The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.12.2018 Аудит не выявил следов установки шпионских чипов в материнских платах Super Micro (15 +6)
  Компания Super Micro опубликовала результаты независимого аудита, проведённого после публикации изданием Bloomberg сведений о выявлении интегрированного на этапе производства шпионского чипа в серверных материнских платах Supermicro, поставляемых 30 компаниям из США, среди которых упоминались Apple и Amazon. Аудит не выявил каких-либо доказательств существования шпионских аппаратных имплантов и вредоносных модификаций оборудования Supermicro.

Проведённая проверка охватывала контрольные выборки ныне выпускающихся и устаревших моделей плат, в том числе экземпляры, купленные упомянутыми в статье компаниями. Напомним, что сразу после публикации Apple, Amazon и Supermicro категорически отвергли информацию об обнаружении имплантов и указали, что, вопреки заявлениям в статье, не выявляли вредоносные чипы в имеющемся оборудовании. Позднее издание Bloomberg раскрыло один из источников, но в новом материале всплыло множество несостыковок в описании импланта, а фотографий чипа и доказательств его наличия так и не было предоставлено.

  1. Главная ссылка к новости
  2. OpenNews: Bloomberg раскрыл источник сведений о шпионском чипе в платах Supermicro
  3. OpenNews: Противоречивые сведения о выявлении шпионского чипа на платах Supermicro
  4. OpenNews: Семь уязвимостей в IPMI-прошивках Supermicro
  5. OpenNews: Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса
Обсуждение (15 +6) | Тип: К сведению |
11.12.2018 Первый выпуск dav1d, декодировщика AV1 от проектов VideoLAN и FFmpeg (21 +16)
  Сообщества VideoLAN и FFmpeg опубликовали первый выпуск библиотеки dav1d с реализацией альтернативного свободного декодировщика формата кодирования видео AV1. Выпуск 0.1 позиционируется как первая версия, пригодная для повседневного использования. Код проекта написан на языке Си (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Реализована поддержка архитектур x86, x64, ARMv7 и ARMv8, и операционных систем Linux, Windows, macOS, Android и iOS.

Библиотека dav1d поддерживает все возможности AV1, включая расширеные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета (8, 10 и 12 бит). Работа библиотеки протестирована на большой коллекции файлов в формате AV1. Ключевой особенностью dav1d является ориентация на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме.

Плюсом dav1d также является более компактная реализация: dav1d включает в 10 раз меньше кода по сравнению с libaom, а размер бинарного файла меньше в три раза. В процессе декодирования dav1d потребляет в 4 раза меньше памяти.

Из последних достижений проекта отмечается добавление поддержки инструкций SSSE3 для ускорения работы на старых системах и реализация ассемблерных оптимизаций для архитектуры ARMv8 (в однопоточном режиме libaom и dav1d на устройствах ARMv8 пока показывают примерно одинаковую производительность, но при многопоточной работе лидирует dav1d). Ведутся эксперименты по задействованию шейдеров для ускорения некоторых операций.

Напомним, что видеокодек AV1 разработан альянсом Open Media (AOMedia), в котором представлены такие компании, как Mozilla, Google, Microsoft, Intel, ARM, NVIDIA, IBM, Cisco, Amazon, Netflix, AMD, VideoLAN, CCN и Realtek. AV1 позиционируется как общедоступный и не требующий оплаты отчислений свободный формат кодирования видео, который заметно опережает H.264 и VP9 по уровню сжатия. Для всего диапазона протестированных разрешений в среднем AV1 обеспечивает тот же уровень качества при уменьшении битрейта на 13% по сравнению с VP9 и на 17% по сравнению с HEVC. На высоких битрейтах выигрыш увеличивается до 22-27% для VP9 и до 30-43% для HEVC. В тестах Facebook AV1 обогнал по уровню сжатия main profile H.264 (x264) на 50.3%, high profile H.264 на 46.2%, а VP9 (libvpx-vp9) на 34.0%.

  1. Главная ссылка к новости
  2. OpenNews: VideoLAN и FFmpeg разработали новый декодировщик для видеокодека AV1
  3. OpenNews: В Firefox 63 появится поддержка видеокодека AV1
  4. OpenNews: Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust
  5. OpenNews: Результаты тестирования AV1 в Facebook. Новый формат JPEG XS
  6. OpenNews: Увидел свет первый выпуск открытого видеокодека нового поколения AV1
Обсуждение (21 +16) | Тип: Программы |
11.12.2018 Релиз Firefox 64 (93 +15)
  Состоялся релиз web-браузера Firefox 64, а также мобильной версии Firefox 64 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.4.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 65, релиз которой намечен на 29 января.

Основные новшества:

  • Предложен новый интерфейс Task Manager для отслеживания потребления ресурсов, доступный через служебную страницу "about:performance". Новый интерфейс напоминает менеджер задач, упрощает оценку потребления ресурсов отдельными страницами и дополнениями, и позволяет не покидая страницу закрыть проблемные вкладки. Для вызова страницы "about:performance" в основное меню добавлена отдельная кнопка. В дальнейшем планируется продолжить усовершенствование страницы "about:performance";
  • Полностью переработано оформление страницы about:crashes, на которой теперь можно отследить отправленные и не отправленные отчёты о сбоях, а также удалить с локального накопителя накопившиеся отчёты;
  • Реализована возможность одновременного выделения нескольких вкладок (Shift или Ctrl + клик на вкладке) для их перемещения, приглушения звука, добавления в закладки или закрепления;

  • Удалена поддержка предпросмотра RSS-лент и режима Live Bookmarks, позволяющего просматривать новости по подписке в форме обновляющихся закладок. Имеющиеся подписки можно экспортировать в формате OPML для добавления в сторонние системы чтения новостей. В качестве причин удаления упомянуты низкая востребованность среди пользователей (0.1% по данным телеметрии), проблемы с сопровождением и низкий технический уровень реализации, требующий переработки кода и создающий дополнительные векторы для нарушения безопасности. Пользователям, которым будет недоставать удалённых возможностей, предлагается воспользоваться дополнениями (в настоящее время для замены присутствуют только дополнения от сторонних авторов, безопасность которых не гарантируется Mozilla);
  • Добавлена система контекстной рекомендации дополнений, заслуживающих внимание функций и сервисов. Решение о выборе рекомендации принимается в зависимости от активности пользователя в Web и особенностей навигации в браузере. Например, если пользователь часто открывает несколько типовых вкладок и часто их использует, Firefox выдаст совет воспользоваться функцией "Pinned Tabs". При частом обращении к Facebook, YouTube и Google Translate браузер предложит установить дополнения "Facebook Container", "Enhancer for YouTube" или "To Google Translate". Все решения о выборе рекомендации принимаются локально, без отправки данных вовне. Расширенные рекомендации пока активированы только для пользователей из США (для других стран в about:config следует активировать настройку browser.newtabpage.activity-stream.asrouter.providers.cfr);

  • Добавлена возможность удаления дополнения через контекстное меню, отображаемое через кнопку дополнения в панели;
  • При формировании сборок для платформ Linux и macOS задействован компилятор Clang и активирован режим оптимизации во время связывания (LTO), что положительно сказалось на производительности. Для Windows сборка при помощи Clang была применена начиная с прошлого выпуска;
  • Прекращено доверие к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров (около 14% всех сертификатов в мире). Летом прошлого года Mozilla и Google приняли решение о прекращении доверия к сертификатам удостоверяющего центра Symantec в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок.
  • Для пользователей Windows предложена функция обмена ссылками: пользователи теперь могут отправлять ссылки при помощи кнопки Share в контекстном меню действий со страницей;
  • Для корпоративных пользователей, использующих платформу macOS, добавлена поддержка профилей конфигурации. Для macOS также активирована поддержка WebVR и добавлена возможность использования клавиатурной комбинации ctrl-enter для добавления "www" и ".com" при вводе URL;
  • В интерфейсе для инспектирования многослойной компоновки элементов страницы (CSS Grid Inspector) добавлены средства для работы с несколькими перекрывающимися CSS-сетками (одновременно поддерживается до трёх CSS grid);
  • В командной строке Web Console реализована подсветка синтаксиса JavaScript;
  • В панели Accessibility при наведении мыши на элемент теперь отображается уровень контраста текста по отношению к фону;
  • В режиме адаптивного дизайна ("Responsive Design Mode") обеспечено сохранение выбранного типа устройства между сеансами;
  • Добавлена поддержка CSS-свойств scrollbar-color и scrollbar-width для настройки цвета и ширины полосы прокрутки;
  • Добавлена поддержка набора CSS-расширений Interaction Media Features для определения наличия устройств ввода и их возможностей. В том числе добавлен признак pointer:coarse для проверки наличия мыши, сенсорного экрана или другого устройства с указателем;
  • Реализована сокращённая форма определения цвета при задании градиентов через CSS (вместо "yellow 25%, yellow 50%" теперь можно указывать "yellow 25% 50%");
  • Реализовано специфичное для движка WebKit свойство "-webkit-appearance", позволяющее при отображении элемента использовать родную тему оформления текущей операционной системы;
  • В CSS-свойство "display: list-item" добавлена поддержка элемента legend (определяет заголовок для дочернего списка);
  • Стандартизирован и избавлен от специфичного для Mozilla префикса API Fullscreen;
  • Добавлены свойства Window.screenLeft и Window.screenTop в качестве аналогов Window.screenX и Window.screenY;
  • Для ServiceWorker реализован метод ServiceWorkerContainer.startMessages(), а для WebRTC свойство RTCIceCandidateStats.relayProtocol;
  • Для загружаемых через CSS ресурсов (например, background-image: url("http://...")) теперь можно определять отдельные правила обработки Referrer через HTTP-заголовок Referrer-Policy;
  • Для браузерных дополнений добавлен API browser.menus.overrideContext() для реализации собственного оформления контекстных меню;
  • В версии для платформы Android в меню добавлен новый пункт для отправки жалоб на некорректное отображение сайтов в мобильной версии Firefox. Решена проблема с удалением загруженных файлов при деинсталляции Firefox.

Кроме новшеств и исправления ошибок в Firefox 64 устранены 30 уязвимостей, из которых 21 (9 под CVE-2018-12405 и 12 под CVE-2018-12406) помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

  1. Главная ссылка к новости
  2. OpenNews: Новый этап тестирования DNS поверх HTTPS в Firefox
  3. OpenNews: В Firefox 65 будет переработан интерфейс настройки блокировки контента
  4. OpenNews: В ночные сборки Firefox добавлена поддержка Wayland
  5. OpenNews: Релиз Firefox 63
  6. OpenNews: Представлен переработанный web-браузер Firefox Focus
Обсуждение (93 +15) | Тип: Программы |
11.12.2018 Первая открытая реализация анклава для аппаратно изолированных окружений (28 +18)
  Представлен первый выпуск проекта Keystone, в рамках которого подготовлен набор спецификаций и программных компонентов для встраивания функциональности защищённых анклавов в чипы на базе архитектуры RISC-V. Наработки проекта распространяются под лицензией BSD. Проект развивается исследовательской группой из Калифорнийского университета в Беркли и Массачусетского технологического института.

Анклав (TEE, Trusted Execution Environment) подразумевает предоставление процессором специальной изолированной области, которая позволяет вынести часть функциональности приложений и операционной системы в отдельное окружение, содержимое памяти и выполняемый код в котором недоступны из основной системы, независимо от уровня имеющихся привилегий. Для своего выполнения в анклав могут перемещаться реализации различных алгоритмов шифрования, функции обработки закрытых ключей и паролей, процедуры аутентификации, код для работы с конфиденциальными данными.

В случае компрометации основной системы злоумышленник не сможет определить хранимую в анклаве информацию и будет ограничен лишь внешним программным интерфейсом. Применение аппаратных анклавов может рассматриваться как альтернатива применению для защиты вычислений методов на основе гомоморфного шифрования или протоколов конфиденциального вычисления, но в отличие от данных технологий анклав практически не влияет на производительность вычислений с конфиденциальными данными и существенно упрощает разработку.

Keystone может рассматриваться как открытая альтернатива таким решениям, как Intel SGX (Software Guard Extensions), ARM TrustZone и AMD PSP (Platform Security Processor). Достоинством предлагаемого открытого решения является полная доступность для аудита на всех уровнях, в отличие от вышеупомянутых проприетарных решений, полагающихся на принцип "security by obscurity" (безопасность через скрытие внутренней реализации). Как показала практика, подход основанный на ограничении не оградил Intel SGX, ARM TrustZone и AMD PSP от критических уязвимостей, сводящих на нет всю предоставляемую защиту.

Разработанные в рамках проекта Keystone спецификации позволяют интегрировать функциональность анклава в любой процессор на базе архитектуры RISC-V с минимальным числом вносимых изменений, обеспечивающих аппаратную изоляцию. Изменения касаются обеспечения физической изоляции доступа к памяти и изоляции таблиц страниц памяти. Для защиты от физических атак (анализ чипов памяти) содержимое памяти анклава и передаваемые по шине адреса шифруются. Для защиты от атак по сторонним каналам применяется полностью изолированная архитектура.

Для разработки приложений, выносящих часть функциональности и данных в анклав, предлагается специальный SDK. Проектом также развивается модифицированный вариант ядра Linux, минимальный runtime, загрузчик с поддержкой верификации загружаемого кода по цифровой подписи, специальное программное окружение, формирующие операционную систему анклава, набор утилит для верификации окружений и генерации цифровых подписей. Для тестирования разрабатываемых анклавов предоставляются эмулятор на базе QEMU и аппаратный симулятор на базе FireSim, использующий платы FPGA.

  1. Главная ссылка к новости
  2. OpenNews: Linux Foundation и RISC-V Foundation объединили усилия по продвижению архитектуры RISC-V
  3. OpenNews: Проект Libre RISC-V развивает свободный GPU
  4. OpenNews: Уязвимости в реализации аппаратно изолированных окружений TrustZone
  5. OpenNews: Компания Intel открыла компоненты для использования технологии защиты SGX в Linux
  6. OpenNews: Google анонсировал Asylo, универсальный фреймворк для защищённых анклавов
Обсуждение (28 +18) | Тип: К сведению | Интересно
11.12.2018 Выявлен 21 вид вредоносных программ, подменяющих OpenSSH (29 +10)
  Компания ESET опубликовала (PDF, 53 стр.) итоги анализа троянских пакетов, устанавливаемых злоумышленниками после компрометации Linux-хостов для оставления бэкдора или для перехвата паролей пользователя в момент подключения к другим хостам. Все рассмотренные варианты троянского ПО подменяли компоненты серверного процесса или клиента OpenSSH.

18 выявленных вариантов включало функции перехвата вводимых паролей и ключей шифрования, а 17 предоставляли функции бэкдора, позволяющие злоумышленнику скрыто получить доступ к взломанному хосту, используя предопределённый пароль. Вредоносные компоненты внедрялись после успешной атаки на систему - как правило, злоумышленники получали доступ через подбор типовых паролей или через эксплуатацию неисправленных уязвимостей в web-приложениях или серверных обработчиках, после чего на не обновлённых системах применяли эксплоиты для повышения своих привилегий.

Внимания заслуживает история выявления данных вредоносных программ. В процессе анализа ботнета Windigo исследователи обратили внимание на код для подмены ssh бэкдором Ebury, который перед своим запуском проверял факт установки других бэкдоров для OpenSSH. Для определения конкурирующих троянов использовался список из 40 проверочных признаков. Воспользовавшись этими признаками представители ESET выяснили, что многие из них не охватывают ранее известные бэкдоры, после чего приступили к поиску недостающих экземпляров, в том числе развернув сеть подставных уязвимых honeypot-серверов. В итоге, был выделен 21 вариант подменяющих SSH троянских пакетов, которые остаются актуальными в последние годы.

Для определения подменённых компонентов OpenSSH подготовлен скрипт, YARA-правила для антивирусов и сводная таблица с характерными признаками каждого вида SSH-троянов, такими как создаваемые дополнительные файлы в системе и пароли для доступа через бэкдор. Например, в некоторых случаях для ведения лога перехваченных паролей использовались такие файлы, как:

  • "/usr/include/sn.h",
  • "/usr/lib/mozilla/extensions/mozzlia.ini",
  • "/usr/local/share/man/man1/Openssh.1",
  • "/etc/ssh/ssh_known_hosts2",
  • "/usr/share/boot.sync",
  • "/usr/lib/libpanel.so.a.3",
  • "/usr/lib/libcurl.a.2.1",
  • "/var/log/utmp",
  • "/usr/share/man/man5/ttyl.5.gz",
  • "/usr/share/man/man0/.cache",
  • "/var/tmp/.pipe.sock",
  • "/etc/ssh/.sshd_auth",
  • "/usr/include/X11/sessmgr/coredump.in",
  • "/etc/gshadow--",
  • "/etc/X11/.pr"

  1. Главная ссылка к новости
  2. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  3. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  4. OpenNews: Результаты исследования методов захвата учётных записей
  5. OpenNews: В распространяемых через сторонние источники исполняемых файлах для Linux выявлен троян
  6. OpenNews: Выявлен новый rootkit для Linux, подменяющий функции libc
Обсуждение (29 +10) | Тип: Проблемы безопасности |
11.12.2018 Google перенёс закрытие Google+ с августа на апрель из-за выявления новой уязвимости (32 +9)
  Компания Google уведомила пользователей об изменении планов по закрытию социальной сети Google+. Вместо августа 2019 года работа Google+ будет прекращена уже в апреле.

Изменение связано в выявлением новой уязвимости в реализации API для разработки прикреплённых приложений. Как и мартовская уязвимость в Google+ новая проблема также позволяла получить авторам приложений доступ к данным из закрытых профилей пользователей, помеченных как не подлежащих огласке. В частности, из профилей могли быть получены данные о email, возрасте, месте проживания и ФИО пользователя.

Уязвимость была вызвана ошибкой, допущенной в ноябрьском обновлении кода, и потенциально затрагивала около 52.5 млн пользователей Google+. Проблема была устранена в течение недели. Явных следов использования уязвимости для компрометации пользователей не зафиксировано, но у компании нет доказательств того, что разработчики приложений, получившие доступ к закрытым профилям, не знали о проблеме и целенаправленно не использовали её.

  1. Главная ссылка к новости
  2. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
  3. OpenNews: Google закрывает социальную сеть Google+
  4. OpenNews: Google внедряет меры для противодействия вредоносным дополнениям к Chrome
  5. OpenNews: Chrome 69 оставляет Cookie Google после выполнения функции чистки всех Cookie
  6. OpenNews: Google отменил скрытие поддоменов "www" и "m", но намерен стандартизировать их особый статус
Обсуждение (32 +9) | Тип: Проблемы безопасности |
11.12.2018 Доля государственных фондов США в финансировании Tor снизилась с 85% до 51% (122 +6)
  Некоммерческий фонд, курирующий разработку анонимной сети Tor, опубликовал финансовый отчёт за 2016 и 2017 финансовые годы. Если в 2015 году около 85% полученных проектом средств приходилось на гранты, выделяемые подконтрольными правительству США фондами, то в 2016 году их доля снизилась до 76%, а в 2017 году до 51%. В денежном выражении в 2016 году было получено 3.3 млн долларов, что примерно соответствует 2015 году. В 2017 году поступления возросли примерно на миллион долларов.

Среди наиболее крупных перечислений в 2017 году отмечается $798 тысяч от фонда Radio Free Asia, $635 тысяч от фонда SRI International и $548 тысяч от организации National Science Foundation (все три учреждения подконтрольны правительству США). Государственный департамент США выделил проекту $133 тысячи, что составляет примерно половину от аналогичных перечислений в 2016 и 2015 годах. $594 тысячи передала проекту шведская организация Swedish International Development Cooperation Agency (SIDA). Из не связанных с государственным финансированием поступлений выделяется передача $522 тысяч долларов компанией Mozilla и $25 тысяч проектом DuckDuckGo. Ещё $425 тысяч были получены в виде пожертвований от различных частных лиц и компанией. $806 тысяч проект получил в виде бесплатно оказанных услуг, таких как доступ к облачным вычислениям, размещение серверов и консультации юристов.

  1. Главная ссылка к новости
  2. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
  3. OpenNews: Проект Tor начал тестирование браузера для платформы Android
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.3.4
  5. OpenNews: Выпуск web-браузера Tor Browser 8.0
  6. OpenNews: Релиз web-браузера GNU IceCat 60.3.0 с поддержкой Tor
Обсуждение (122 +6) | Тип: К сведению |
10.12.2018 Выпуск облачного хранилища Nextcloud 15 с реализацией социальной сети (99 +17)
  Состоялся выпуск облачной платформы Nextcloud 15, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными, а также предлагающего такие сопутствующие функции, как средства для ведения видеооконференций, обмена сообщениями и, начиная с текущего выпуска, интеграцией функций для создания децентрализованной социальной сети. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL.

Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных с любого устройства в любой точке сети. Доступ к данным может быть организован как при помощи web-интерфейса, так и с использованием протокола WebDAV и его расширений CardDAV и CalDAV.

В отличие от сервисов Google Drive, Dropbox, Яндекс.Диск и box.net, проекты ownCloud и Nextcloud дают пользователю полный контроль над своими данными - информация не привязывается ко внешним закрытым облачным системам хранения, а размещается на подконтрольном пользователю оборудовании. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Сервер Nextcloud можно развернуть на любом хостинге, поддерживающем выполнение PHP-скриптов и предоставляющем доступ к SQLite, MariaDB/MySQL или PostgreSQL.

В новом выпуске:

  • Добавлена возможность развёртывания децентрализованной социальной сети, позволяющей обмениваться сообщениями, публиковать статусы, вести свои каналы и подписываться на каналы других пользователей. Узлы на базе Nextcloud могут связываться с другими хостами (например, можно подписаться на сообщения пользователя соцсети, развёрнутой на другом сервере) и входить в глобальные федеративные сети, объединяющие в единое пространство множество отдельных соцсетей, запущенных на собственных серверах.

    Для взаимодействия с другими децентрализованными сетями в Nextcloud реализована поддержка протокола ActivityPub, который, например, может применяться для связывания с сетями на базе платформ Mastodon и PeerTube. Nextcloud также можно применять для создания корпоративных и приватных социальных сетей, обеспечивающих общение работников компаний или определённых сообществ.

  • Продолжено усовершенствования механизмов двухфакторной аутентификации. Помимо ранее доступных методов отправки кода подтверждения через SMS, Signal, Telegram и NFC (Yubikey NEO), в новом выпуске добавлена возможность подтверждения при помощи ранее аутентифицированного устройста (например, со смартфона можно подтвердить вход в десктоп-клиент и наоборот, из аутентифицированного десктоп-клиента можно подтвердить вход с мобильного телефона). Также добавлена поддержка предварительно генерируемых одноразовых кодов в качестве ключей, которые можно использовать при невозможности прохождения двухфакторной аутентификации. Двухфакторная аутентификация может включаться как глобально для всех пользователей, так и для отдельных групп;
  • Улучшена интеграция с Collabora Online для организации совместной удалённой работы с офисным пакетом LibreOffice через Web. Добавлена боковая панель с видеовызовами и чатом, отображаемая в процессе редактирования документов. Интегрирована поддержка управления версиями. Добавлена поддержка HiDPI и возможность показа миниатюр в режиме просмотра списка файлов. Реализована возможность редактирования документов и совместной работы над документами с мобильного устройства;
  • Расширены средства обеспечения совместного доступа к контенту. Снято ограничение на число ссылок для предоставления доступа третьим лицам. Добавлен режим совместного доступа к документам в режиме только для чтения. Переработано меню для настройки совместного доступа. Улучшена интеграция с каталогами совместного доступа (Group Folders);
  • Проведена модернизация интерфейса, обновлены шрифты и кнопки. Скорость загрузки интерфейса увеличена в 2-3 раза (с 15 до 5 сек, а при кэшировании с 3 до 1.5 секунд). В файловом менеджере предложен новый режим просмотра содержимого каталогов - Grid View;
  • Усилена защита web-интерфейса от межсайтового скриптинга при помощи более жёстких правил CSP (Content Security Policy);
  • Предложена третья версия технологии App Token, применяемой для аутентификации клиентских приложений. В новой версии улучшена обработка ситуаций изменения токена после смены пароля - обновление токена теперь производится автоматически в том числе при применении LDAP или внешних механизмов аутентификации;
  • Добавлены встроенные приложения для преобразования документов в PDF и запуска внешних скриптов (скрипты определяет администратор);
  • Переписано приложение Dashboard;
  • Движок полнотекстового поиска обновлён до выпуска Elastic Search 1.2.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск облачного хранилища Nextcloud 14
  3. OpenNews: Доступна коммуникационная система Nextcloud Talk с поддержкой видеовызовов
  4. OpenNews: Mastodon - новая платформа для создания децентрализованных социальных сетей
  5. OpenNews: Основатель и ключевые разработчики ownCloud создали форк проекта
  6. OpenNews: Компания ownCloud отреагировала на создание форка
Обсуждение (99 +17) | Тип: Программы |
10.12.2018 Голосование за поддержку Adobe Premiere в Linux (208 +50)
  Илья Корнейчук c канала PRO Hi-Tech задал вопрос компании Adobe, касающийся портирования системы нелинейного видеомонтажа Adobe Premiere для Linux. На что был дан ответ, что у компании ограничены инженерные ресурсы и не так много пользователей заинтересованы в появлении Linux-версии данного продукта. Представители Adobe предложили проголосовать за появление Linux-порта на странице обратной связи, что позволит оценить интерес к Linux-версии Adobe Premiere и, возможно, пересмотреть отношение к портированию.

  1. Главная ссылка к новости
  2. OpenNews: Adobe, AT&T, GitHub, NVIDIA и Twitter изменили условия расторжения лицензии для GPLv2-кода
  3. OpenNews: Компания Adobe выпустила Brackets 1.11, открытый редактор для web-разработчиков
  4. OpenNews: Adobe прекращает поддержку Flash
  5. OpenNews: Компания Adobe начала движение от Flash к web-стандартам
  6. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2
Обсуждение (208 +50) | Автор: Characterhero | Тип: К сведению |
10.12.2018 В TCP/IP-стеке FreeRTOS выявлены уязвимости, приводящие к удалённому выполнению кода (45 +12)
  Раскрыта детальная информация о 13 уязвимостях, выявленных в ходе аудита TCP/IP-стека открытой операционной системы FreeRTOS, последнее время развиваемой компанией Amazon. Шесть уязвимостей потенциально позволяют организовать выполнение кода через отправку специально оформленных IP- и TCP-пакетов, а также сетевых запросов с использованием протоколов DNS, LLMNR и HTTPS. Восемь уязвимостей могут привести к утечке содержимого памяти процессов-обработчиков. Одна уязвимость может применяться для отравления кэша DNS (подстановки фиктивных значений).

ОС FreeRTOS поставляется под лицензией MIT и в основном применяется на различных микроконтроллерах, встраиваемых устройствах, системах промышленной автоматики и оборудовании интернета вещей (IoT). Уязвимости устранены начиная с выпуска 1.3.2, всем пользователям устройств на базе FreeRTOS рекомендуется срочно обновить прошивки или ограничить доступ к устройствам из внешних сетей. Проблемы также проявляются в TCP/IP-стеке WHIS Connect для проприетарных систем OpenRTOS и SafeRTOS, основанных на коде FreeRTOS.

  1. Главная ссылка к новости
  2. OpenNews: FreeRTOS перешёл под крыло Amazon и выпущен под лицензией MIT
  3. OpenNews: Для развиваемой в Google ОС Fuchsia подготовлен графический интерфейс Armadillo
  4. OpenNews: В Google ведётся обсуждение возможной замены Android на ОС Fuchsia
  5. OpenNews: Выпуск свободной операционной системы реального времени Zephyr 1.8
  6. OpenNews: Проект postmarketOS приступил к созданию загрузчика и прошивки модема для смартфонов
Обсуждение (45 +12) | Тип: Проблемы безопасности |
10.12.2018 Выпуск распределенной системы управления исходными текстами Git 2.20 (51 +18)
  Подготовлен выпуск распределенной системы управления исходными текстами Git 2.20.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. По сравнению с прошлым выпуском в новую версию принято 962 изменения, подготовленных при участии 83 разработчика, из которых 26 впервые приняли участие в разработке.

Основные новшества:

  • Добавлен новый класс файлов конфигурации, прикрепляемых к разным рабочим веткам в одном репозитории (до этого предоставлялась возможность определения глобальных настроек, привязки к домашнему каталогу пользователя и привязки к репозиторию ($GIT_DIR/config));
  • Добавлен код для обнаружения на стадии выполнения "git clone" ситуаций, когда в репозитории встречаются файлы, пути к которым отличаются только регистром символов (например, path/file.txt и /path/File.Txt). Так как не все файловые системы различают регистр символов при выявлении подобных пересечений теперь выводится предупреждение;
  • Добавлена оптимизация, сокращающая объём вычислений при оценке различий: исключён учёт delta-изменений для объектов из одного ответвления с другими объектами, которые не появляются в том же ответвлённом репозитории;
  • В команду "git format-patch" добавлены опции "--interdiff" и "--range-diff" для отображении в примечании списка различий между текущей и предыдущей версиями;
  • В команду "git mailinfo", которая также используется в "git am", добавлена возможность восстановления патчей, повреждённых из-за изменения расстановки переводов строки при отправке текста почтовыми клиентом в режиме "format=flawed";
  • Приняты более жёсткие правила в отношении "git push" и "git fetch", в случаях когда обновление ссылки приводит к нарушению согласованности, например, при извлечении и обновлении в существующие тэги. Команда "git fetch" теперь запрещает извлечение в существующие теги при вызове без явного указания опции "--force";
  • В команды "git multi-pack-index" и "git fsck" добавлен код для определения повреждений в индексных файлах ".midx";
  • Добавлен индикатор прогресса при генерации файлов с графом коммитов (commit-graph) и выполнении "git status" при обновлении индекса. Данные операции могут занимать достаточно много времени, что требует информирования пользователя о продолжении работы для исключения видимости зависания;
  • Повышены требования при работе на платформе Windows, в качестве минимальной поддерживаемой версии заявлена Windows Vista;
  • В скрипты автодополенения ввода, поставляемые в contrib/, добавлена поддержка дополнения опций команды "git stash list". Дополнение для команды "git fetch --multiple" ограничено только именами с внешних хостов;
  • Подсказки, выводимые при помощи команд "git help -a" и "git help -av", разделены и сделаны более понятными новичкам. Вторая команда отличается тем, что кроме подробной информации о команде выводится список альтернативных имён и внешних команд;
  • В команду "git grep" добавлена опция "git grep --recursive", отражающая поведение по умолчанию (обход всего дерева). Команда "git grep --no-recursive" может рассматриваться как аналог выставления настройки max-depth в значение 0;
  • При отправке push-запроса к репозиторию, в котором используется альтернативное внешнее хранилище для хранения объектов, удалённый обработчик "git receive-pack" передаёт список используемых ссылок на внешнее хранилище для сокращения объёма передаваемых объектов. В случае очень большого числа подобных ссылок экономия трафика за счёт сокращения числа передаваемых объектов сводится на нет из-за необходимости передачи списка очень большого размера. В новой версии добавлены настройки для управления выдачей информации об альтернативных ссылках;
  • Команда "git cmd --help" в случае, если "cmd" является псевдонимом другой команды, теперь не только выводит ссылку на основную команду, но и сразу выводит подсказку для этой команды;
  • Улучшена работа команды "git p4 unshelve";
  • В команде "rev-list --filter" добавлена поддержка фильтра "tree:0" для исключения всех деревьев;
  • В команде "git send-email" реализовано выявление строк с адресами из всех подписей, заканчивающихся на "-by". Для отключения нового поведения добавлена опция "--suppress-cc=misc-by" и настройка "sendemail.suppresscc = misc-by";
  • Модернизирована логика выбора имени пользователя и email на платформе Windows;
  • В "git mergetool" добавлена опция "--[no-]gui", работающая по аналогии с "git difftool";
  • В команду "git rebase -i" добавлена поддержка ключа 'break', который можно добавлять в списки to-do для индикации конца списка до его фактического завершения;
  • Для опции "--pretty=format:" предложены новые заполнители "%GF" и "%GP", показывающие слепки ключей GPG;
  • Для платформ со свежими версиями библиотеки cURL добавлена настройка http.sslBackend, позволяющая выбрать различные бэкенды для обработки защищённых HTTPS-соединений. В Windows данная настройка позволяет переключиться между использованием OpenSSL и Secure Channel;
  • В команду "git send-email" добавлена опция "--smtp-auth=none" для отключения SMTP-аутентификации, даже если в настройках задано имя пользователя для SMTP;
  • Маска '**', указанная без слеша с одной из сторон, которая ранее считалась некорректной, теперь воспринимается как маска для определения наличия двух символов звёздочка;
  • Реализации команд "git submodule update", "git rebase" и "git rebase -i" полностью переписаны на языке Си. Проведена чистка кода, используемого для команд "git status" и "git commit --dry-run";
  • Обеспечена возможность параллельного чтения индексных файлов для повышения производительности. Увеличена эффективность обхода дерева репозитория при извлечении веток и операциях слияния. Внесены оптимизации при частичном клонировании, связанные с кэшированием.

  1. Главная ссылка к новости
  2. OpenNews: Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом
  3. OpenNews: GitHub выпустил Git LFS 2.6.0
  4. OpenNews: Microsoft успешно завершил сделку по покупке GitHub
  5. OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
  6. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.19
Обсуждение (51 +18) | Тип: Программы |
09.12.2018 В 22 приложениях, загруженных из Google Play более 2 млн раз, выявлен вредоносный код (101 +23)
  Компания Sophos предупредила пользователей о выявлении в каталоге Google Play 22 приложений для платформы Android, включающих вредоносный код, позволяющий скрыто загружать файлы и выполнять произвольные вредоносные модули на устройстве. После установки проблемных приложений вредоносный код (Andr/Clickr-ad) запускался автоматически и продолжал выполнение независимо от открытия и закрытия приложений пользователем (настраивался автозапуск при загрузке устройства и перезапуск через 3 минуты в случае принудительного завершения вредоносного процесса).

19 приложений были размещены в каталоге начиная с июня и сразу включали в себя вредоносный код. Три приложения, включая Sparkle Flashlight, насчитывающее более миллиона загрузок, изначально были легитимными, но получили вредоносный код в мартовском обновлении. Вредоносная активность контролировалась централизованно через запрос команд от управляющего сервера (использовался хост sdk.mobbt.com), с которого могла быть инициирована установка любых модулей на устройство. Команды запрашивались раз в 80 секунд, проверка новой версии вредоносных модулей производилась раз в 10 минут.

На момент обнаружения проблемы на устройство загружался модуль для накрутки кликов в рекламных сетях, который нагружал CPU и постоянно отправлял большой объём сетевых запросов. Списки ссылок для кликов загружались отдельно. Для скрытия от пользователя вредоносной активности рекламные блоки для кликов открывались в отдельном окне, размером 0 пикселей. Подобные манипуляции достаточно сильно нагружали CPU и снижали время автономной работы. При каждом переходе использовались 249 комбинации значений User Agent, характерные для разных версий программ и разных типов устройств.

После информирования Google проблемные программы были удалены из Google Play. Примечательно, что выявленные приложения пользовались популярностью (загружены в сумме более 2 млн копий) и имели преимущественно высокий рейтинг с преобладанием положительных отзывов пользователей. Судя по отзывам, пользователи не связывали возникающие из-за активности вредоносного кода аномалии с данными приложениями.

Проблемные приложения:

  • AK Blackjack
  • Animal Match
  • Box Stack
  • Color Tiles
  • Cliff Diver
  • HexaFall
  • HexaBlocks
  • Jelly Slice
  • Join Up
  • Just Flashlight
  • Math Solver
  • Magnifeye
  • Neon Pong
  • PairZap
  • Roulette Mania
  • Sparkle FlashLight
  • Snake Attack
  • ShapeSorter
  • Space Rocket
  • Tak A Trip
  • Table Soccer
  • Zombie Killer



Дополнительно можно упомянуть об ещё нескольких событиях, связанных с платформой Android:

  • Опубликован декабрьский набор исправлений проблем с безопасностью для Android, в котором устранены 53 уязвимости, из которых 29 выявлены в закрытых компонентах для чипов Qualcomm. 11 уязвимостям (2 в системных компонентах, 4 в Media framework, 5 в закрытых компонентах Qualcomm) присвоен критический уровень опасности, а остальным высокий уровень опасности. Большинство критических проблем позволяет совершить удалённую атаку для выполнения своего кода в системе (например, при обработке специально оформленных мультимедийных данных). Проблемы помеченные как опасные позволяют через манипуляции с локальными приложениями выполнить код в контексте привилегированного процесса.
  • В поставляемом вместе со средой разработки Android Studio эмуляторе появилась поддержка запуска ядра Zircon, используемого в развиваемой Google операционной системе Fuchsia. Также ведётся активная работа по интеграции в Android Emulator поддержки графического API Vulkan, что в скором времени позволит запускать в эмуляторе графические приложения для Fuchsia;
  • В сервисах Google Play прекращена поддержка API версии 14 и 15, используемых в Android 4.0 (поддержка Android 4.1+ пока сохраняется). Отмечается что доля Android 4.0 среди активных устройств составляет менее 1%.

  1. Главная ссылка к новости
  2. OpenNews: 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk
  3. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  4. OpenNews: Анализ несанкционированной записи звука и видео в Android-приложениях
  5. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  6. OpenNews: Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами
Обсуждение (101 +23) | Тип: Проблемы безопасности |
08.12.2018 Релиз языка программирования Rust 2018 (1.31) (111 +18)
  Представлен релиз языка системного программирования Rust 1.31, развиваемого проектом Mozilla. Кроме штатного номера версии выпуск также обозначен как Rust 2018 и преподносится как наиболее важный релиз с момента формирования версии 1.0 в 2015 году. Rust 2018 выступит основой для наращивания функциональности в последующие три года, по аналогии с тем, как выпуск Rust 1.0 стал базисом для развития языка в прошедшие три года.

Для разделения несовместимой функциональности введена концепция редакций языка. Редакции с номерами "2015" и "2018" могут использоваться в качестве метки для определения среза состояния языка, разделяющего несовместимые изменения (в секцию "[package]" с метаданными из cargo-пакетов добавлено новое поле "edition").

Редакция "2015" включает уже стабилизированную к текущему моменту функциональность и все будущие изменения, не нарушающие совместимость. Редакция "2018" дополнительно охватывает нарушающие совместимость новшества, предложенные в текущем выпуске 1.31 и утверждённые для реализации в будущем. Кроме самого языка редакции также учитывают состояние инструментария и документации (например, в редакции 2018 в состав введены модули поддержки IDE, rustfmt и Clippy).

Режим "2015" позволяет сохранить полную совместимость с существующими приложениями без внесения нарушающих совместимость изменений. Что касается режима "2018", то активировать его имеет смысл при желании задействовать в коде будущие возможности языка, такие как ещё не реализованные концепции async/await и try. Так как данные возможности могут потребовать корректировки кода старых программ, написанных до резервирования слов async, await и try, указанные ключевые слова уже внесены в редакцию "2018", несмотря на то, что связанная с ними функциональность ещё не добавлена.

Иными словами, в выпуске Rust 1.31 заранее произведена фиксация ключевых слов для ещё не готовых новшеств, нарушающих обратную совместимость, и ожидаемых в последующие три года. При этом грядущие изменения и новшества, не приводящие к нарушению совместимости, по мере своего появления будут доступны для пакетов независимо от выбранной редакции - специфичными для редакции "2018" и не попадающими в редакцию "2015" станут только изменения, нарушающие совместимость.

Основные новшества Rust 1.31:

  • Реализована техника NLL (Non-Lexical Lifetimes), расширившая систему учёта времени жизни заимствованных переменных. Вместо привязки времени жизни на лексическом уровне, NLL осуществляет учёт на уровне набора указателей в графе потока выполнения. Новый подход позволяет увеличить качество проверки заимствования переменных (borrow checker) и допустить выполнение некоторых видов корректного кода, использование которого ранее приводило к выводу ошибки. Новое поведение также существенно упрощает отладку. Например:
    
       fn main() {
           let mut x = 5;
           let y = &x;
           let z = &mut x;
           println!("y: {}", y);
       }
    

    Выполнение данного кода в редакции "2015" приводит к выводу ошибки "cannot borrow 'x' as mutable because it is also borrowed as immutable" для всего блока "{}", не детализируя источник проблемы. Начиная с Rust 1.31 при выборе редакции "2018" ошибка будет локализована для выражения 'println!("y: {}", y);', которое вызывает конфликт;

  • Внесены изменения в систему модулей, нацеленные на её упрощение: для большинства случаев убрана необходимость использования "extern crate"; добавлена возможность импорта макросов при помощи выражения "use" вместо атрибута "#[macro_use]"; абсолютные пути, начинающиеся с названия пакета (crate), теперь разбираются относительно текущего пакета; возможно сосуществование подкаталогов foo.rs и foo/, при размещении субмодулей в подкаталоге больше не нужен mod.rs. Изменения применимы только в режиме "2018";
  • Добавлены новые способы упрощённого задания области видимости (lifetime elision) в функциях и заголовках реализаций (impl). Вместо "impl‹'a› Reader for BufReader‹'a› {}" теперь можно указывать "impl Reader for BufReader‹'_› {}".
  • Добавлен новый способ определения функций - "const fn", который дополнил уже существующие выражения "fn", "unsafe fn" и "extern fn". Функции, определённые через "const fn", могут вызываться не только как обычные функции, но и использоваться в любом контексте вместо констант, например "const SIX: i32 = foo(5);". Данные функции вычисляются на этапе компиляции, а не в ходе выполнения, поэтому на них накладываются определённые ограничения (допускаются арифметические операции и операции сравнения над целыми числами, запрещены булевые операторы "&&" и "||", допускается чтение только из констант, можно вызывать только функции, определённые как "const fn" и т.п.);
  • Помимо cargo, rustdoc и rustup в основной состав включены утилиты clippy (linter) и rustfmt (форматирование кода), а также плагины для поддержки интегрированных сред разработки Visual Studio Code, IntelliJ, Atom, Sublime Text 3 и Eclipse;
  • Стабилизированы новые атрибуты для инструментов Rust, таких как rustfmt и clippy. Например, "#[allow(clippy::bool_comparison)]" для ограничения применения clippy;
  • В разряд стабильных переведена новая порция API, в том числе From‹NonZeroU8›, From‹&Option‹T››, slice::align_to, slice::chunks_exact;
  • В пакетный менеджер Cargo добавлена поддержка параллельной загрузки нескольких пакетов при помощи HTTP/2. За исключением специфичных случаев переведено в разряд необязательных выражение "extern crate".
  • Запущены инициативы по оптимизации Rust для предметно-ориентированных областей. Созданы рабочие группы для развития средства для разработки сетевых сервисов (развивает async/await), создания приложений для командной строки (развивает библиотеки для CLI-интерфейса), поддержки WebAssembly (компиляция и взаимодействие с wasm) и создания решений для встраиваемых устройств (улучшение поддержки ARM).

Напомним, что язык Rust сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

  1. Главная ссылка к новости
  2. OpenNews: Релиз языка программирования Rust 1.30
  3. OpenNews: Выпуск интегрированной среды разработки Eclipse "Photon" с поддержкой языка Rust
  4. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
  5. OpenNews: Mozilla развивает прослойку для обеспечения переносимости между JavaScript и Rust
  6. OpenNews: Для Linux и Redox представлена реализация Libc на языке Rust
Обсуждение (111 +18) | Тип: Программы |
08.12.2018 Уязвимости в PHP и PHPMailer (91 +13)
  В опубликованных на днях корректирующих обновлениях PHP 5.6.39, 7.0.33, 7.1.25 и 7.2.13 устранена неприятная уязвимость (CVE-2018-19518) в штатном PHP-дополнении IMAP, выявленная ещё в октябре. Уязвимость позволяет атаковать web-приложения для работы с электронной почтой или обойти системные ограничения доступа к функциям, выставляемые через опцию disable_functions в php.ini.

В случае запрета вызовов, подобных exec, system, shell_exec и passthru, уязвимость даёт возможность выполнить произвольный shell-код, в случае когда злоумышленники могут загрузить свой PHP-код на сервер (например, для продолжения атаки после эксплуатации уязвимостей в плагинах для загрузки пользовательских файлов). Уязвимость также может применяться для атаки на webmail-клиенты, позволяющие установить произвольное имя imap-сервера и передающих его в вызов imap_open без дополнительной проверки.

Суть проблемы в том, что функция imap_open, через которую осуществляется открытие соединения с IMAP-сервером, позволяет указать дополнительные параметры для обращения к почтовому ящику по сети. Возможно обращение к почтовому ящику на удалённом хосте не только с использованием протокола IMAP, но и по SSH (вызывается команда rsh, но в большинстве дистрибутивов она перенаправлена на ssh). SSH можно передать дополнительные параметры, в том числе через указание опции "-oProxyCommand=" можно определить команду для запуска прокси. Вместо прокси можно указать любой код, который будет выполнен при вызове функции imap_open. Для блокирования уязвимости в новых выпусках по умолчанию отключено обращение imap_open по rsh/ssh (imap.enable_insecure_rsh=false).

Концептуальный прототип эксплоита:


   $server = "x -oProxyCommand=echo\tZWNobyAnMTIzNDU2Nzg5MCc+L3RtcC90ZXN0MDAwMQo=|base64\t-d|sh}";
   imap_open('{'.$server.':143/imap}INBOX', '', '') or die("\n\nError: ".imap_last_error());

Кроме того, раскрыты сведения об уязвимости (CVE-2018-19296) в PHPMailer, популярной библиотеке для организации отправки электронных писем из приложений на языке PHP, число пользователей которой оценивается в 9 миллионов (используется в WordPress, Drupal, 1CRM, SugarCRM, Yii и Joomla). Уязвимость позволяет организовать выполнение кода через подстановку ссылки на phar-файл в составе пути, например, при отправке письма с вложением или через манипуляции с параметрами DKIM. Устраняющее проблему исправление включено в состав релиза PHPMailer 6.0.6.

Полученный файл перед отправкой на email проверяется при помощи функции file_exists(), которая автоматически выполняет десериализацию метаданных из файлов Phar (PHP Archive) при обработке путей, начинающихся с "phar://", что позволяет применить технику атаки "Phar deserialization". Организовав загрузку специально оформленного Phar-файла под видом вложения, злоумышленник может добиться выполнения своего кода на сервере. Так как функция file_exists() определяет MIME-тип по содержимому, а не по расширению, возможна передача phar-файла под видом картинки (например, phar-файл будет разобран, если его передать как evil.jpg). Похожая уязвимость недавно была выявлена в phpBB.

  1. Главная ссылка к новости
  2. OpenNews: Неосмотрительное использование плагина jQuery-File-Upload делает многие сайты уязвимыми
  3. OpenNews: Уязвимость в движке для создания форумов phpBB
  4. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  5. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  6. OpenNews: В PHPMailer выявлена ещё одна критическая уязвимость, вызванная недоработкой в PHP
Обсуждение (91 +13) | Тип: Проблемы безопасности |
08.12.2018 Зафиксирована подмена сайта Linux.org через захват DNS (26 +29)
  Администраторы сообщества Linux.org (не путать с Linux.com) сообщили об инциденте, в результате которого злоумышленники подменили содержимое сайта. Атака была совершена путём перенаправления трафика на другой хост через изменение данных в DNS.

По словам администратора ресурса, злоумышленники получили доступ к учётной записи владельца сайта у регистратора Network Solutions. Судя по всему, для домена Linux.org через сервис Whois отображались полные данные о владельце и атакующие, воспользовавшись существующими базами взломанных аккаунтов, смогли получить доступ к почтовому ящику в сервисе Yahoo, использовав ранее захваченную в результате взлома Yahoo базу с хэшами паролей. После этого при помощи функции восстановления забытого пароля атакующие смогли поменять пароль к учётной записи Network Solutions, к которой был привязан взломанный почтовый ящик в Yahoo. Помехой могло стать применение двухфакторной аутентификации для дополнительной защиты аккаунта, но она не была активирована.

Инфраструктура проекта и база пользователей Linux.org не пострадали - атакующие не получили доступа к серверам. Атака ограничилась только вандализмом с переключением на другой сервер в DNS. Атакующие уже опубликовали скриншот интерфейса Network Solutions, из которого видно, что кроме linux.org был получен доступ к параметрам DNS сайтов linuxonline.com, linuxonline.net, linuxonline.org и linuxhq.com, которые не использовались для каких-либо проектов.

Предполагается, что причиной взлома стала произошедшая в прошлом году смена руководства linux.org с заменой сайта, удалением ранее размещённого контента и перерегистрацией учётных записей пользователей форума. Вначале атакующие разместили на подменённом сайте нецензурный текст и пошлое изображение с намёком на протест против принятого разработчиками ядра Linux кодекса поведения (Code of Conduct). Затем на странице были размещены оскорбления и полные персональные данные (включая домашний адрес) Coraline Ada Ehmke, трансгендерного разработчика и создателя инициативы Contributor Covenant, на основе которой был сформирован кодекс разработчиков ядра Linux. Сайт оставался перенаправлен в течение трёх с половиной часов.

  1. Главная ссылка к новости
  2. OpenNews: Арестован подозреваемый во взломе kernel.org
  3. OpenNews: Оценка причин и последствий взлома kernel.org
  4. OpenNews: Разработчикам ядра Linux рекомендовано проверить рабочие машины на наличие вредоносного ПО
  5. OpenNews: Инфраструктура Linux Foundation и Linux.com подверглась взлому
  6. OpenNews: Опубликован полный отчёт о взломе Sourceforge.net
Обсуждение (26 +29) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor