The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.06.2017 Выпуск менеджера фотографий Shotwell 0.27 (27 –3)
  Подготовлен экспериментальный релиз программы для управления коллекцией фотографий Shotwell 0.27.0, которая предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин).

В новом выпуске:

  • В состав включена утилита командной строки для тестирования преобразования изображений;
  • Ускорены операции преобразования цветов;
  • Прекращена поддержка импорта из приложения F-Spot;
  • Повышены требования к версии библиотеки GTK+, для работы теперь требуется GTK+ 3.18 или более новые выпуски;
  • Проведена чистка кода отрисовки гистограмм;
  • Обновлён чёрный список видеокарт, с которыми возникают проблемы при использовании VAAPI;
  • Добавлена настраиваемая поддержка вывода фонового изображения;
  • В предлагаемый по умолчанию набор плагинов добавлен плагин для работы с Tumblr;
  • Добавлена поддержка сборки с использованием Meson;
  • В просмотрщик добавлена опция "--fullscreen/-f" для открытия на полном экране.

  1. OpenNews: Выпуск менеджера фотографий Shotwell 0.26
  2. OpenNews: Новая версия менеджера фотографий Shotwell 0.25
  3. OpenNews: Новая версия менеджера фотографий Shotwell 0.24
Обсуждение (27 –3) | Тип: Программы |
20.06.2017 Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком (74 +14)
  Компания Trend Micro предупредила пользователей о появлении варианта вредоносного шифровальщика Erebus для платформы Linux. Жертвой Erebus уже стал южнокорейский хостинг-оператор Nayana, содержимое 153 серверов которого, на которых размещались данные 3400 клиентов, оказались зашифрованы. Nayana выразил готовность выплатить вымогателям миллион долларов, что является одной из самых крупных выплат в результате применения вредоносных шифровальщиков. Два из трёх платежей уже переведены и часть данных расшифрована.

Утверждается, что на серверах Nayana использовалось устаревшее ПО, не обновляемое уже около 10 лет. Метод проникновения остаётся не ясен, Trend Micro намекает на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершенно других продуктах - web-панели Plesk и Apache Struts, путая http-сервер Apache и web-фреймворк Apache Struts. При этом на хостинг-системах более вероятным является проведение атаки на уязвимые типовые web-приложения с дальнейшей эксплуатацией локальных уязвимостей для повышения привилегий, таких как уязвимость Dirty COW (на хостинге использовалось ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году).

В Erebus шифрование выполняется на уровне отдельных файлов, которые разбиваются на 500 Кб блоки и шифруются при помощи RC4 со случайно сгенерированным ключом. Созданные RC4-ключи затем кодируется при помощи AES, а применяемая для кодирования AES скрытая фраза шифруется с использованием открытого ключа RSA-2048 и сохраняются в файле. Таким образом, каждый файл имеет свой набор RC4/AES-ключей и один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в виде, зашифрованном при помощи дополнительного ключа AES, сформированного на основе известной только злоумышленникам последовательности и идентификатора текущей системы. Шифрование выполняется для 433 типов файлов и каталогов, включая содержимое /var/www и файлов баз данных MySQL.

  1. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  2. OpenNews: В BitTorrent-клиенте Transmission 2.90 выявлено вредоносное ПО для OS X (дополнено)
  3. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  4. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  5. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Обсуждение (74 +14) | Тип: Проблемы безопасности |
19.06.2017 Выпуск AIMS Desktop 2017.1, дистрибутива с подборкой математического и научного ПО (24 +7)
  Представлен первый публичный релиз дистрибутива AIMS Desktop, предлагающего подборку программ для математиков, научных работников и студентов. Дистрибутив построен на пакетной базе Debian 9 и поставляется с рабочим столом GNOME. Проект развивается сетью южноафриканских научно-образовательных центров AIMS (The African Institute for Mathematical Sciences). Размер iso-образа 3.3 Гб (amd64). Инсталлятор построен на базе проекта Calamares. Поддерживается загрузка в Live-режиме.

Из особенностей AIMS Desktop отмечается поставка по умолчанию обучающей среды Jupyter Notebook, системы подготовки документов TeXstudio, языка научных расчётов GNU Octave и математического набора Sagemath (позиционируется как свободная альтернатива Magma, Maple, Mathematica и Matlab). Sagemath теперь доступен в виде штатных debian-пакетов, а не обособленных бинарных сборок. В поставку добавлен эмулятор терминала Tilix. В Live-режим добавлены средства для управления дисковыми разделами и восстановления после сбоя. Улучшена работа в системах двойной загрузки, при установке совместно с macOS.

  1. OpenNews: Релиз системы для математических расчётов GNU Octave 4.2.0
  2. OpenNews: Выпуск математической библиотеки GNU Scientific Library 2.0
  3. OpenNews: Google представил MathFu 1.0, математическую библиотеку для разработчиков игр
  4. OpenNews: Вышел свободный математический пакет Scilab 5.5.0
  5. OpenNews: Релиз свободных математических пакетов Mathomatic 14.4.0 и Scilab 5.1.1
Обсуждение (24 +7) | Тип: Программы |
18.06.2017 Проект Debian выпустил дистрибутив для школ - Debian-Edu 9 (30 +10)
  Состоялся релиз ориентированного на использование в учебных учреждениях дистрибутива Debian Edu 9, известного также под именем Skolelinux. Новая версия примечательна переходом на пакетную базу Debian 9 "Stretch", включением по умолчанию загрузочной заставки Plymouth, заменой систем мониторинга Nagios на Icinga и переводе системы тонких терминалов LTSP с NFS на NBD в качестве корневой ФС. Для загрузки подготовлены сборки размером 647 Мб и 5.4 Гб.

Дистрибутив содержит интегрированный в один установочный образ комплекс средств для быстрого развёртывания в школах как серверов, так и рабочих станций, при этом поддерживаются стационарные рабочие места в компьютерных классах и переносные системы. Debian Edu из коробки адаптирован для организации компьютерных классов на базе бездисковых рабочих станций и тонких клиентов, загружающихся по сети. В дистрибутиве предусмотрено несколько видов рабочих окружений, позволяющих использовать Debian Edu как на новейших ПК, так и на устаревшем оборудовании. На выбор предлагаются рабочие окружения на базе KDE Plasma, GNOME, LXDE, MATE и Xfce. В базовой поставке представлено более 60 обучающих пакетов.

Обсуждение (30 +10) | Тип: Программы |
18.06.2017 Увидел свет Debian GNU/Hurd 2017 (36 +24)
  Представлен релиз Debian GNU/Hurd 2017, редакции дистрибутива Debian 9.0 "Stretch", сочетающей программное окружение Debian c ядром GNU/Hurd. Репозиторий Debian GNU/Hurd включает примерно 80% пакетов от общего размера архива Debian, в том числе портированы Firefox и Xfce 4.12.

Debian GNU/Hurd и Debian GNU/KFreeBSD являются единственными платформами Debian, созданными на базе ядра, отличного от Linux. Платформа GNU/Hurd не вошла в число официально поддерживаемых архитектур Debian 9, поэтому релиз Debian GNU/Hurd 2017 выпущен отдельно и имеет статус неофициального выпуска Debian. Готовые сборки, снабжённые специально созданным графическим инсталлятором, и пакеты в настоящее время доступны только для архитектуры i386. Для загрузки подготовлены установочные образы NETINST, CD и DVD, а также образ для запуска в системах виртуализации.

GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры.

В новом выпуске ядро GNU Hurd и микроядро GNU Mach обновлены до последних версий 0.9 и 1.8, примечательных заметным повышением стабильности и переработанной системой управления памятью. Значительно расширены возможности утилиты fakeroot, которую можно использовать для быстрой и безопасной сборки пакетов. В качестве варианта легковесной виртуализации добавлена поддержка запуска вложенных hurd-окружений от непривилегированного пользователя. Добавлена поддержка работы с более чем 3 Гб ОЗУ.

  1. OpenNews: Релиз GNU Hurd 0.9
  2. OpenNews: Доступен Debian GNU/Hurd 2015
  3. OpenNews: Увидел свет GNU Hurd 0.7
  4. OpenNews: Увидел свет GNU Hurd 0.8
  5. OpenNews: Релиз Debian 9 "Stretch"
Обсуждение (36 +24) | Тип: Программы |
17.06.2017 Второй бета-выпуск FreeBSD 11.1 (26 +12)
  Подготовлен второй бета-выпуск FreeBSD 11.1. Выпуск FreeBSD 11.1-BETA2 доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BANANAPI, BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, GUMSTIX, RPI-B, RPI2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 11.1 запланирован на 26 июля.

С новшествами FreeBSD 11.1 можно ознакомиться в анонсе первого бета-выпуска. По сравнению с первым бета-выпуском в FreeBSD 11.1-BETA2 отмечены следующие изменения:

  • В bsdinstall обеспечено сохранение настроек ZFS min_auto_ashift и добавлен режим автоматической конфигурации ZFS для систем ARM64;
  • Обеспечена возможность использования системных вызовов cpuset_getaffinity(2) и cpuset_setaffinity(2) в режиме capabilities;
  • Утилита bmake обновлена до версии 20170510;
  • Команда 'locate all off' в sesutil теперь корректно отключает светодиоды на пустых ses-слотах;
  • Драйвер msk(4) обновлён для корректного использования MSI (message signalled interrupts) на системах Softiron Overdrive 1000;
  • Драйвер pcib(4) обновлён для использования серийных номеров вместо GUID для устройств, прикреплённых к виртуальным машинам Hyper-V;
  • Устранено потенциальное разыменование нулевого указателя и проблемы с размером буфера в коде RPC;
  • В SMBFS решены проблемы с сохранёнными паролями, длиной больше 18 символов;
  • Устранена порция проблем, связанных со сбросом страниц памяти в раздел подкачки;
  • В утилите top изменен расчёт степени сжатия ZFS ARC и исключена лишняя статистика, уже учтённая в других счётчиках;
  • Решены потенциальные проблемы при передаче файлов больше 4 Гб на 32-разрядных системах.

  1. OpenNews: Началось бета-тестирование FreeBSD 11.1
  2. OpenNews: Отчёт о развитии FreeBSD за первый квартал 2017 года
  3. OpenNews: Intel усиливает поддержку проекта FreeBSD
  4. OpenNews: Отчёт о развитии FreeBSD за четвёртый квартал 2016 года
  5. OpenNews: Релиз FreeBSD 11.0
Обсуждение (26 +12) | Тип: Программы |
17.06.2017 В основные нестабильные сборки KDE Neon Developer Edition добавлена поддержка Wayland (65 +12)
  Разработчики проекта KDE Neon, в рамках которого формируются Live-сборки с актуальными версиями программ и компонентов KDE, объявили об интеграции поддержки сеанса на базе Wayland в основные сборки нестабильных выпусков для разработчиков (unstable-ветка Developer Edition), формируемых на основе срезов из Git-репозиториев KDE. Ранее на базе Wayland формировались отдельные сборки, теперь сборки на базе X11 и Wayland объединены и пользователь может выбрать X11 или Wayland во время входа в систему.

Отмечается, что сеанс на базе Wayland уже вполне пригоден для работы, но по умолчанию он не предлагается из-за невозможности использования с некоторыми графическими картами и проблематичности организации отката в случае несовместимости оборудования с Wayland. Из ограничений упоминается несоответствие размера шрифтов для разных сеансов и невозможность использования средней кнопки мыши для вставки из буфера обмена.

  1. OpenNews: Первая LTS-сборка дистрибутива KDE neon User Edition
  2. OpenNews: Ошибка в настройке репозитория KDE Neon могла привести к подмене пакетов
  3. OpenNews: Нестабильные сборки KDE Neon Developer Edition переходят по умолчанию на Wayland
  4. OpenNews: Первая стабильная сборка KDE neon User Edition
Обсуждение (65 +12) | Тип: Программы |
17.06.2017 Выпуск Nuitka 0.5.26, компилятора для языка Python (30 +19)
  Представлен новый выпуск проекта Nuitka, в рамках которого развивается компилятор, позволяющий транслировать скрипт на языке Python в представление на C++, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.x и 3.x. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 258%. Код проекта распространяется под лицензией Apache.

Ключевыми улучшениями новой версии является обеспечение базовой поддержки Python 3.6, улучшена генерация кода, специфичного для Си, добавлена опция "--python-arch", обеспечена поддержка дополнительных конфигураций virtualenv, началась реализация системы генерации Си-кода для типа bool. Реализована большая порция оптимизаций, в некоторых случаях наблюдается снижение потребления памяти на 40%.

  1. OpenNews: Релиз PyPy 5.8, реализации Python, написанной на языке Python
  2. OpenNews: Разработка Python переведена на GitHub
  3. OpenNews: Google представил Grumpy, транслятор кода Python на язык Go
  4. OpenNews: Выпуск языка программирования Python 3.6
  5. OpenNews: Выпуск Pyston 0.6, реализации языка Python с JIT-компилятором
Обсуждение (30 +19) | Тип: Программы |
16.06.2017 Релиз системы управления коллекцией электронных книг Calibre 3.0 (31 +14)
  Представлен выпуск приложения Calibre 3.0, автоматизирующего основные операции по поддержанию коллекции электронных книг. Calibre позволяет осуществлять навигацию по библиотеке, чтение книг, преобразование форматов, синхронизацию с портативными устройствами на которых осуществляется чтение, просмотр новостей о появлении новинок на популярных web-ресурсах. В состав также входит реализация сервера для организации доступа к домашней коллекции из любой точки Сети.

В новой версии полностью переработан сервер доступа к контенту (Content Server), который позволяет со смартфона, планшета или любого устройства с браузером удалённо просматривать личную коллекцию и читать присутствующие в ней книги, в том числе поддерживается и режим чтения в offline. Для включения сервера в локальном приложении следует нажать кнопку Connect/share, после чего можно работать с программой через web-интерфейс (порт 8080).

Из других улучшений отмечается поддержка экранов с высокой плотностью пикселей (high DPI), незначительная модернизация интерфейса пользователя, новая заставка и возможность подключения тем оформления с разным набором пиктограмм (Preferences → Look & feel → Icon theme). В дополнение к ранее доступной возможности преобразования документов из формата Microsoft Word (DOCX) в новой версии появилась поддержка преобразования любых форматов электронных книг в DOCX.

  1. OpenNews: Релиз системы управления коллекцией электронных книг Calibre 2.0
  2. OpenNews: Увидел свет текстовый процессор AbiWord 3.0
  3. OpenNews: Вышла Calibre 1.0, система управления коллекцией электронных книг
Обсуждение (31 +14) | Тип: Программы |
16.06.2017 Выпуск легковесного дистрибутива antiX 16.2 (31 +7)
  Состоялся релиз легковесного Live-дистрибутива AntiX 16.2, построенного на пакетной базе Debian и ориентированного для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 8.8 (Jessie), но поставляется без системного менеджера systemd. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM, но на выбор также предлагается fluxbox, jwm и herbstluftwm. Для работы с файлами предлагаются Midnight Commander, spacefm и rox-filer. Дистрибутив работоспособен на системах с 256 Мб ОЗУ. Размер iso-образа 718 Мб.

В antiX 16.2 поставляется кастомизированное ядро Linux 4.4.10 с заставкой fbcondecor. В поставку входят: libreoffice 4.3.3-2, firefox-esr 52.2.0, claws-mail 3.13.0, xmms, gnome-mplayer, просмотрщик YouTube smtube 17.1.0, приложение для потокового видеовещания streamlight-antix, конвертеры мультимедийных форматов winff и asunder, сетевые конфигураторы wicd, ceni и gnome-ppp, редакторы geany, leafpad и mcedit, утилиты для создания загрузочных Live-снапшотов рабочей системы (iso-snapshot, remaster, Unetbootin и antix2usb), интерфейс для сканирования документов simple-scan, торрент-клиент transmission-gtk, утилита для передачи файлов по сети droopy-antix, установщик пакетов install-meta-antix, конфигуратор antiX Control Centre.

  1. OpenNews: Выпуск легковесного дистрибутива antiX 16.1
  2. OpenNews: Выпуск легковесного дистрибутива antiX 16
  3. OpenNews: Новая версия дистрибутива antiX 15
Обсуждение (31 +7) | Тип: Программы |
16.06.2017 Вышло обновление LEDE 17.01.2, форка дистрибутива OpenWrt (23 +16)
  Вышло корректирующее обновление LEDE 17.01.2 (Linux Embedded Development Environment), дистрибутива для применения в сетевых устройствах, таких как маршрутизаторы и точки доступа. Сборки подготовлены для 31 целевой платформы.

Основные новшества:

  • Ядро Linux обновлено до версии 4.4.71 (с 4.4.61 в LEDE 17.01.1);
  • Исправлено ограничение мощности передатчика для ath9k;
  • Разные исправления для драйвера rt2x00;
  • Разные исправления для odhcpd;
  • Разные исправления в межсетевом экране;
  • Исправления безопасности в Samba, Dropbear, OpenVPN и ядре Linux
  • Исправления в платформах ar71xx, bcm53xx, brcm63xx, ipq806x, lantiq, ramips и x86.

  1. OpenNews: Разработчики OpenWrt и LEDE рассматривают план слияния проектов
  2. OpenNews: Выпуск LEDE 17.01, форка дистрибутива OpenWrt
Обсуждение (23 +16) | Автор: Аноним | Тип: Программы |
15.06.2017 Предварительный выпуск платформы Android Things Developer Preview 4.1 (7 +2)
  Компания Google опубликовала Android Things Developer Preview 4.1, очередной предварительный выпуск редакции платформы Android для потребительских интернет-устройств, относящихся к категории интернет вещей (IoT). Android Things даёт возможность быстро создавать умные устройства, используя API платформы Android и сервисы Google. Продукт доступен для тестирования на аппаратных платформах Intel Edison, Intel Joule, NXP Argon, NXP Pico и Raspberry Pi 3. Для адаптации платформы для других устройств предлагается базовый набор поддержки оборудования (BSP, Board Support Package).

Особенностями Android Things является прямая доставка обновлений через инфраструктуру Google, использование коммуникационной платформы Weave для организации связи между устройствами и взаимодействия с сервисами Google, средства для управления устройствами без экрана, применение cуществующих решений для разработки приложений (Android Studio, Android SDK, Google Play, Google Cloud), предоставление Peripheral I/O API для взаимодействия с датчиками и приводами (GPIO, PWM, I2C, SPI и UART), типовой набор приложений (календарь-планировщик, адресная книга, работа с документами, менеджер загрузок, медиабиблиотека, настройки, телефония, система подсказок при вводе и голосовая почта).

В новой версии проведена оптимизация скорости загрузки на плате NXP Pico i.MX7D. В состав включена специально оптимизированная версия Google Play Services. Представлена новая модель платы Pico i.MX6UL (revision B), в которой поддерживается многие внешние периферийные устройства от таких производителей, как Adafruit и Pimoroni.

  1. OpenNews: Третий предварительный выпуск платформы Android Things
  2. OpenNews: Google представил Android Things, ОС для интернета вещей
  3. OpenNews: Google представил прослойку для отделения поддержки оборудования от версий Android
  4. OpenNews: Google представил Android Go, платформу для телефонов с небольшим ОЗУ
  5. OpenNews: Третий предварительный выпуск Android 8
Обсуждение (7 +2) | Тип: Программы |
15.06.2017 Выпуск web-браузера Vivaldi 1.10 (82 –10)
  Доступен выпуск проприетарного web-браузера Vivaldi 1.10, разрабатываемого на базе движка Chromium и продолжающего развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией.

Основные новшества:

  • Расширены возможности по изменению настроек и оформления экспресс-панели, на которой можно размещать ссылки на избранные сайты, выборку истории посещений и закладки. В новой версии появилась поддержка группировки тематических блоков для экспресс-панели, например, можно подготовить подборки закладок определённой тематики. Вместо скриншотов страниц к эскизам страниц теперь можно прикреплять произвольные изображения. Добавлена поддержка настройки числа столбцов в экспресс-панели и режим свободного заполнения всего имеющегося свободного пространства;
  • Добавлена возможность закрепления инструментов для разработчика в основном окне браузера, справа, слева или снизу от контента (ранее инструменты отображались в отдельном окне);
  • В менеджер загрузок добавлена поддержка сортировки загруженных данных по названию, размеру и по дате загрузки;
  • Добавлена функция быстрого отключения изображений через меню View или горячую клавишу;
  • Расширены возможности назначения быстрых команд для пользователей, предпочитающих управление всеми аспектами работы браузера с клавиатуры. Через быстрые команды теперь можно перемещаться между вкладками, осуществлять поиск, отфильтровывать списки доступных команд и т.п.
  • Из выпадающего в адресной строке списка рекомендуемых ссылок теперь можно исключить закладки и историю введённых ссылок;
  • Добавлена возможность создания дополнений с реализацией привязанной ко вкладкам функциональности (например, можно создавать специализированные типы вкладок, подобные экспресс-панели).

  1. OpenNews: Выпуск web-браузера Chrome 59
  2. OpenNews: Google представил план интеграции блокировщика рекламы в Chrome
  3. OpenNews: Выпуск web-браузера Vivaldi 1.7
  4. OpenNews: Выпуск web-браузера Vivaldi 1.8
  5. OpenNews: Выпуск web-браузера Vivaldi 1.9
Обсуждение (82 –10) | Тип: Программы |
15.06.2017 Эксперимент по удалённому запуску кода на принтере (52 +24)
  Якоб Бейнс (Jacob Baines), участвующий в разработке сетевого сканера безопасности Nessus, опубликовал статью, в которой показал печальное состояние с защитой сетевых принтеров. После покупки новых офисных принтеров HP OfficeJet Pro 8210 Якоб обнаружил, что они укомплектованы устаревшей прошивкой, в которой производителем отмечена уязвимость CVE-2017-2741, а автоматическая установка обновлений отключена в настройках.

Производитель приводит только общие сведения об уязвимости CVE-2017-2741, не раскрывая детали. Исследователя насторожило, что проблеме присвоен критический уровень опасности (9.8 из 10) и упоминается, что потенциально проблема может привести к удалённому выполнению кода, поэтому он решил самостоятельно проанализировать защищённость своего принтера. В итоге, было выявлено, что на сетевом порту 9100 принтер без ограничения принимает команды на языке PJL (Printer Job Language). Доступ к файловой системе ограничен каталогами tmp/ и csr_misc/, но данное ограничение тривиально обходится через передачу символов "../" в составе пути, например, для доступа к файлу с паролями можно выполнить команду "@PJL FSUPLOAD NAME="../../etc/passwd".

Более того, некоторые системные директории оказались доступны на запись, что позволило разместить собственный скрипт инициализации в директории "/rw/var/etc/profile.d/", который был запущен во время перезапуска принтера. Например, удалось успешно загрузить и запустить бэкдор для удалённого входа на принтер с правами root:



    $ python printer_exploit.py 192.168.1.158 9100
    connecting to 192.168.1.158 port 9100
    @PJL FSQUERY NAME="0:/../../rw/var/etc/profile.d/lol.sh" TYPE=FILE SIZE=119
    Done! Try port 1270 in ~30 seconds
    albinolobster@ubuntu:~$ nc 192.168.1.158 1270
    whoami
    root

  1. OpenNews: В прошивке сетевых принтеров Samsung и Dell найден бэкдор
  2. OpenNews: Методы борьбы с уязвимостями в современных принтерах могут привести к появлению новой угрозы
  3. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
  4. OpenNews: В оборудовании Siklu EtherHaul выявлен общедоступный root-бэкдор
  5. OpenNews: Офисная техника может стать причиной утечки информации
Обсуждение (52 +24) | Тип: Программы |
15.06.2017 Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранением уязвимости (2 +4)
  Доступны корректирующие выпуски почтового сервера Postfix - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с 3.0 по 4.6.

Проблема проявляется в Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла ./DB_CONFIG в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл конфигурации DB_CONFIG и организовать эксплуатацию уязвимостей в обработчике Berkeley DB. Проблема решена через создание и заполнение структуры DB_ENV в файле dict_db.c (если структура DB_ENV создана, то файл ./DB_CONFIG не читается).

В новых версиях Postfix также устранено несколько ошибок, связанных с поддержкой протокола Milter, неверной установкой MIME-типа для служебных сообщений от Postfix, игнорированием проверок check_sender_access и check_recipient_access при изменении опции parent_domain_matches_subdomains.

  1. OpenNews: Релиз почтового сервера Postfix 3.2.0
  2. OpenNews: Релиз почтового сервера Postfix 3.1.0
  3. OpenNews: Увидел свет почтовый сервер Postfix 3.0.0
  4. OpenNews: Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей
Обсуждение (2 +4) | Тип: Проблемы безопасности |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList