систему Hyper-V;
  • Добавлено новое устройство pcie-pci-bridge для проброса PCIe через PCI, поддерживающее горячее подключение устройств, SHPC и способное выступать в качестве замены i82801b11 DMI для PCI-мостов;
  • Увеличена производительность при использовании интегрированной поддержки формата шифрованных разделов LUKS на блочных устройствах;
  • Добавлено системное руководство qemu-block-drivers;
  • Предоставлена возможность горячего подключения watchdog-устройств и указания watchdog-действий во время работы;
  • В графическом интерфейсе улучшена поддержка работы VNC через Websockets и задействована БД keycodemapdb для сопоставления скан-кодов с кодами символов;
  • В устройство virtio-input добавлена поддержка событий REL_WHEEL;
  • В эмулятор архитектуры ARM добавлена поддержка эмуляции плат Smartfusion2, увеличена производительность проброса PCI с использованием INTx, улучшена поддержка Xen для гостевых систем на базе архитектуры AArch64;
  • В эмулятор архитектуры OpenRISC добавлена экспериментальная поддержка многопроцессорных систем (SMP);
  • В эмуляторе архитектуры PowerPC налажена работа различных типов Mac-систем и добавлена поддержка виртуальных режимов SMT;
  • В эмуляторе архитектуры s390 появилась поддержка устройств virtio-input-ccw и virtio-gpu-ccw, горячего подключения CPU через новый интерфейс device_add и экспериментальная поддержка полной эмуляции нескольких потоков vcpu;
  • В эмулятор архитектуры SPARC добавлена эмуляция адаптера sunhme (Happy Meal Ethernet) и обеспечено использование мостов Simba PCI для более качественного соответствия топологии Ultra 5 PCI;
  • Объявлены устаревшими опции "-hdachs" и "-usbdevice", а также параметры "serial", "trans", "secs", "heads", "cyls" и "addr" в опции "-drive", вместо которых следует использовать обобщённую опцию "-device". Для захвата сетевого трафика вместо "-net dump" теперь следует использовать флаг "-object filter-dump" с опцией "-netdev";
  • Прекращена поддержка платформы AIX и архитектуры ia64 (Itanium) на стороне хост-системы. В будущем, из-за отсутствия сопровождающих или инфраструктуры для тестирования, не исключается прекращение поддержки платформ GNU/kFreeBSD, DragonFly BSD, Solaris и Haiku. Также ищутся добровольцы, готовые помочь в сопровождении и улучшении поддержки QEMU для OpenBSD.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск эмулятора QEMU 2.10.0
  3. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync
  4. OpenNews: Выпуск эмулятора QEMU 2.8.0
  5. OpenNews: Проект QEMU Advent Calendar 2016 для быстрого знакомства с необычными ОС
  6. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
Обсуждение (25 +16) | Тип: Программы |
14.12.2017 Выпуск Erlang/OTP 20.2 (35 +14)
  Состоялся релиз функционального языка программирования Erlang 20.2, нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 20.2 (Open Telecom Platform) - сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang.

Основным улучшением в новом выпуске стало расширение crypto API возможностью использовать открытые и закрытые ключи, хранимые в стороннем модуле Engine, для выполнения операций шифрования, расшифровки, создания и проверки цифровых подписей. В модуль SSH добавлена возможность извлечения хостового ключа из приватных ключей, хранимых в Engine. В модуль ssl добавлен параметр "-ssl_dist_optfile" для загрузки списка опций протокола из файла. Проведена работа по увеличению производительности новых строковых функций из stdlib, при обработке в них ASCII-символов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Erlang-OTP 20.1
  3. OpenNews: Релиз Erlang/OTP 20.0
  4. OpenNews: Релиз Erlang/OTP 19.0
  5. OpenNews: Релиз Erlang/OTP 18.3
  6. OpenNews: Выпуск Erlang/OTP 18.0
Обсуждение (35 +14) | Тип: Программы |
13.12.2017 Для Ubuntu 16.04 подготовлены модули, имеющие сертификат безопасности FIPS 140-2 (21 +7)
  Компания Canonical объявила о публикации для Ubuntu 16.04 криптографических модулей, прошедших сертификацию на предмет соответствия стандарту безопасности FIPS 140-2 (level 1). Сертификация пройдена для модулей Kernel Crypto API, OpenSSL, OpenSSH Client, OpenSSH Server и Strongswan на серверах IBM Power System 8001-22C/8247-22L/8335-GTB, IBM z13 и Supermicro SYS-5018R-WR. Модули доступны только подписчикам сервиса Ubuntu Advantage Advanced.

Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.

  1. Главная ссылка к новости
  2. OpenNews: Red Hat Enterprise Linux 7 получил сертификат безопасности FIPS 140-2
  3. OpenNews: SHA-3 присвоен статус федерального стандарта США
  4. OpenNews: У проекта OpenSSL отозвали FIPS-140-2 сертификат
  5. OpenNews: OpenSSL сертифицирован для использования в правительственных структурах
  6. OpenNews: OpenSSL 1.0 получил сертификат безопасности FIPS 140-2
Обсуждение (21 +7) | Тип: К сведению |
13.12.2017 Проект Linaro представил ERP 17.12, дистрибутив для ARM-серверов (12 +10)
  Разработчики проекта Linaro, занимающегося оптимизацией и улучшением поддержки архитектуры ARM в Linux и различных открытых проектах, представили выпуск эталонного дистрибутива Linaro ERP 17.12 (Enterprise Reference Platform). Целью разработки является предоставление полностью протестированной, готовой к применению и документированной открытой реализации программного окружения для промышленных серверов на базе процессоров ARM.

В состав платформы входит оптимизированное для ARM ядро Linux, пользовательский инструментарий и набор дополнительных открытых компонентов, проверенных в окружении существующих выпусков платформы. Дистрибутив собирается и тестируется для оборудования, выпускаемого участниками рабочих групп Linaro Enterprise Group и Linaro Developer Cloud, и может применяться в качестве эталонного примера для построения собственных вариантов продуктов.

В настоящее время в ERP обеспечена поддержка серверных ARM-платформ Cavium ThunderX, HiSilicon D03, HiSilicon D05, HP Proliant m400 и Qualcomm Centriq 2400. Для всех этих платформ поставляется единая универсальная сборка, не требующая применения отдельных пакетов с ядром. Установка обеспечивается сетевым инсталлятором, заимствованным из Debian 9.2 "Stretch" (размер установочного образа 46 Мб).

Предлагаемый пакет с ядром Linux основан на выпуске 4.14, в который бэкпортированы патчи, уже переданные для включения в более новые выпуски ядра и содержащие исправлений ошибок, выявленных в процессе работы по контролю качества платформы. Ядро пригодно для использования в базовых окружениях, построенных на базе Debian и CentOS. Из дополнительных протестированных программных компонентов отмечаются Docker 1.12.6, стек Bigtop 1.2 (Hadoop 2.7.3, Spark 2.1, Hive 1.1.3), ELK 5.4.1, OpenJDK 8, Libvirt 3.8.0, QEMU 2.10 и DPDK 17.11.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск свободной операционной системы реального времени Zephyr 1.8
  3. OpenNews: Linux Foundation развивает EdgeX, новую платформу для интернета вещей
  4. OpenNews: Оценка пригодности ядра Linux для систем с несколькими мегабайтами ОЗУ
  5. OpenNews: Доступны платформы для создания встраиваемых Linux-систем Yocto 1.6 и Linaro 14.04
  6. OpenNews: Консорциум Linaro приступил к созданию Linux-платформы для сетевых устройств на базе архитектуры ARM
Обсуждение (12 +10) | Тип: Программы |
13.12.2017 Выпуск графического редактора GIMP 2.9.8 (56 +41)
  Представлен новый выпуск графического редактора GIMP 2.9.8. Ветка 2.9.x отнесена к категории экспериментальных и служит основой для разработки значительного релиза GIMP 2.10. GIMP 2.9.8 станет последним промежуточным выпуском, на следующей стадии ожидается заморозка кодовой базы и переход к финальной стадии подготовки GIMP 2.10, перед которым для окончательной стабилизации планируется выпустить кандидат в релизы.

Новая ветка примечательна повсеместным переводом внутренних подсистем на фреймворк обработки изображений GEGL (Generic Graphics Library), что позволило реализовать такие возможности как использование глубины цвета в 16 и 32 бит на канал (как целочисленные, так и с плавающей точкой) и цветовые профили ICC v4, а также повысить эффективность обработки больших изображений. Из новшеств также можно отметить переработанное оформление интерфейса пользователя, поддержку форматов OpenEXR и WebP, предпросмотр применения фильтров на холсте, унификацию инструментов трансформации, задействование OpenCL для выноса обработки графики на плечи GPU, поддержка кистей от проекта MyPaint, возможность многопоточного выполнения операций в GEGL.

Основные изменения по сравнению с прошлым выпуском:

  • Обновлён инструмент заливки градиентом (Blend), с которым теперь можно работать без дополнительных диалогов, формируя параметры заливки прямо на холсте. В том числе можно создавать, выбирать, сдвигать, удалять и настраивать точки управления цветом заливки, изменять режимы смешивания и окраски сегментов между точками заливки, создавать промежуточные точки заливки.

    По умолчанию предлагаемые градиенты теперь можно редактировать. При внесении изменения в градиент, размещённый в системном каталоге, автоматически в локальном каталоге пользователя создаётся копия этого градиента, которая сохраняется для всех сеансов пользователя. В будущих выпусках планируется предоставить похожую возможность редактирования и для других ресурсов, таких как кисти и инструменты динамического рисования;

  • Добавлен фильтр Clip Warning для визуализации на фотографии областей со слишком малой или слишком большой экспозицией, на которых наблюдается пропадание деталей в тёмных или светлых местах;
  • Преобразование изображений между разными цветовыми пространствами переведено на использование библиотеки babl, если применяются ICC-профили на основе матриц. По сравнению с использованием LittleCMS 2, использование babl позволило до 5 раз ускорить выполнение преобразований;
  • Расширена поддержка работы в окружениях на базе Wayland. В дополнение к ранее добавленной возможности создания скриншотов в GNOME поверх Wayland, аналогичная возможность обеспечена и для KDE на базе Wayland. В KDE/Wayland также теперь работоспособен виджет для определения цвета точки (Color Picker). В GNOME/Wayland возможности данного виджета пока ограничены окнами GIMP;
  • По аналогии с командой Paste in Place в Inkscape реализована возможность для вставки контента из общего буфера обмена или именованных буферов обмена в то же самое место, т.е. в позицию из которой контент был изначально скопирован, а не по центру видимой области;
  • Проведена работа по улучшению пользовательского интерфейса. Виджет spinscale теперь по разному подсвечивает вертикальные части ползунка, давая понять, что положение курсора имеет значение. При изменении значений через пошаговый переключатель указатель меняет вид, позволяя плавно продолжить корректировку параметра;
  • В инструментах трансформации теперь можно нажать клавишу модификатора как до, так и после нажатия/отпускания клавиши мыши;
  • Окно с информацией о выбранном цвете в инструменте определения цвета теперь запоминает настройки режимов между сеансами;
  • Информация о вращении или перевороте холста теперь отображается в статусной строке с указанием градуса наклона или индикатора переворота. Клик на данные индикаторы приводит к открытию диалога настройки наклона или отменяет переворот холста;
  • Добавлена возможность выбора языка для отображения руководства пользователя (Interface > Help System), независимо от применяемой локали (например, когда пользователь хочет видеть интерфейс на английском, а руководство на русском языке).
  • Улучшен фильтр вейвлетного разложения (Wavelet Decompose), в котором появились опции для размещения стека разложения в отдельной группе слоёв и для добавления маски слоя к каждому слою масштабирования;
  • В плагине импорта и экспорта файлов в формате PSD налажена корректная работа с файлами Photoshop с большим уровнем вложенности групп слоёв. Также обеспечено сохранение расширенного состояния групп, позиции маски и прозрачности слоя при импорте и экспорте.
  • В плагине для поддержки формата PDF добавлена возможность загрузки файлов, защищённых паролем (пользователю выводится запрос на ввод пароля);
  • Добавлена возможность импорта файлов в формате HGT, в котором НАСА и другие космические агентства распространяют цифровые модели рельефа (Digital Elevation Model). Поддерживаются модели SRTM-1 и SRTM-3, которые импортируются как RGB-изображения в оттенках серого цвета. При желании при помощи фильтра Gradient Map можно раскрасить рельеф по своему усмотрению.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск графического редактора GIMP 2.9.6
  3. OpenNews: Выпуск графического редактора GIMP 2.8.22
  4. OpenNews: Обновление GIMP 2.8.20 и оценка состояния разработки GIMP 2.10
  5. OpenNews: В графическом редакторе GIMP 2.9.4 предложено новое оформление интерфейса
  6. OpenNews: Предварительный выпуск графического редактора GIMP 2.10
Обсуждение (56 +41) | Тип: Программы |
13.12.2017 Выпуск Cryptsetup 2.0 (88 +19)
  Доступен релиз набора утилит Cryptsetup 2.0, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, loop-AES и TrueCrypt с расширениями VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity.

В новой версии обеспечена поддержка дискового шифрования с использованием формата LUKS2, примечательного упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. Поддержка ранее используемого формата LUKS1 сохранена в полном объёме с обеспечением обратной совместимости. Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".

В новой версии также представлена поддержка аутентифицированного дискового шифрования (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём) и контроля целостности данных без шифрования на основе модуля ядра dm-integrity. Для управления модулем dm-integrity добавлена новая утилита integritysetup. Режим аутентифицированного дискового шифрования позволяет совместить защиту данных от чужих глаз и средства обеспечения целостности, как с позиции предотвращения скрытых случайных повреждений информации, так и для блокирования внесения неавторизированных изменений на дисковом уровне.

Среди других изменений:

  • Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function), ориентированная на затруднение проведения параллелизированных атак по подбору пароля по словарю (не позволяет применять GPU из-за потребности в большом размере памяти для вычисления хэша).
  • Добавлена опция "--pbkdf-force-iterations", позволяющая самостоятельно выбрать уровень защиты PBKDF, балансируя между затруднением словарного подбора и потреблением ресурсов CPU/потреблением памяти/задержкой при входе.
  • Возможность использования хэш-функции Argon2 для создания ключей на основе заданного пользователем пароля.
  • Поддержка применения встроенного в ядро Linuх хранилища ключей (Kernel keyring) для передачи ключей и паролей доступа к разделу. Поддержка автоматической активации раздела по находящемуся в хранилище ключей токену.
  • Поддержка открытия разделов VeraCrypt, в которых используется Personal Iteration Multiplier (PIM).
  • Возможность запоминания выбранных для разделов флагов (например, включение TRIM).
  • Новая команда "--deferred" которая позволяет пометить устройство для удаления, но произвести удаление после того как оно перестанет использоваться (например, после отмонтирования связанного с ним разедела).

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в Cryptsetup, позволяющая получить доступ к root shell
  3. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  4. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.8.0
  5. OpenNews: Релиз VeraCrypt 1.21, форка TrueCrypt
  6. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
Обсуждение (88 +19) | Тип: Программы |
13.12.2017 Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов (59 +20)
  Раcкрыты детали новой атаки на TLS, которая получила кодовое имя ROBOT (Return Of Bleichenbacher's Oracle Threat). Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook.

Проблема выявлена на 27 из 100 крупнейших сайтов по рейтингу Alexa, включая Facebook и PayPal. При этом при рассмотрении миллиона крупнейших сайтов уязвимость наблюдается всего на 2.8% ресурсах. Подобное расхождение объясняется тем, что атаке подвержены в основном коммерческие реализации TLS (Cisco ACE, F5 BIG-IP SSL, Citrix NetScaler, Radware), применяемые в крупных проектах. Из открытых проектов уязвимость затрагивает Erlang, Java/JSSE, WolfSSL, MatrixSSL и Bouncy Castle.

Причиной возникновения уязвимости называется неполная реализация мер защиты, описанных в секции 7.4.7.1 спецификации TLS. OpenSSL, LibreSSL и GnuTLS проблеме не подвержены, но не исключается возникновение уязвимости из-за применения неофициальных модификаций. Например, в Facebook используется OpenSSL, который оказался уязвим из-за применения собственных дополнительных патчей.

Примечательно, что метод является незначительной модификацией первой практической атаки на RSA, предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher) в 1998 году. Было выявлено, что спустя 19 лет многие HTTPS-хосты до сих пор подвержены вариациям данной атаки. Суть метода в том, что атакующий на основании разных ответов от сервера может отделить корректные и некорректные блоки добавочного заполнения (padding oracle) в режиме PKCS #1 v1.5. Отличие нового метода от оригинальной атаки Блейхенбахера заключается в использовании дополнительных сигналов для разделения типов ошибок, таких как таймауты, сбросы соединения и дубликаты TLS-оповещений. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора определить подходящий шифротекст.

Для сайтов, применяющих только шифрование на основе ключей RSA, атакующий может пассивно сохранить перехваченный трафик и позднее расшифровать его. Для HTTPS-хостов поддерживающих PFS (Perfect forward secrecy) успех атаки не так однозначен и зависит от того, как быстро будет проведена атака. Атака не восстанавливает непосредственно закрытый ключ, а только позволяет расшифровать шифротекст или сформировать поддельное подписанное сообщение. Проблеме подвержен не только TLS, но и другие протоколы в которых применяется RSA и PKCS #1 v1.5, включая XML Encryption, интерфейсы PKCS#11, JOSE (Javascript Object Signing and Encryption) и S/MIME.

Проверить свой сайт на наличие уязвимость можно через web-форму или при помощи специального подготовленного скрипта на языке Python. В качестве обходного пути защиты рекомендуется отключить поддержку шифров на базе RSA (TLS_RSA*), за исключением шифров в которых RSA используется для создания цифровой подписи (шифры на основе эллиптических кривых с DHE и ECDHE в имени также не подвержены рассматриваемой атаке).

  1. Главная ссылка к новости
  2. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  3. OpenNews: Дэниел Бернштейн выступил с критикой позиции ФБР о шифровании смартфонов и сетей
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
  6. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
Обсуждение (59 +20) | Тип: Проблемы безопасности |
13.12.2017 Выпуск файлового менеджера Double Commander 0.8.0 (145 +23)
  Подготовлена новая версия двухпанельного файлового менеджера Double Commander 0.8.0, пытающегося повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается два варианта интерфейса пользователя - на базе GTK2 и Qt4. Проект находится стадии beta-разработки. Код доступен под лицензией GPLv2.

Из особенностей Double Commander можно отметить выполнение всех операций в фоновом режиме, поддержку переименования группы файлов по маске, интерфейс на базе вкладок, двухпанельный режим с вертикальным или горизонтальным размещением панелей, встроенный текстовый редактор с подсветкой синтаксиса, работа с архивами как с виртуальными директориями, расширенные средства поиска, настраиваемая панель, поддержка плагинов Total Commander в форматах WCX, WDX и WLX, функция ведения лога файловых операций.

Основные новшества Double Commander 0.8.0:

  • Добавлена возможность подключения собственных скриптов-обработчиков на языке Lua, из которых можно вызывать внутренние команды Double Commander;
  • В плагине FTP добавлена поддержка протокола SFTP (требуется сборка с libssh2);
  • Реализовано древовидное представление меню;
  • Возможность одновременного выполнения нескольких операций поиска;
  • Добавлен плагин для вывода информации о музыкальных файлах;
  • Добавлена проверка целостности после выполнения копирования или перемещения файла;
  • Улучшена поддержка экранов с высокой плотностью пикселей (High-DPI);
  • В текстовом редакторе обеспечена возможность определения собственных правил подсветки синтаксиса;
  • На платформе Windows обеспечена поддержка файловых путей, состоящих более чем из 259 символов;
  • Добавлена поддержка изображений в формате WebP;
  • Добавлен инструмент для вычисления и проверки хэшей SHA-224 и SHA-3 (224, 256, 384, 512);
  • Возможность выбора кодировки по умолчанию для descript.ion;
  • Изменён формат хранения паролей в файле pwd.ini, для шифрования паролей теперь используется AES-256 и Blowfish-448 с генерацией ключа при помощи функции scrypt;

  1. Главная ссылка к новости
  2. OpenNews: Выпуск файлового менеджера Double Commander 0.7.0
  3. OpenNews: Вышел Wal Commander GitHub Edition 0.19.0
  4. OpenNews: Вышел файловый менеджер WCM Commander 0.20.0
  5. OpenNews: Доступен файловый менеджер GNOME Commander 1.8.0
  6. OpenNews: Выпуск файлового менеджера Midnight Commander 4.8.20
Обсуждение (145 +23) | Тип: Программы |
12.12.2017 Выпуск видеодрайвера AMD Radeon Pro Adrenalin Edition 17.50 (154 +35)
  Компания AMD опубликовала выпуск драйвера AMDGPU-PRO 17.50 для Linux, основанного на свободном модуле ядра AMDGPU, развиваемого в рамках инициативы по унификации графического стека AMD для проприетарных и открытых видеодрайверов. Драйвер поддерживает API OpenGL 4.5, GLX 1.4, OpenCL 1.2, Vulkan 1.0 и VDPAU/VAAPI, включает базовые средства для управления экраном и питанием, поддерживает интерфейсы KMS (Kernel Mode Setting) и ADF (Atomic Display Framework), использует совместимый с лицензией GPL модуль ядра, поддерживает возможности FirePro (управление EDID и 30-разрядная цветность), Radeon FreeSync и DirectGMA для OpenGL.

Новый выпуск примечателен интеграцией в одном наборе открытого и проприетарного стеков драйверов. Драйверы amdgpu-pro и amdgpu-all-open (vulkan-драйвер RADV и OpenGL-драйвер RadeonSE, основанные на коде из Mesa 17.2.4) теперь предлагаются в одном пакете и пользователь на своё усмотрение может выбрать открытые или закрытые драйверы. В новой версии также включено по умолчанию использование больших страниц памяти и добавлена поддержка дистрибутивов RHEL 7.4 и CentOS 7.4. Кроме того, в ближайшие дни ожидается открытие кода официальной реализации API Vulkan, ранее поставляемой в составе проприетарного драйвера AMDGPU-PRO и примечательной использованием единой кодовой базы для Linux и Windows.

  1. Главная ссылка к новости
  2. OpenNews: Доступен драйвер AMDGPU-PRO 17.40
  3. OpenNews: Релиз свободных видеодрайверов xf86-video-ati 7.10.0 и xf86-video-amdgpu 1.4.0
  4. OpenNews: Доступен драйвер AMDGPU-PRO 17.30
  5. OpenNews: Доступен драйвер AMDGPU-PRO 16.60
  6. OpenNews: Проект openSUSE прекращает поддержку пакетов с драйвером AMD Catalyst
Обсуждение (154 +35) | Тип: Программы |
12.12.2017 Модульный выпуск Fedora отменён. Опубликован классический Fedora 27 Server (46 +10)
  Вместо намеченного на 9 января нового модульного серверного дистрибутива Fedora 27 Modular Server опубликованы классические сборки Fedora 27 Server. По функциональности Fedora 27 Server близок к Fedora 26 и отличается лишь обновлением версий пакетов.

Переход на модульную архитектуру отменён после анализа отзыва пользователей бета-версии. Из всплывших недостатков, мешающих переходу на модульную архитектуру, упоминаются невозможность включения в модульную редакцию приложений, не оформленных в виде модулей (могут поставляться только части ПО, явно включённые в модули), а также наличие ещё одного уровня абстракции, приводящего к неприемлемому усложнению всей системы.

Модульная редакция возвращена на стадию проектирования, где она будет переосмыслена. Разработчики не отказываются от планов по предоставлению модульного варианта дистрибутива, но, скорее всего, он будет предложен не как замена традиционному дистрибутиву Fedora, а как отдельная редакция, построенная на его пакетной базе и сосуществующая с ним. В частности, вместо создания новой модульной операционной системы планируется создать отдельный модульный репозиторий пакетов, который будет реализован как дополнительный слой над штатным репозиторием Fedora. Подобный подход упростит работу сопровождающих пакеты и предоставит пользователям возможность выбора.

Напомним, что главной идеей модульного варианта Fedora является поставка приложений в виде отдельно обновляемых модулей, жизненный цикл которых не привязан к другим приложениям и основной начинке дистрибутива. Поддержка приложений, выделенных в модули, осуществляется независимо от релизов дистрибутива, что позволяет обеспечить сосуществование пакетов с разными версиями одного и того же приложения. Модульная организация позволяет пользователю переходить на новые значительные выпуски приложения не дожидаясь нового релиза дистрибутива и оставаться на старых, но ещё поддерживаемых, версиях после обновления дистрибутива.

Каждый модуль включает базовое приложение и необходимые для его работы библиотеки или может использовать в качестве зависимостей другие модули. Модули оформлены в виде сгруппированных rpm-пакетов, что позволяет формировать на их базе образы готовых для установки контейнеров Docker. В рамках одной базовой версии модуля обеспечивается обратная совместимость и неизменность ABI. Для каждой базовой версии модуля предусмотрен отдельный канал для доставки корректирующих обновлений.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Linux-дистрибутива Fedora 27
  3. OpenNews: Проект Fedora опубликовал первый выпуск модульного серверного дистрибутива Boltron
  4. OpenNews: Fedora планирует выпустить модульный вариант серверной редакции дистрибутива
  5. OpenNews: Разработчики Fedora рассматривают возможность перехода на ежегодные выпуски
Обсуждение (46 +10) | Тип: Программы |
12.12.2017 Уязвимость в Glibc ld.so, позволяющая поднять свои привилегии в системе (42 +17)
  Компания Qualys выявила две уязвимости в системной библиотеке GNU libc. Первая проблема (CVE-2017-1000408) проявляется начиная с glibc 2.1.1 и может привести к утечке содержимого памяти процессов через манипуляцию с переменной окружения LD_HWCAP_MASK. Вторая уязвимость (CVE-2017-1000409) затрагивает выпуски начиная с glibc 2.5 и может привести к повышению своих привилегий в системе.

Уязвимость вызвана переполнением буфера в компоновщике ld.so и может быть эксплуатирована через указание специально подобранных данных в переменной LD_LIBRARY_PATH перед запуском suid-программ. Для эксплуатации переполнения буфера локальный атакующий должен иметь возможность создания жесткой ссылки на исполняемый SUID-файл в каталог, содержащий двоеточие в имени. Также требуется, чтобы применяемая в дистрибутиве версия ld.so передавала переменную окружения LD_LIBRARY_PATH в функцию _dl_init_paths().


   $ mkdir -p '/var/tmp/:/lib:/usr/lib:'
   $ cd '/var/tmp/:/lib:/usr/lib:'
   $ env -i LD_LIBRARY_PATH='$ORIGIN/../../../../../../../../$LIB' LD_PRELOAD='os-release:rootshell.so' 
LD_HWCAP_MASK="$(((1<<25)-1))" ./su

   ERROR: ld.so: object 'os-release' from LD_PRELOAD cannot be preloaded (invalid ELF header): ignored.

   # id
   uid=0(root) gid=0(root) 

Уязвимость проявляется только если не активна опция /proc/sys/fs/protected_hardlinks, которая включена по умолчанию в большинстве дистрибутивов, но отключена в настройках ванильного ядра Linux. Проблема также не проявляется в Glibc 2.26 и системах, в которых установлены патчи для устранения летней уязвимости CVE-2017-1000366. Несмотря на то, что в дистрибутивах проблема CVE-2017-1000409 пока помечена как неисправленная, в большинстве систем она не проявляется, так как в обновлениях ещё летом были предложены патчи с устранением уязвимости CVE-2017-1000366 в Glibc, также блокирующие и нынешнюю проблему.

  1. Главная ссылка к новости
  2. OpenNews: Для Glibc представлен еще один метод повышения привилегий
  3. OpenNews: Раскрыты детали атаки Stack Сlash и 15 root-эксплоитов для разных ОС
  4. OpenNews: Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux
  5. OpenNews: Удалённо эксплуатируемая уязвимость в Glibc, охватывающая большинство сетевых приложений в Linux
  6. OpenNews: Переполнение буфера в функции glob из состава Glibc
Обсуждение (42 +17) | Тип: Проблемы безопасности |
12.12.2017 Выявлена крупнейшая коллекция учётных записей с открытыми паролями (133 +24)
  На одном из подпольных форумов выявлена крупнейшая коллекция учётных записей, включающая сведения о более 1.4 миллиарде логинов, email-адресов и паролей (41 Гб данных), что примерно в два раза больше, чем ранее известная крупнейшая коллекция Exploit.in (797 млн записей), в которой агрегированы данные, полученные в результате 252 взломов. Новая коллекция дополняет ранее известные базы сведениями от 133 дополнительных взломов и примечательна тем, что все пароли указаны в открытом виде (без хэширования и шифрования). Контрольная проверка выборочных учётных записей показала актуальность приведённых сведений.

Наиболее популярным паролем в коллекции является "123456", который используется в более чем 9 млн учётных записей. На втором месте пароль "123456789" - 3 млн учётных записей, на третьем месте пароль "qwerty" - 1.6 млн учётных записей.

  1. Главная ссылка к новости
  2. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  3. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  4. OpenNews: 15% пользователей потребительских интернет-устройств не меняют пароль по умолчанию
  5. OpenNews: В Cryptkeeper всплыла проблема, приводящая к заданию фиксированного пароля "p"
  6. OpenNews: Уязвимость, позволявшая сменить пароль любого пользователя Facebook
Обсуждение (133 +24) | Тип: Проблемы безопасности |
12.12.2017 Линус Торвальдс рассчитывает выпустить ядро Linux 5.0 летом 2018 года (68 +16)
  На прошедшей в Праге конференции Open Source Summit Линус Торвальдс рассказал, что надеется выпустить ядро Linux 5.0 летом 2018 года. Смена нумерации будет произведена после 20 релизов в ветке (также рассматривается вариант достижения рубежа в 6 млн git-объектов в репозитории) и, как в случае с выпусками 3.0 и 4.0, станет формальным шагом, обусловленным эстетическими соображениями. Выпуск не будет включать каких-то революционных и особенных изменений, а лишь плавно продолжит развитие текущей ветки 4.x и будет аналогичен выпуску 4.20.

  1. Главная ссылка к новости
  2. OpenNews:
  3. OpenNews: Линус Торвальдс устроил голосование по вопросу выпуска ядра Linux 4.0
  4. OpenNews: Релиз ядра Linux 3.12. Планы по созданию ветки 4.0
  5. OpenNews: Линус Торвальдс намерен выпустить вместо Linux-ядра 2.6.40 версию 3.0
Обсуждение (68 +16) | Тип: К сведению |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor