The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

/ Безопасность
 - Виртуальные серверы и изолированные окружения
 - Квоты, ограничения
 - Firewall
 - Шифрование, SSH, SSL
 - Приватность
 - Вирусы, вредоносное ПО и спам
·07.12.2022 Компания Tesla развивает криптографическую библиотеку liblithium (84 +13)
  Компания Tesla Motors опубликовала криптографическую библиотеку liblithium, ключевыми целями создания которой являются компактность, низкое потребление ресурсов и переносимость. Библиотека изначально развивается с оглядкой на возможность выполнения как на обычных CPU, так и в DSP-чипах и микроконтроллерах, и подходит для использования в ограниченных окружениях и в коде, вызываемом на ранних стадиях загрузки для верификации цифровых подписей прошивок встраиваемых устройств. Код написан на языке Си (C99) и распространяется под лицензией Apache 2.0...
·05.12.2022 Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract (28 +8)
  Несколько недавно выявленных уязвимостей:...
·03.12.2022 Около 21% нового компилируемого кода в Android 13 написано на языке Rust (269 –2)
  Инженеры из компании Google подвели первые итоги внедрения в платформу Android поддержки разработки на языке Rust. В Android 13 примерно 21% от добавленного нового компилируемого кода написано на Rust, а 79% на C/C++. В репозитории AOSP (Android Open Source Project), в котором развиваются исходные тексты платформы Android, насчитывается примерно 1.5 млн строк кода на Rust, связанного с такими новыми компонентам, как хранилище криптографических ключей Keystore2, стек для UWB-чипов (Ultra-Wideband), реализация протокола DNS-over-HTTP3, фреймворк виртуализации AVF (Android Virtualization Framework), экспериментальные стеки для Bluetooth и Wi-Fi...
·03.12.2022 Сертификаты Samsung, LG и MediaTek использовались для заверения вредоносных Android-приложений (79 +19)
  Компания Google раскрыла сведения об использовании сертификатов ряда производителей смартфонов для заверения цифровой подписью вредоносных приложений. Для создания цифровых подписей применялись сертификаты платформы, которыми производители заверяют привилегированные приложения, входящие в основной состав системных образов Android. Из производителей, c сертификатами которых связаны подписи вредоносных приложений, прослеживаются Samsung, LG и MediaTek. Источник утечки сертификатов пока не выявлен...
·02.12.2022 Root-уязвимость в инструментарии управления пакетами Snap (74 +13)
  Компания Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6. Обновления пакетов выпущены для всех поддерживаемых веток Ubuntu...
·01.12.2022 Уязвимость в драйвере GPU Intel для Linux (22 +7)
  В драйвере GPU Intel (i915) выявлена уязвимость (CVE-2022-4139), которая может привести к повреждению памяти или утечке данных из памяти ядра. Проблема проявляется начиная с ядра Linux 5.4 и затрагивает интегрированные и дискретные GPU Intel 12 поколения, включая семейства Tiger Lake, Rocket Lake, Alder Lake, DG1, Raptor Lake, DG2 и Arctic Sound...
·01.12.2022 Удалённо эксплуатируемая root-уязвимость в утилите ping, поставляемой во FreeBSD (130 +36)
  Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода с правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной уязвимости пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось)...
·01.12.2022 Выпуск Arti 1.1, официальной реализации Tor на языке Rust (85 +8)
  Разработчики анонимной сети Tor опубликовали выпуск проекта Arti 1.1.0, развивающего Tor-клиент, написанный на языке Rust. Ветка 1.x отмечена как пригодная для использования обычными пользователями и обеспечивающая тот же уровень конфиденциальности, юзабилити и стабильности, что и основная реализация на языке Си. Код распространяется под лицензиями Apache 2.0 и MIT...
·30.11.2022 Выпуск Cryptsetup 2.6 с поддержкой механизма шифрования FileVault2 (13 +9)
  Опубликован набор утилит Cryptsetup 2.6, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity...
·29.11.2022 Компания Cisco выпустила свободный антивирусный пакет ClamAV 1.0.0 (81 +28)
  Компания Cisco представила новый значительный выпуск свободного антивирусного пакета ClamAV 1.0.0. Новая ветка примечательна переходом на традиционную нумерацию выпусков "Major.Minor.Patch" (вместо 0.Version.Patch). Значительная смена версии также обусловлена внесением в библиотеку libclamav изменений, нарушающих совместимость на уровне ABI из-за удаления пространства имён CLAMAV_PUBLIC, изменения типа аргументов в функции cl_strerror и включения в пространство имён символов для языка Rust. Проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2...
·25.11.2022 В Docker Hub выявлено 1600 вредоносных образов контейнеров (35 +11)
  Компания Sysdig, развивающая одноимённый открытый инструментарий для анализа работы системы, опубликовала результаты исследования более 250 тысяч образов Linux-контейнеров, размещённых в каталоге Docker Hub без признака верифицированного или официального образа. В итоге 1652 образа были классифицированы как вредоносные...
·23.11.2022 Уязвимость в подсистеме io_uring, приводящая к повышению привилегий (76 +11)
  В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-3910), позволяющая непривилегированному пользователю выполнить код с привилегиями ядра. Проблема проявляется в выпусках 5.18 и 5.19, и устранена в ветке 6.0...
·23.11.2022 Уязвимость в Zyxel LTE3301-M209, допускающая доступ через предопределённый пароль (25 +9)
  В устройствах Zyxel LTE3301-M209, сочетающих функции беспроводного маршрутизатора и 4G-модема, выявлена проблема с безопасностью (CVE-2022-40602), связанная с возможностью получения доступа с заранее известным паролем, присутствующим в прошивке. Проблема позволяет удалённому атакующему получить права администратора на устройстве, в случае если в настройках включена функция удалённого администрирования. Появление уязвимости объясняется использованием инженерного пароля в коде, разработкой которого занимался сторонний поставщик...
·22.11.2022 Выпуск реализации анонимной сети I2P 2.0.0 (93 +27)
  Состоялся релиз анонимной сети I2P 2.0.0 и C++-клиента i2pd 2.44.0. I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. Сеть строится в режиме P2P и образуется благодаря ресурсам (пропускной способности), предоставляемым пользователями сети, что позволяет обойтись без применения централизованно управляемых серверов (коммуникации внутри сети основаны на применении шифрованных однонаправленных туннелей между участником и peer-ами)...
·19.11.2022 Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере (15 +3)
  В Bitbucket Server, проприетарном пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неаутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения...
Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру