The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·26.03 Let's Encrypt внедрил расширение для координации обновления сертификатов (96 +34)
  Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта.

До внедрения ARI клиент сам определял политику обновления сертификата, например, периодически запуская процесс обновления через Cron или принимая решения на основе разбора времени жизни сертификата. Подобный подход приводил к трудностям при необходимости досрочного отзыва сертификатов, например, приходилось связываться с пользователями по email и вынуждать их выполнять ручное обновление.

Расширение ARI позволяет клиенту определить рекомендуемое время обновления сертификата, не привязываться к 90-дневному времени жизни сертификатов и не беспокоиться, что может быть пропущен внеплановый отзыв сертификта. Например, в случае досрочного отзыва через ARI обновление может быть инициировано не через 90, а через 60 дней. Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let's Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры.


     GET https://example.com/acme/renewal-info/

     "suggestedWindow": {
       "start": "2023-03-27T00:00:00Z",
       "end": "2023-03-29T00:00:00Z"
     },

  1. Главная ссылка к новости
  2. OpenNews: Let's Encrypt отзывает 2 млн сертификатов из-за проблем в реализации TLS-ALPN-01
  3. OpenNews: Умер Питер Экерсли, один из основателей Let's Encrypt
  4. OpenNews: Массовый отзыв сертификатов Let's Encrypt
  5. OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
  6. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Обсуждение (96 +34) | Тип: К сведению |


·26.03 Выпуск дистрибутива Slackel 7.6 (56 +4)
  Опубликован выпуск дистрибутива Slackel 7.6, построенного на наработках проектов Slackware и Salix, и полностью совместимого с предлагаемыми в них репозиториями. Ключевой особенностью Slackel является использование постоянно обновляемой ветки Slackware-Current. Графическое окружение основано на оконном менеджере Openbox. Размер загрузочного образа, способного работать в Live-режиме, 2.6 ГБ (i386 и x86_64). Дистрибутив может использоваться на системах с 512 МБ ОЗУ.

Новый выпуск синхронизирован с current-веткой Slackware и поставляется с ядром Linux 6.1. Обновлены версии программ, например, firefox 111, thunderbird 102.9.0, exaile 4.1.1, smtube 21.10.0, smplayer 22.7.0, MPlayer 20221009, libreoffice 7.5.1.2, filezilla 3.58.0, pidgin 2.14.12, transmission 2.94, gimp 2.10.34. В состав включена поддержка пакетов в формате flatpak. Предложены новые версии развиваемых проектом приложений: конфигуратора slackel control-center-3.0, а также графических интерфейсов для обновления ядра в установках, использующих внутренний диск (install-upgrade-kernel) и внешний USB-носитель (install-upgrade-kernel-ext-usb). Добавлено приложение Instonusb-2.0 для создания live-сборок.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива Slackel 7.5
  3. OpenNews: Релиз дистрибутива Slackware 15.0
  4. OpenNews: Релиз дистрибутива Slax 15, вернувшегося на пакетную базу Slackware
Обсуждение (56 +4) | Тип: Программы |


·25.03 Запуск пакетной инфраструктуры SerpentOS (19 +3)
  Разработчики SeprentOS сообщили об успешном развёртывании инфраструктуры, к которой открыт публичный доступ. Инфраструктура состоит из трёх основных компонентов:
  • Summit - компонент для мониторинга Git-репозиториев с рецептами пакетов и автоматического создания сборочных заданий. Разработчики отмечают, что Summit использует граф зависимостей для эффективной сборки в параллельном режиме.
  • Avalanche - компонент сборки рецептов пакетов.
  • Vessel - компонент хранения бинарных пакетов.

Напоминаем, что SeprpentOS - это проект Айки Доэрти (Ikey Doherty), создателя дистрибутива Solus, и Джошуа Стробла (Joshua Strobl), ключевого разработчика рабочего стола Budgie. Дистрибутив основывается на пакетом менеджере moss, который заимствует многие современные возможности, развиваемые в таких пакетных менеджерах, как eopkg/pisi, rpm, swupd и nix/guix, сохраняя при этом традиционный взгляд на манипуляцию пакетами и использующий сборку в режиме stateless по умолчанию. Пакетный менеджер использует атомарную модель обновления системы, при которой фиксируется состояние rootfs, а после обновления состояние переключается на новое.

  1. Главная ссылка к новости
  2. OpenNews: Инструментарий SerpentOS доступен для тестирования
  3. OpenNews: Джошуа Стробл ушёл из проекта Solus и будет отдельно развивать рабочий стол Budgie
  4. OpenNews: Выпуск дистрибутива Solus 4.3, развивающего рабочий стол Budgie
  5. OpenNews: Джошуа Стробл ушёл из проекта Solus и будет отдельно развивать рабочий стол Budgie
  6. OpenNews: Выпуск окружения рабочего стола Budgie 10.7
Обсуждение (19 +3) | Автор: Аноним | Тип: К сведению |


·25.03 На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu (90 +23)
  Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.

На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Проблемы были вызваны двойным освобождением памяти (одна премия 30 тысяч долларов), обращением к памяти после освобождения (одна премии 30 тысяч долларов), некорректной работой с указателями (одна премия 30 тысяч долларов). В двух демонстрациях были использованы уже известные, но не исправленные уязвимости (две премии по 15 тысяч долларов). Кроме того, была предпринята шестая попытка атаки на Ubuntu, но эксплоит не сработал.

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Другие успешные атаки:

  • Три взлома Oracle VirtualBox, в которых использовались уязвимости, вызванные обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера (две премии по 40 тысяч долларов и одна премия 80 тысяч долларов за эксплоит из 3 уязвимостей, позволивший выполнить код на стороне хоста).
  • Повышение привилегий в Apple macOS (премия 40 тысяч долларов).
  • Две атаки на Microsoft Windows 11, позволившие повысить свои привилегии (премии по 30 тысяч долларов). Уязвимости были вызванны обращением к памяти после освобождения и некорректной проверкой входных данных.
  • Атака на Microsoft Teams с использованием в эксплоите цепочки из двух ошибок (премия 75 тысяч долларов).
  • Атака на Microsoft SharePoint (премия 100 тысяч долларов).
  • Атака на VMWare Workstation, в которой использовано обращение к памяти после освобождения и неинициализированная переменная (премия 80 тысяч долларов).
  • Выполнение кода при обработке контента в Adobe Reader. Для атаки, обхода sandbox и обращения к запрещённому API использована сложная цепочка из 6 ошибок (премия 50 тысяч долларов).
  • Две атаки на информационно-развлекательную систему автомобиля Tesla и Gateway Tesla, позволившие получить root доступ. Размер первой премии составил 100 тысяч долларов и автомобиль Tesla Model 3, а второй - 250 тысяч долларов.

  1. Главная ссылка к новости
  2. OpenNews: На соревновании Pwn2Own 2022 продемонстрировано 5 взломов Ubuntu
  3. OpenNews: На соревновании Pwn2Own в Торонто продемонстрированы эксплоиты для 63 новых уязвимостей
  4. OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
  5. OpenNews: На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox
  6. OpenNews: В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu
Обсуждение (90 +23) | Тип: К сведению |


·25.03 Выпуск операционной системы MidnightBSD 3.0 (46 +11)
  Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 3.0, основанной на FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 1 ГБ (i386, amd64).

В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7 и впоследствии вобрал в себя многие возможности из веток FreeBSD 9-12. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и метаданных. Установка, удаление и поиск пакетов осуществляется при помощи единой команды mport.

Новый выпуск примечателен переносом исправлений и новых возможностей из ветки FreeBSD 12. Основные новшества:

  • Пакетный менеджер mport обновлён до версии 2.2.7.
  • Предоставлена возможность запуска скрипта /etc/rc.final после завершения всех пользовательских процессов.
  • Перенесены изменения и исправления во многие утилиты, включая automount, bectl, bhyve, cmp, cpuset, daemon, fstyp, geli, grep, growfs, kldxref, mergemaster, mksnap_ffs, mountd, newsyslog, rtsold, service, wpl_cli, msdosfs, pf, devd.
  • В утилиту growfs добавлена возможность работы с разделами, примонтированными в режиме чтения и записи.
  • В утилите mount обеспечен показ сведений о квотах.
  • В пакетном фильтре ipfw реализована утилита dnctl для управления конфигурацией системы ограничения трафика dummynet.
  • Добавлен sysctl kern.crypto для управления криптоподсистемой ядра, а также отладочный sysctl debug.uma_reclaim.
  • Netgraph-узел ng_bridge адаптирован для SMP-систем. В узле ng_nat добавлена поддержка CGN (Carrier Grade NAT, RFC 6598). Предоставлена возможность подстановки узла ng_source в любую часть Netgraph-сети.
  • В интерфейс vlan добавлена поддержка системы приоритизации трафика и управления пропускной способности ALTQ.
  • Улучшена поддержка NFSv4.
  • В библиотеку fetch добавлена поддержка проксирования FTP поверх HTTPS.
  • В rc.conf добавлена переменная "linux_mounts_enable", отвечающая за монтирование специфичных для Linux файловых систем в иерархию "/compat/linux" при включении эмуляции Linux (linux_enable=YES).
  • В утилиту cron добавлена поддержка новых флагов в crontab: "-n" и "-q" для отключения отправки писем при запуске задания и отключения записи в лог информации о выполненных командах.
  • В ядре изменено поведение системного вызова read, который теперь по умолчанию неприменим к каталогам. Для возвращения старого поведения предложен sysctl security.bsd.allow_read_dir.
  • Добавлена поддержка интерфейса APEI (ACPI Platform Error Interfaces), через который чипсет передаёт операционной системе сведения об аппаратных ошибках, например, ошибках PCIe при подключении оборудования.
  • В сетевой стек добавлена поддержка NAT64 CLAT (RFC6877).
  • Реализован системный вызов getrandom, который позволяет получить значения от системного генератора псевдослучайных чисел через обращение к системному вызову, что обеспечивает надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов (при отсутствии свободных дескрипторов невозможно задействовать /dev/urandom). Также добавлена библиотека getentropy, совместимая с реализациями из Linux и OpenBSD.
  • Библиотека pthread приведена в соответствие со стандартом POSIX/SUSv4-2018.
  • В загрузчике добавлена возможность загрузки операционной системы с ram-диска, а также реализована поддержка ZFS-опций com.delphix:bookmark_written и com.datto:bookmark_v2.
  • Добавлен sysctl net.inet.tcp.tolerate_missing_ts, допускающий TCP-пакеты без временных меток (опция timestamp, RFC 1323/RFC 7323).
  • Значительно расширена поддержка оборудования, например, добавлена поддержка Mikrotik 10/25G, Microchip LAN78xx USB3-GigE, Intel I225 Ethernet, Intel Killer Wireless-AC 1550i, ASUS WL-167G V3, Mercusys MW150US (N150 Nano), TP-Link Archer T2U v3, D-Link DWA-121 (N150 Nano), D-Link DWA-130, датчиков температуры AMD M20h (Dali, Zen1), M60H (Renoir, Zen2), M90H (Van Gogh, Zen2), Zen 3.
  • Обновлены сторонние компоненты: OpenSSL 1.1.1s, sqlite3 3.40.1, subversion 1.14.2, less 551, tzdata 2022g, expat 2.5.0, unbound 1.16.2, libarchive 3.6.0, nvi 2.20, bmake 20200710, wpa 2.10.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск операционной системы MidnightBSD 2.2
  3. OpenNews: Сервер проекта MidnightBSD подвергся взлому
  4. OpenNews: Выпуск дистрибутива NomadBSD 131R-20221130
  5. OpenNews: Проект DiscoBSD развивает BSD-систему для микроконтроллеров
  6. OpenNews: Выпуск BSD-системы helloSystem 0.8.1, развиваемой автором AppImage
Обсуждение (46 +11) | Тип: Программы |


·25.03 Уязвимости в Apache OpenOffice (20 +8)
  Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14):
  • CVE-2022-47502 - атакующий может разместить в документе ссылку, вызывающую макрос с произвольными аргументами, и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Проблеме присвоен критический уровень опасности.
  • CVE-2022-38745 - OpenOffice может быть настроен для добавления пустого пути поиска Java-классов, что может быть использовано для запуска произвольного Java-кода, размещённого в текущем каталоге. Проблеме присвоен умеренный уровень опасности.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом
  3. OpenNews: Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости
  4. OpenNews: Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
  5. OpenNews: Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice
  6. OpenNews: Выпуск Apache OpenOffice 4.1.14
Обсуждение (20 +8) | Тип: Проблемы безопасности |


·25.03 Проект Wine опубликовал Vkd3d 1.7 с реализацией Direct3D 12 (41 +14)
  Проект Wine опубликовал выпуск пакета vkd3d 1.7 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором 4 и 5 модели шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1.

Библиотека libvkd3d поддерживает большую часть возможностей Direct3D 12, включая средства для графики и вычислений, очереди и списки команд, дескрипторы и дескрипторы кучи, корневые сигнатуры, неупорядоченный доступ, Sampler-ы, сигнатуры команд, корневые константы, непрямую (indirect) отрисовку, методы Clear*() и Copy*(). В libvkd3d-shader реализована трансляция байткода 4 и 5 моделей шейдеров в промежуточное представление SPIR-V. Поддерживаются вершинные, пиксельные, тесселяционные, вычислительные и простые геометрические шейдеры, сериализация и десериализация корневой сигнатуры. Из шейдерных инструкций реализованы арифметические, атомарные и битовые операции, операторы сравнения и управления потоком передачи данных, инструкции sample, gather и load, операции неупорядоченного доступа (UAV, Unordered Access View).

В новой версии:

  • Продолжена работа по улучшению компилятора шейдеров на языке HLSL (High-Level Shader Language):
    • Добавлена возможность вызова пользовательских функций и использования массивов в качестве параметров пользовательских функций.
    • Добавлена поддержка параметров SV_DispatchThreadID, SV_GroupID и SV_GroupThreadID.
    • Добавлены встроенные функции all(), distance(), exp(), exp2(), frac(), lit(), reflect(), sin(), cos(), smoothstep(), sqrt(), rsqrt(), step(), transpose().
    • Добавлена начальная поддержка типов низкой точности с плавающей запятой, таких как "min16float".
  • Значительно улучшена поддержка профилей модели шейдеров Direct3D 1/2/3.
  • Добавлен публичный API для разбора (vkd3d_shader_parse_dxbc) и сериализации (vkd3d_shader_serialize_dxbc) бинарных данных DXBC.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск VKD3D-Proton 2.8, форка Vkd3d с реализацией Direct3D 12
  3. OpenNews: Релиз vkd3d 1.6
  4. OpenNews: Проект Wine опубликовал Vkd3d 1.5 с реализацией Direct3D 12
  5. OpenNews: Компания Valve выпустила Proton 7.0-6, пакет для запуска Windows-игр в Linux
  6. OpenNews: Выпуск Wine 8.4 с начальной поддержкой Wayland
Обсуждение (41 +14) | Тип: Программы |


·25.03 Docker Hub отменил решение об упразднении бесплатного сервиса Free Team (66 +10)
  Компания Docker объявила об отмене ранее принятого решения о прекращении действия сервиса по подписке "Docker Free Team", позволяющего организациям, курирующим открытые проекты, бесплатно размещать образы контейнеров в каталоге Docker Hub, организовать работу команд и использовать приватные репозитории. Сообщается, что пользователи "Free Team" могут продолжить работу в прежнем режиме и не опасаться ранее намеченного удаления их учётных записей.

Пользователям, с 14 по 24 марта перешедшим с "Free Team" на платные тарифы, будут возвращены потраченные средства и предоставлена возможность бесплатного использования выбранного тариф на оплаченный срок (далее пользователь может вернуться на бесплатный тариф "Free Team"). Пользователи, запросившие переход на упрощённую персональную подписку или тариф Pro, будут оставлены на бесплатном тарифном плане Free Team.

Ранее пользователям "Docker Free Team" было предложено перейти на платные сервисы, перевести свои учётные записи на более простой персональный тип подписки или заполнить заявку на участие в инициативе Docker-Sponsored Open Source Program, позволяющей получить бесплатный доступ к Docker Hub для активно обновляемых открытых проектов, соответствующих критериям Open Source Initiative, развиваемых в публичных репозиториях и не получающих коммерческой выгоды от своих разработок.

  1. Главная ссылка к новости
  2. OpenNews: Docker Hub упраздняет бесплатный сервис для организаций, развивающих открытые проекты
  3. OpenNews: В Docker Hub выявлено 1600 вредоносных образов контейнеров
  4. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 20.10
  5. OpenNews: Уязвимости в сканерах безопасности образов Docker-контейнеров
  6. OpenNews: Уязвимость в Docker, позволяющая выбраться из контейнера
Обсуждение (66 +10) | Тип: К сведению |


·24.03 GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий (18 +13)
  GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Утечка коснулась только ключа RSA, хостовые SSH-ключи ECDSA и Ed25519 продолжают оставаться безопасными. Попавший в открытый доступ хостовый SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH.

Для исключения возможного перехвата сеансов SSH к GitHub в случае попадания RSA-ключа в руки злоумышленников, GitHub инициировал процесс замены ключа. На стороне пользователей требуется удаление старого открытого ключа GitHub (ssh-keygen -R github.com) или ручная замена ключа в файле ~/.ssh/known_hosts, что может нарушить работу автоматически выполняемых скриптов.

  1. Главная ссылка к новости
  2. OpenNews: GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
  3. OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
  4. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
  5. OpenNews: Выявлена порция уязвимых SSH-ключей доступа к GitHub
  6. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Обсуждение (18 +13) | Тип: Проблемы безопасности |


·24.03 Уязвимость в OverlayFS, позволяющая повысить свои привилегии (33 +11)
  В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Атака производится через копирование файлов с флагами setgid/setuid из раздела, примонтированного в режиме nosuid, в раздел OverlayFS, имеющий слой, связанный с разделом, допускающим выполнение suid-файлов. Уязвимость близка к проблеме CVE-2021-3847, выявленной в 2021 году, но отличается более низкими требованиями к эксплуатации - в старой проблеме требовались манипуляции с xattrs, которые ограничены при использования пространств имён идентификаторов пользователя (user namespace), а в новой проблеме используются биты setgid/setuid, которые специально не обрабатываются в user namespace.

Алгоритм совершения атаки:

  • При помощи подсистемы FUSE монтируется ФС, в которой имеется принадлежащий пользователю root исполняемый файл с флагами setuid/setgid, доступным всем пользователям на запись. При монтировании FUSE выставляет режим "nosuid".
  • Отменяются (unshare) пространства имён пользователей и точек монтирования (user/mount namespace).
  • Монтируется OverlayFS с указанием ранее созданной в FUSE ФС в качестве нижнего слоя и верхним слоем на базе каталога, допускающего возможность записи. Каталог верхнего слоя должен размещаться в ФС, при монтировании которой не используется флаг "nosuid".
  • Для suid-файла в FUSE-разделе утилитой touch меняется время модификации, что приводит к его копированию в верхний слой OverlayFS.
  • При копировании ядро не убирает флаги setgid/setuid, что приводит к тому, что файл появляется в разделе, допускающем обработку setgid/setuid.
  • Для получения прав root достаточно запустить файл с флагами setgid/setuid из каталога, прикреплённого к верхнему слою OverlayFS.

Дополнительно можно отметить раскрытие исследователями из команды Google Project Zero сведений о трёх уязвимостях, которые были исправлены в основной ветке ядра Linux 5.15, но не были перенесены в пакеты с ядром из RHEL 8.x/9.x и CentOS Stream 9.

  • CVE-2023-1252 - обращение к уже освобождённой области памяти в структуре ovl_aio_req при одновременном совершении нескольких операций в OverlayFS, развёрнутой поверх ФС Ext4. Потенциально уязвимость позволяет повысить свои привилегии в системе.
  • CVE-2023-0590 - обращение к уже освобождённой области памяти в функции qdisc_graft(). Предполагается, что эксплуатация ограничивается аварийным завершением.
  • CVE-2023-1249 - обращение к уже освобождённой области памяти в коде записи coredump, возникающее из-за пропущенного вызова mmap_lock в file_files_note. Предполагается, что эксплуатация ограничивается аварийным завершением.

  1. Главная ссылка к новости
  2. OpenNews: Критическая уязвимость в OverlayFS, позволяющая поднять свои привилегии в Ubuntu
  3. OpenNews: Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера
  4. OpenNews: Уязвимость в firejail, позволяющая получить root-доступ в системе
  5. OpenNews: В ядре Linux выявлены эксплуатируемые уязвимости в POSIX CPU timer, cls_route и nf_tables
  6. OpenNews: Код OverlayFS принят в состав ядра Linux 3.18
Обсуждение (33 +11) | Тип: Проблемы безопасности |


·24.03 Релиз Proxmox VE 7.4, дистрибутива для организации работы виртуальных серверов (110 +22)
  Опубликован релиз Proxmox Virtual Environment 7.4, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.1 ГБ.

Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).

В новом выпуске:

  • Улучшения в web-интерфейсе:
    • Реализована возможность включения тёмной темы оформления.
    • В древовидном списке ресурсов гостевые системы теперь могут быть отсортированы по имени, а не только по VMID.
    • В web-интерфейсе и API обеспечен показ детальной информации о Ceph OSD (Оbject Storage Daemon).
    • Добавлена возможность загрузки логов выполнения задач в форме текстовых файлов.
    • Расширены возможности редактирования работ, связанных с резервным копированием.
    • Предоставлена поддержка добавления локальных типов хранилищ, размещённых на других узлах кластера.
    • В мастер добавления хранилища для хранилищ на базе ZFS, LVM и LVM-Thin добавлен интерфейс выбора узла.
    • Обеспечен автоматический проброс HTTP-соединений на HTTPS.
    • Улучшен перевод интерфейса на русский язык.
  • Продолжено развитие планировщика ресурсов кластера (CRS, Cluster Resource Scheduling), выполняющего поиск новых узлов, необходимых для обеспечения высокой доступности. В новой версии добавлена возможность автоматической перебалансировки виртуальных машин и контейнеров на этапе запуска, а не только во время восстановления.
  • В менеджер обеспечения высокой доступности (HA Manager) добавлена команда CRM для ручного перевода активного узла в режим обслуживания (maintenance) без необходимости перезагрузки. В рамках подготовки к внедрению системы динамического планирования нагрузки в кластере, проведена унификация ресурсов (CPU, память) различных HA-сервисов (виртуальные машины, контейнеры).
  • В хранилище добавлена опция "content-dirs" для переопределения типа содержимого в определённых подкаталогах (например, iso-образы, шаблоны контейнеров, резервные копии, диски гостевых систем и т.п.).
  • Переработано вычисление ACL и существенно повышена производительность обработки правил управления доступом на системах с очень большим числом пользователей или большими списками ACL.
  • Предоставлена возможность отключения уведомления о появлении обновлений пакетов.
  • В установочном ISO-образе предоставлена возможность выбора часового пояса в процессе инсталляции для упрощения синхронизации территориально разделённых хостов или кластеров.
  • В LXC-контейнерах добавлена поддержка архитектур riscv32 и riscv64 (для работы требуется установка пакетов qemu-user-static и binfmt-support).
  • Обновлены версии систем в шаблонах контейнеров для архитектуры amd64.
  • Осуществлена синхронизация с пакетной базой Debian 11.6. По умолчанию предложено ядро Linux 5.15, опционально доступен выпуск 6.2. Обновлены QEMU 7.2, LXC 5.0.2, ZFS 2.1.9, Ceph Quincy 17.2.5, Ceph Pacific 16.2.11.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Proxmox VE 7.3, дистрибутива для организации работы виртуальных серверов
  3. OpenNews: Выпуск дистрибутива Proxmox Backup Server 1.1
  4. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 6.4
  5. OpenNews: Выпуск XCP-NG 8.2, свободного варианта Citrix Hypervisor
Обсуждение (110 +22) | Тип: Программы |


·24.03 Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя (128 +9)
  Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена уязвимость (CVE-2023-28686), позволяющая неавторизированному пользователю через отправку специально оформленного сообщения организовать добавление, изменение или удаление записей в персональных закладках другого пользователя без необходимости совершения жертвой каких-то действий. Кроме того, уязвимость позволяет изменить отображение групповых чатов или принудительно подключить или отключить пользователя от определённого группового чата, а также ввести пользователя в заблуждение для получения доступа к конфиденциальной информации.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск коммуникационного клиента Dino 0.4
  3. OpenNews: Уязвимости в Signal Desktop и в платформе Electron
  4. OpenNews: Попытка захвата учётных записей Signal через компрометацию SMS-сервиса Twilio
  5. OpenNews: В Cryptocat найдена серьёзная уязвимость, позволяющая получить доступ к зашифрованным сообщениям
  6. OpenNews: Представлен метод атаки на групповой чат WhatsApp и Signal
Обсуждение (128 +9) | Тип: Проблемы безопасности |


·23.03 Выпуск проприетарного драйвера NVIDIA 530.41.03 (41 +6)
  Компания NVIDIA представила выпуск новой ветки проприетарного драйвера NVIDIA 530.41.03. Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 530.x стала четвёртой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из состава NVIDIA 530.41.03, а также используемые в них общие компоненты, не привязанные к операционной системе, опубликованы на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными.

Основные новшества:

  • Добавлен профиль приложения для решения проблем с производительностью в Xfce 4 при использовании бэкенда OpenGL с включённым G-SYNC.
  • Добавлена поддержка перехода в спящий режим при использовании прошивки GSP.
  • Пиктограмма приложения nvidia-settings перемещена в тему пиктограмм hicolor, что позволяет менять пиктограмму через выбор других тем в пользовательском окружении.
  • Решена проблема с Wayland-приложениями на системах, использующих технологию PRIME для выноса операций отрисовки на AMD iGPU (PRIME Render Offload).
  • В установщике nvidia-installer прекращено использование переменной окружения XDG_DATA_DIRS (файлы с данными XDG теперь устанавливаются в /usr/share или в каталог, указанный через опцию --xdg-data-dir). Изменение решает проблему при установленном Flatpak, из-за которого файл nvidia-settings.desktop размещался в каталоге /root/.local/share/flatpak/exports/share/applications.
  • Формат сжатия пакета .run заменён с xz на zstd.
  • Обеспечена совместимость с ядрами Linux, собранных с включённым режимом защиты IBT (Indirect Branch Tracking).
  • Добавлены NV-CONTROL атрибуты NV_CTRL_FRAMELOCK_MULTIPLY_DIVIDE_MODE и NV_CTRL_FRAMELOCK_MULTIPLY_DIVIDE_VALUE для синхронизации карты Quadro Sync II с другими параметрами сигнала House Sync.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск проприетарного драйвера NVIDIA 525.60.11
  3. OpenNews: Компания NVIDIA открыла код видеодрайверов для ядра Linux
  4. OpenNews: Представлен NVK, открытый Vulkan-драйвер для видеокарт NVIDIA
  5. OpenNews: Компания NVIDIA опубликовала заголовочные файлы с данными для программирования 3D-движков
  6. OpenNews: Состояние поддержки Wayland в драйверах NVIDIA


·23.03 Обновление дистрибутива Ubuntu 20.04.6 LTS (61 +5)
  Опубликовано обновление дистрибутива Ubuntu 20.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 20.04.5.

Основной целью нового выпуска является обновление установочных образов для архитектуры amd64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения уязвимости в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 20.04 на системы с UEFI Secure Boot.

Использовать представленную сборку имеет смысл только для старого оборудования, а для новых систем более актуальным является выпуск Ubuntu 22.04.2 LTS. Системы, установленные ранее, могут получить все присутствующие в Ubuntu 20.04.6 изменения через штатную систему установки обновлений. Поддержка выпуска обновлений и исправлений проблем безопасности для серверной и десктоп редакций Ubuntu 20.04 LTS продлится до апреля 2025 года, после чего ещё 5 лет будут формироваться обновления в рамках отдельной платной поддержки (ESM, Extended Security Maintenance).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Ubuntu 22.04.2 LTS c обновлением графического стека и ядра Linux
  3. OpenNews: Выпуск Ubuntu 20.04.5 LTS c обновлением графического стека и ядра Linux
  4. OpenNews: Релиз дистрибутива Ubuntu 22.04 LTS
  5. OpenNews: Релиз дистрибутива Ubuntu 20.04 LTS
Обсуждение (61 +5) | Тип: Программы |


·23.03 Яндекс открыл YTsaurus, платформу для обработки и хранения больших объёмов данных (36 +7)
  Компания Яндекс объявила об открытии исходных текстов платформы распределённого хранения и обработки больших объёмов данных YTsaurus, поддерживающей манипуляцию данными с использованием парадигмы MapReduce, движка SQL-запросов, распределённой файловой системы и NoSQL-СУБД класса "ключ-значение". YTsaurus используется в инфраструктуре Яндекс для эффективного использования вычислительных мощностей суперкомпьютеров компании. Код проекта написан на языках C/C++ и открыт под лицензией Apache 2.0.

Платформа может масштабироваться до кластеров, включающих более 10 тысяч узлов и охватывающих до миллиона процессоров и тысяч GPU (для решения задач машинного обучения). В качестве образующих кластер единиц могут использоваться изолированные контейнеры, запускаемые на физических серверах. В хранилище могут находится эксабайты данных, размещённые на различных носителях, таких как жёсткие диски, SATA/SAS/NVMe SSD, а также в оперативной памяти. В кластере поддерживается динамическое добавление и удаление узлов, резервирование (нет единой точки отказа), автоматическая репликация, обновление кластерного ПО без остановки работы и автоматическое восстановление избыточности в случае выхода узлов из строя.

Поддерживается три вида кластеров: вычислительные (для массово-параллельной обработки при помощи операций MapReduce), для динамических таблиц в формате "ключ-значение" и геораспределённые. Сервис на базе платформы может предоставлять средства для хранения и обработки данных десятков тысяч пользователей. Среди типовых областей применения YTsaurus в Яндекс называется хранение информации о пользователях рекламной сети, обучение моделей машинного обучения, формирование поискового индекса и построение хранилищ данных для таких сервисов, как Яндекс Такси, Еда, Лавка и Доставки.

Базовые сценарии использования:

  • Пакетная обработка. MapReduce и SPYT (Apache Spark в качестве вычислительного движка поверх данных в YTsaurus) для обработки структурированных и полуструктурированных данных: логов или финансовых транзакций.
  • Ad hoc аналитика. Быстрые запросы через CHYT (кластер ClickHouse на вычислительных узлах YTsaurus) без копирования данных в отдельную аналитическую систему. Интерфейсы ODBC и JDBC позволяют подключиться из BI-систем для визуализации.
  • OLTP-задачи. Транзакционная работа в реальном времени с СУБД в формате "ключ-значение": например, для хранения профилей пользователей, показа рекламы или потоковой обработки.
  • Машинное обучение. Управление кластерами GPU для обучения моделей с миллиардами параметров.
  • Хранилище метаинформации. Транзакционное хранение метаинформации и надёжный сервис распределённых блокировок.
  • Построение хранилищ данных и ETL для многоуровневой обработки данных при помощи типовых инструментов: Apache Spark, SQL, MapReduce.

Основные элементы архитектуры:

  • Распределённая файловая система и отказоустойчивое древовидное хранилище метаинформации Cypress. Поддерживается хранение в форме файлов и таблиц (с разбивкой на столбцы и строки), прозрачное секционирование таблиц, сжатие данных (lz4 и zstd), поддержание кодов для восстановления в случае потери информации и контрольных сумм, фоновая репликация, транзакции, разграничение прав доступа (вплоть до уровня колонок таблиц).
  • Планировщик для распределённых вычислений с поддержкой модели MapReduce, а также расширенных базовых операций, таких как Erase и Sort. Горизонтальная масштабируемость вычислительных операций. Изоляция вычислительных ресурсов и возможность выделять определённые вычислительные ресурсы (CPU, GPU, ОЗУ) в разных пропорциях.
  • Высокоуровневые вычислительные движки для аналитических запросов CHYT (ClickHouse поверх YTsaurus) и SPYT (Apache Spark поверх YTsaurus). Движок YQL с реализацией диалекта SQL, поддерживающего операции соединения (join), подзапросы, оконные функции и параллельное исполнение запросов произвольной сложности.
  • Динамические таблицы для создания OLTP-системы, поддерживающие хранение на базе модели MVCC, транзакции, возможность удаления данных после истечения времени жизни и очереди сообщений для организации потоковой обработки данных поверх динамических таблиц.
  • API и библиотеки для языков программирования С++, Python, Java, Go.
  • Web-интерфейс для пользователей и администраторов, поддерживающий навигацию по древовидному хранилищу, выполнение операций с таблицами, каталогами и файлами, отправку SQL-запросов, мониторинг за кластером, управление пользователями, назначение квот, разграничение доступа.


  1. Главная ссылка к новости
  2. OpenNews: Утечка содержимого внутренних Git-репозиториев компании Яндекс
  3. OpenNews: Яндекс открыл код фреймворка userver для создания высоконагруженных приложений
  4. OpenNews: Яндекс открыл код распределённой СУБД YDB, поддерживающей SQL
  5. OpenNews: Яндекс открыл код библиотеки машинного обучения CatBoost
  6. OpenNews: Релиз платформы для распределённой обработки данных Apache Hadoop 3.3
Обсуждение (36 +7) | Тип: Программы |


Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру