· | 07.10 | Уязвимость в CUPS оказалась пригодна для усиления трафика при DDoS-атаках (61 +14) |
Группа, отвечающая за безопасность сети доставки контента Akamai, выявила дополнительный вектор атаки на процесс cups-browsed, помимо его использования в качестве одного из звеньев в эксплоите, приводящем к выполнению кода в системе. Через отправку запросов к процессу cups-browsed, без ограничений принимающему соединения на 631 порту, можно добиться отправки данных на другой хост, размер которых будет превышать исходный запрос до 600 раз. Для сравнения коэффициент усиления для memcached может достигать 10-50 тысяч раз, NTP - 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6.
Подобная особенность позволяет использовать системы с cups-browsed в качестве усилителя трафика при осуществлении DDoS-атак. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика. В ходе сканирования сети было выявлено более 198 тысяч уязвимых систем с CUPS, из которых 34% (58 тысяч систем) оказались пригодны для усиления трафика в DDoS-атаке. В отличии от методов усиления трафика, требующих отправки UDP-пакетов с подставным обратным адресом жертвы, использование cups-browsed позволяет обойтись без спуфинга. Cервис cups-browsed имеет штатную возможность загрузки PPD-файла с произвольного сервера в ответ на неавторизированный внешний запрос, в ходе которого клиент передаёт URL, а cups-browsed пытается загрузить PPD-файл с указанного сервера. При отправке запроса на загрузку PPD-файла в cups-browsed можно добиться прикрепление к значению "IPP URI" добавочного заполнения, которое может достигать 989 байт. При этом в инициируемом cups-browsed обращении значение "IPP URI" дублируется - один раз в HTTP-заголовке, а второй раз внутри тела POST-запроса, а запросы циклично повторяются после неудачных попыток загрузки и возвращения сервером 404 кода ошибки. На 62% (35900) проверенных системах cups-browsed отправил как минимум 10 TCP/IPP/HTTP-запросов к атакуемой системе в ответ на один исходный UDP-запрос. В среднем для 58000 подверженных проблеме систем число повторных обращений составило 45. При оптимальном сценарии отправка одного 30-байтового исходного запроса при 45 повторных попытках загрузки приведёт к отправке на целевую систему 18000 байт данных, т.е. будет наблюдаться усиление трафика в 600 раз. В наихудшем сценарии усиление составляет 108 раз. Дополнительно можно отметить об отражении компанией Cloudflare рекордной DDoS-атаки, в результате которой на систему жертвы был направлен поток в 3.8 терабит в секунду (2.14 миллиардов пакетов в секунду). Отмечается, что атака была организована с использованием большого числа скомпрометированных домашних маршрутизаторов Asus и Mikrotik, а также DVR-устройств и web-серверов, взломанных среди прочего с использованием относительно свежих уязвимостей.
| ||
Обсуждение (61 +14) |
Тип: Проблемы безопасности |
| ||
· | 07.10 | Уязвимость в библиотеке libgsf, затрагивающая GNOME (37 +9) |
В библиотеке libgsf, развиваемой проектом GNOME, выявлена уязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format).
Библиотека libgsf предоставляет функции для разбора различных структурированных форматов файлов, среди которых архивы и форматы документов. Помимо приложений, таких как AbiWord, Gnumeric, GNOME Commander и Nemo, библиотека применяется проектом GNOME в поисковом движке tracker-miners и используется как зависимость в пакете tracker-extract, автоматически собирающем метаданные о новых файлах. Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки необходимо добиться появления в каталоге пользователя специально созданного файла (например, для попадания файла в каталог ~/Downloads в некоторых случаях достаточно нажатия на ссылку в браузере) и уязвимость будет эксплуатирована во время его автоматической индексации. Уязвимость устранена в обновлении библиотеки libgsf 1.14.53. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В большинстве дистрибутивов с GNOME компонент tracker-miners активируется по умолчанию и загружается как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). Для отключения tracker-miners для текущего пользователя можно использовать команды: systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service tracker reset --hard
| ||
Обсуждение (37 +9) |
Тип: Проблемы безопасности |
| ||
· | 07.10 | Линус Торвальдс снова недоволен коммитами в Bcachefs (288 +62) |
Линус Торвальдс выступил с новой критикой методов сопровождения Bcachefs в основном ядре Linux. Суть претензий сводится к тому, что Кент Оверстрит (Kent Overstreet), автор Bcachefs, всегда присылает много изменений в последний момент перед выходом очередной предварительной версии ("-RC") и на этот раз его изменения привели к нарушению сборки 6.12-RC1 на системах с порядком байт "big-endian" при включении Bcachefs, так как патчи были протестированы только в локальной ветке Кента и для их рецензирования не были привлечены другие участники.
В итоге pull-запрос все же был принят, однако разгорелась дискуссия насчёт тестирования, систем непрерывной интеграции и взаимодействия с сообществом, в которой несколько людей отметили, что Кент явно испытывает проблемы во взаимодействии с остальными разработчиками и считает себя всегда правым, что создаёт проблемы для проекта в основном составе ядра. Линус предупредил Кента, что он подумывает просто удалить Bcachefs из основного ядра, так как Кент продолжает играть один в своей песочнице, не подключается к совместной работе и не желает принимать правила игры сообщества разработчиков ядра.
| ||
· | 06.10 | Выпуск Hyprland 0.44, композитного сервера на базе Wayland (58 +14) |
Опубликован выпуск композитного сервера Hyprland 0.44, использующего протокол Wayland. Композитный сервер ориентирован на мозаичную (tiling) компоновку окон, но также поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Поддерживаются элементы для создания визуально привлекательных интерфейсов, такие как градиенты в обрамлении окон, размытие, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Код написан на языке С++ и распространяется под лицензией BSD.
Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Для повышения производительности игр предоставляется возможность отключения вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемую для защиты от появления разрывов при выводе (tearing). Среди возможностей также выделяется поддержка динамически создаваемых виртуальных рабочих столов, два встроенных режима компоновки элементов на экране и система глобальной обработки горячих клавиш. В новой версии:
| ||
Обсуждение (58 +14) |
Тип: Программы |
| ||
· | 06.10 | Проект ZLUDA продолжит развитие в форме универсальной реализации CUDA (28 +36) |
Анджей Яник (Andrzej Janik) представил план дальнейшей разработки проекта ZLUDA, развивающего открытую реализацию технологии CUDA. Если первый вариант ZLUDA был нацелен на создание реализации CUDA для GPU Intel, а второй - для GPU AMD, то представленный сейчас третий вариант будет сосредоточен на развитии универсальной реализации CUDA для любых GPU, отличных от GPU NVIDIA. Целью проекта ZLUDA заявлено предоставление на системах с GPU, отличными от NVIDIA, возможности запуска немодифицированных приложений CUDA с производительностью, близкой к производительности приложений, выполняемых без прослоек. Код проекта продолжает распространяться под лицензиями MIT и Apache 2.0.
Изначально проект ZLUDA развивался для GPU Intel, но в 2021 году данная компания посчитала предоставление возможности запуска CUDA-приложений на GPU Intel не представляющей интереса для бизнеса и не стала поддерживать развитие инициативы. В начале 2022 года разработчик уволился из Intel и заключил контракт с AMD на разработку слоя для совместимости с CUDA для GPU данной компании. Спустя два года компания AMD потеряла интерес к возможности запуска CUDA-приложений на GPU AMD. В соответствии с условиями контракта и после получения разрешения на публикацию от представителя AMD в ходе переписки по электронной почте Анджей открыл код наработок, созданный во время работы на AMD и позволяющих выполнять CUDA-приложения поверх развиваемого компанией AMD стека ROCm и runtime HIP (Heterogeneous-computing Interface for Portability). Спустя 6 месяцев после публикации юристы AMD связались с Анджеем и дали понять, что ранее предоставленное в ходе переписки разрешение не имеет юридической силы. В итоге Анджей был вынужден убрать из открытого доступа код ZLUDA, созданный во время работы в AMD. Новый вариант ZLUDA будет отталкиваться от кодовой базы, существовавшей до начала работы Анджея на AMD, не будет привязан к каким-то конкретным GPU и будет сосредоточен на выполнении приложений, использующих CUDA для ускорения задач, связанных с машинным обучением и искусственным интеллектом (ранее ZLUDA был ориентирован прежде всего на приложения для создания контента, такие как Arnold Render, Blender и 3DF Zephyr). Среди прочего планируется предоставить возможность работы фреймворков Llama.cpp, PyTorch и TensorFlow поверх ZLUDA с задействованием в них CUDA-оптимизаций, применяемых для GPU NVIDIA. Первое время проект будет сфокусирован на работе на GPU AMD, но затем будет адаптирован для GPU Intel. Реализация для GPU AMD будет создана с чистого листа, будет поддерживать GPU, как минимум на базе архитектуры набора команд RDNA1, и будет использовать стек ROCm 6.1+ вместо стека ROCm 5, применявшегося в ранее созданной для AMD реализации. Паритета функциональности с прошлой реализацией, которую Анджей вынужден был убрать из открытого доступа, планируется достичь в третьем квартале 2025 года.
| ||
Обсуждение (28 +36) |
Тип: К сведению |
| ||
· | 06.10 | Выпуск Cage 0.2, композитного сервера на базе Wayland для создания киосков (15 +9) |
Доступен выпуск композитного сервера Cage 0.2, использующего Wayland и ориентированного на обособленный запуск отдельных приложений в режиме киоска. Из областей применения Cage отмечается создание систем домашней автоматизации, демонстрационных стендов, электронных вывесок и терминалов самообслуживания. Код проекта написан на языке Си и поставляется под лицензией MIT.
Интерфейс в Cage ограничен одним приложением, а пользователь не может выйти за пределы данного приложения и получить доступ к операционной системе. Экран привязывается к одному устройству вывода, а все вспомогательные диалоги выводятся по центру экрана без возможности перемещения и изменения размера. Поддерживается помещение и извлечение данных через буфер обмена. Приложения непосредственно связываются с запускаемым графическим окружением, например, для создания киоска с браузером Epiphany достаточно выполнить "cage /usr/bin/epiphany", а после выхода из программы композитный сервер тоже завершает свою работу. Среди наиболее заметных изменений в новом выпуске:
| ||
Обсуждение (15 +9) |
Тип: Программы |
| ||
· | 06.10 | Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3 (60 +12) |
Представлен релиз проекта Mitmproxy 11, развивающего инструментарий для перехвата трафика внутри соединений, установленных по HTTPS, с возможностями инспектирования, модификации и повторного воспроизведения трафика. Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах и диагностика проблем, например, выявление скрытой сетевой активности приложений. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT.
Для анализа HTTPS-трафика Mitmproxy размещается на транзитном узле, на котором перехватывает запросы клиента и транслирует их в отправляемые от себя запросы к целевому серверу. С запрошенным в процессе клиентского сеанса сервером Mitmproxy устанавливает обычное HTTPS-соединение, а с клиентом от имени целевого сервера устанавливается фиктивное соединение с подставным SSL-сертификатом, генерируемым для клиента на лету. Принятый от клиента трафик перенаправляется целевому серверу, а получаемые ответы транслируются обратно клиенту. Для перенаправления трафика через mitmproxy поддерживается несколько методов, таких как указание адреса mitmproxy в качестве HTTP-прокси в настройках браузера, работа в виде SOCKS5-прокси, использование в роли обратного прокси перед HTTP-сервером и организация прозрачного проброса при помощи правил пакетного фильтра или заворачивания маршрутизации. Для того, чтобы используемый при соединении с клиентом подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it. Mitmproxy поддерживает HTTP/2, HTTP/3, Websockets, нормализацию порядка следования пакетов в потоке, подключение скриптов-обработчиков для модификации трафика на лету, сохранение запросов для дальнейшего повторного воспроизведения, генерацию TLS-сертификатов для перехваченных сеансов, чистку заголовков о времени модификации для отключения кэширования на стороне клиента, режим обратного проксирования (Reverse proxy) для перенаправления трафика на сервер, списки блокировки для фильтрации определённых запросов, выборочное перенаправление запросов (в том числе для отдачи в ответ локальных файлов), изменение содержимого и заголовков на основе регулярных выражений. Для анализа трафика предлагается похожая на tcpdump утилита командной строки mitmdump и web-интерфейс mitmweb. Ключевым улучшением в новой версии является полная поддержка протокола HTTP/3, в котором задействован протокол QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2 (QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL). В Mitmproxy для HTTP/3 можно использовать как прозрачный перехват трафика, так и работу в виде обратного прокси. Работа при перехвате HTTP/3 протестирована в Firefox, Chrome и различных версиях cURL. Другие заметные изменения в новой ветке связаны с улучшением поддержки DNS в контексте размещения в DNS записей для HTTPS и ECH (Encrypted Client Hello). В новой версии добавлена поддержка запроса DNS-записей, отличных от A/AAAA (например, в ECH информация об открытом ключе шифрования передаётся в DNS-записи HTTPSSVC). Добавлен режим чистки ключей ECH из HTTPS-записей в DNS. Для работы с DNS осуществлён переход на библиотеку Hickory, написанную на языке Rust и развиваемую проектом Let's Encrypt. Добавлена поддержка DNS-over-TCP. Реализована опция для отключения обработки настроек из /etc/hosts.
| ||
Обсуждение (60 +12) |
Тип: Программы |
| ||
· | 06.10 | Опубликован программный KVM-переключатель Input Leap 3.0.0 (56 +14) |
Доступен релиз проекта Input Leap 3.0.0, развивающего программный KVM-переключатель (Keyboard, Video, Mouse), позволяющий использовать одну клавиатуру и мышь для управления несколькими компьютерами по сети, симулируя физическое подключение к системе. Input Leap отделился в 2021 году от проекта Barrier из-за проблем с сопровождением последнего. В свою очередь Barrier, был создан как форк проекта Deskflow, продолжающего активное развитие и являющегося upstream-проектом для Synergy. Код проектов написан на языке C++ и распространяется под лицензией GPLv2.
Для использования Input Leap достаточно установить пакет на системы, которыми необходимо управлять, и на компьютер за котором физически находится пользователь. На всех системах запускается одно и то же приложение, но на системе с клавиатурой и мышью оно переводится в режим сервера. Поддерживается управление системами на базе Linux, Windows, macOS и FreeBSD. Возможно использование совместного буфера обмена. Input Leap 3.0.0 стал первым значительным выпуском после форка. Ключевым улучшением в новой версии стала реализация возможности работы в окружениях на базе протокола Wayland (возможности трансляции в XWayland пока ограничены). Благодаря развитию поддержки Wayland средства удалённого управления системами на базе Input Leap ранее была встроены в GNOME 45. Из изменений в Input Leap 3.0.0 также можно отметить возможность сборки с использованием Qt 6, поддержку выбора ветки Qt (5.x или 6.x) при сборке и добавление новых конвертеров для X11, позволяющих перемещать через буфер обмена изображения в форматах png, tiff, jpg и webp.
| ||
Обсуждение (56 +14) |
Тип: Программы |
| ||
· | 05.10 | Релиз языка программирования V 0.4.8 (177 +21) |
Состоялся релиз статически типизированного языка программирования V (vlang). Основными целями при создании V были простота изучения и использования, высокая читаемость, быстрая компиляция, повышенная безопасность, эффективная разработка, кроссплатформенное использование, улучшенное взаимодействие с языком C, лучшая обработка ошибок, отключаемый сборщик мусора (GC), современные возможности и более удобное сопровождение программ. Проект также развивает свою графическую библиотеку и пакетный менеджер. Код компилятора, библиотек и сопутствующих инструментов открыт под лицензией MIT.
Среди изменений в новой версии:
Новости сообщества:
| ||
· | 05.10 | Доступен инструментарий для загрузки прошивок fwupd 2.0.0 (34 +12) |
Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке GNOME, представил выпуск пакета fwupd 2.0.0, предлагающего фоновый процесс для организации обновления прошивок и утилиту fwupdmgr для управления прошивками, проверки появления новых версий и загрузки прошивок. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1.
Проект предоставляет OEM-производителям и разработчикам прошивок сервис для загрузки прошивок в специальный централизованный каталог LVFS (Linux Vendor Firmware Service), который можно использовать в дистрибутивах Linux при помощи инструментария fwupd. В настоящее время в каталоге предложены прошивки для более 1600 устройств от 160 производителей. Использование централизованного каталога избавляет производителей от необходимости формирования пакетов для дистрибутивов и позволяет передавать прошивки в архиве ".cab" с дополнительными метаданными, которые также применяются при публикации прошивок для Windows. В fwupd поддерживается как режим автоматического обновления прошивок, без необходимости совершения каких-то действий со стороны пользователя, так и выполнение операции после подтверждения или запроса пользователя. Fwupd и LVFS применяются в RHEL, Fedora, Ubuntu, SUSE, Debian и многих других дистрибутивах для автоматизированного обновления прошивок, а также поддерживаются в менеджерах приложений GNOME Software и KDE Discover. При этом fwupd не ограничен настольными системами и пригоден для обновления прошивок на смартфонах, планшетах, серверах и устройствах интернета-вещей. В новом выпуске:
| ||
Обсуждение (34 +12) |
Тип: Программы |
| ||
· | 05.10 | Выпуски музыкального проигрывателя Qmmp 1.7 и 2.2 (100 +14) |
После более двухлетнего перерыва опубликованы выпуски музыкального проигрывателя Qmmp 1.7.0 и Qmmp 2.2 (версия Qmmp 2.2 продолжает развитие ветки, перешедшей на Qt 6, а для версии 1.7 достаточно Qt 5.15). В состав плеера входит два интерфейса: "простой", с использованием стандартных элементов, и "классический", который копирует интерфейс Xmms/Winamp/Audacious. Для вывода звука могут использоваться OSS4 (FreeBSD), ALSA (Linux), Pulse Audio, JACK, QtMultimedia, Icecast, WaveOut (Win32), DirectSound (Win32) и WASAPI (Win32). Код написан на языке C++ и распространяется под лицензией GPLv2. Готовые пакеты сформированы для Ubuntu. Одновременно сформированы коллекции плагинов, не входящих в основной состав - Qmmp Plugin Pack 1.7.0 и 2.2.0.
Среди изменений:
Дополнительно сообщается, что Qmmp 1.7 - последнее значительное обновление с поддержкой библиотеки Qt5. В дальнейшем новая функциональность будет развиваться только в ветке на основе Qt6, а разработка ветки на основе Qt5 ограничится корректирующими обновлениями.
| ||
· | 05.10 | Выпуск Wine 9.19 (26 +19) |
Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 9.19. С момента выпуска 9.18 было закрыто 11 отчётов об ошибках и внесено 264 изменения.
Наиболее важные изменения:
| ||
Обсуждение (26 +19) |
Тип: Программы |
| ||
· | 05.10 | Обновление сборки DogLinux для проверки оборудования (21 +7 ↻) |
Опубликовано обновление специализированной сборки дистрибутива DogLinux (Debian LiveCD в стиле Puppy Linux), построенной на пакетной базе Debian 12 "Bookworm" и предназначенной для тестирования и обслуживания ПК и ноутбуков. В состав входят такие приложения, как GPUTest, Unigine Heaven, CPU-X, GSmartControl, GParted, Partimage, Partclone, TestDisk, ddrescue, WHDD, DMDE. Дистрибутив позволяет проверить работоспособность оборудования, нагрузить процессор и видеокарту, проверить SMART HDD и NVMe SSD. Размер Live-образа, загружаемого с USB-накопителей, 1.36 ГБ (torrent).
В новой версии:
Особенности сборки:
Исправление: В связи с не работоспособностью ядра 6.10 с патчем intel-nvme-remap обновлены ядра, а также зависящие от них модули драйверов NVIDIA. Теперь ядро 5.10 собрано с патчем intel-nvme-remap и его следует использовать на соответствующих конфигурациях ноутбуков. Ядро 6.10 заменено на версию без указанного патча.
| ||
· | 04.10 | Уязвимость в pam_oath, позволяющая получить права root в системе (42 +17) |
В PAM-модуле pam_oath, входящем в состав пакета oath-toolkit и применяемого при двухфакторной аутентификации с использованием одноразовых паролей (OTP), выявлена уязвимость (CVE-2024-47191), позволяющая непривилегированному пользователю получить root-доступ в системе.
Модуль pam_oath выполняется с правами root и изначально был рассчитан на размещение OATH-ключей в файле /etc/users.oath, доступ к которому имеет только пользователь root. В версии oath-toolkit 2.6.7 была добавлена поддержка размещения файлов с ключами в домашних каталогах пользователей (~/.config/users.oath). Непривилегированные пользователи получили возможность изменения файлов со своими ключами, но pam_oath при обращении к этим файлам не сбрасывал привилегии и продолжил использование небезопасных методов работы с файлами, рассчитанных на то, что файлы размещены в каталоге, недоступном для изменения. Уязвимость вызвана тем, что после каждой успешной аутентификации по одноразовому паролю, pam_oath выполнял перезапись файла с ключами чтобы не допустить использование одного пароля несколько раз. Операция перезаписи сводилась к созданию в том же каталоге lock-файла, записи нового содержимого в файл с расширением ".new" и замене старого файла на новый вариант. При этом файл с расширением ".new" создавался с теми же правами, что и целевой файл, но запись в него производилась процессом с правами root и без проверки существования файла. Если файл размещался в системном каталоге проблем не возникало, но после появления поддержки размещения файлов с ключами в домашних каталогах, возникла легко эксплуатируемая уязвимость. Для атаки достаточно создать символическую ссылку "~/.config/oath.secrets.new" и направить её на любой системный файл, который будет перезаписан после успешной аутентификации. Для получения доступа root можно направить символическую ссылку на файл /etc/shadow. В этом случае pam_oath запишет в /etc/shadow актуальный список ключей и синхронизирует владельца и права доступа с файлом users.oath. Так как файл users.oath принадлежит пользователю, то в качестве владельца /etc/shadow будет выставлен этот пользователь, после чего атакующий сможет отредактировать файл /etc/shadow и записать в него новые параметры входа для учётной записи root. Уязвимость проявляется начиная с выпуска oath-toolkit 2.6.7 и устранена (1,2,3) в версии 2.6.12. Отследить устранение уязвимости в дистрибутивах можно на данных страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch. Уязвимость затрагивает только конфигурации, в которых разрешено размещение файлов с ключами в домашних каталогах, например, при использовании в настройках PAM строки "auth [user_unknown=ignore success=ok] pam_oath.so usersfile=${HOME}/user.oath". Дополнительно можно упомянуть выявленную на днях уязвимость (CVE-2024-9313) в PAM-модуле из состава пакета Authd, развиваемого проектом Ubuntu. Уязвимость позволяет пользователю, управляемому через брокер Authd, выдать себя за любого другого пользователя, управляемого этим же брокером, и успешно пройти аутентификацию через su, sudo или ssh под другим пользователем. Проблема устранена в версии Authd 0.3.5.
| ||
Обсуждение (42 +17) |
Тип: Проблемы безопасности |
| ||
· | 04.10 | Mozilla объявила о развитии собственной платформы показа рекламы (199 –29) |
Лаура Чемберс (Laura Chambers), в этом году заменившая Митчелл Бейкер (Mitchell Baker) на посту руководителя (CEO) компании Mozilla Corporation, представила инициативу, связанную с выходом Mozilla на рынок платформ для показа рекламы. Аналогичное объявление сделал Марк Сурман (Mark Surman), исполнительный директор и президент организации Mozilla Foundation. При построении своей рекламной сети Mozilla намерена использовать технологии купленного недавно стартапа Anonym, развивавшего альтернативную инфраструктуру для рекламной индустрии. В своей рекламной платформе Mozilla намерена обеспечить конфиденциальность пользователей и достигнуть баланса между получением коммерческой прибыли и соблюдением общественных интересов.
Отмечается, что реклама, по крайней мере в обозримом будущем, продолжит быть ключевым локомотивом интернета, благодаря которому большая часть контента остаётся бесплатно доступной для пользователей. Ценой сложившейся рекламной модели является отсутствие контроля над сбором и передачей данных о пользователях. Mozilla намерена решить данную проблему, предоставив собственный продукт, основанный на принципах конфиденциальности, открытости и права выбора. Компания также обязалась быть максимально прозрачной и открытой, а также информировать сообщество о своих намерениях и планах до начала тестирования и интеграции, связанной с проектом функциональности в браузер. Лаура и Марк ещё раз извинились за плохое информационное сопровождение включения в Firefox функции "Privacy Preserving Attribution" (PPA), которое привело к путанице, домыслам и беспокойству, несмотря на то что фактически она не была активирована для внешних пользователей. В планы Mozilla входит создание новой инфраструктуры для индустрии интернет-рекламы, которая благодаря применению криптографии и методов дифференциальной приватности позволит доказать, что реклама может поддерживать бизнес без раскрытия персональных данных. Компания Anonym, технологии которой лягут в основу рекламной платформы Mozilla, основана в 2022 году двумя бывшими вице-президентами Meta, попытавшимися воплотить в жизнь идею хранения данных в защищённом окружении с использованием шифрования, в таком виде, чтобы рекламодатели, владельцы рекламных площадок и сотрудники рекламной сети не имели доступа к информации в разрезе отдельных пользователей. Аналитику эффективности и определение результатов рекламных кампаний предлагается формировать на основе обработки анонимизированных данных. Для исключения отслеживания отдельных пользователей в платформе Anonym задействованы методы дифференциальной приватности, позволяющие с достаточно высокой точностью выполнять статистические операции над набором зашифрованных данных без расшифровки и без возможности идентификации отдельных записей в нём. Например, на основе зашифрованной статистики рекламной сети о показах рекламы и зашифрованной статистики рекламодателя о покупках, платформа, не имея доступа к значениям конкретных записей, может в обобщённом виде проанализировать пересечения наборов данных для оценки эффективности рекламной кампании. Таким образом, рекламодатель может узнать число посмотревших рекламу пользователей, сделавших покупки в его интернет-магазине, но не сможет определить, какие именно это пользователи из общего набора всех покупателей.
| ||
Обсуждение (199 –29) |
Тип: К сведению |
Интересно
| ||
<< Предыдущая страница (позже) | ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |