The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.01.2018 Новые Web API в Firefox будут доступны только для HTTPS (95 –8)
  Компания Mozilla объявила о применении принципа защищённого контекста (Secure Context) к новым Web-технологиям, которые будут появляться в будущих выпусках Firefox. Secure Context подразумевает, что ряд возможностей для web-разработки станет доступен только при открытии с использованием защищённого соединения. По мнению разработчиков, данная тактика позволит ускорить повсеместный переход сайтов на HTTPS, а в случае доступа по HTTP усложнит проведение атак, которые могут привести к утечке персональных данных или получению низкоуровневого доступа к оборудованию.

По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства, расширения существующих объектов JavaScript, новые HTTP-заголовки и новые Web API (например, WebVR). Привязка к HTTPS также может быть обеспечена и для уже присутствующих возможностей, доступ к которым по HTTP сопряжён с угрозами для безопасности и приватности. При этом предусмотрен ряд исключений, которые могут быть приняты если возможность уже доступна в других браузерах без привязки к Secure Context или если применение ограничений приводит к чрезмерной сложности в реализации. Например, новое CSS-свойство color, вероятно останется доступно для HTTP.

В настоящее время только для HTTPS доступны такие API, как Geolocation, Service workers и Storage, так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью. На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions и Web Crypto API. Уже утверждён перевод в Secure Context интерфейсов Generic sensor API, Credential Management Level 1 и Web NFC API.

Контекст будет признаваться безопасным в случае локального доступа (через http://localhost или file://) или обращения по HTTPS, при условии, что все элементы страницы загружаются по HTTPS (если часть контента получена через HTTP, то будет применено ограничение). Для определения доступности тех или иных возможностей при обращении по HTTP предлагается использовать CSS-правило @supports, которое рекомендуется как более предпочтительный вариант, чем API self.isSecureContext. Для упрощения перехода на Secure Context и обеспечения локального тестирования без HTTPS будет предоставлен специальный инструментарий.

  1. OpenNews: В Chrome будет принудительно включаться HTTPS для доменов .dev и .foo
  2. OpenNews: В Chrome 63 появятся средства информирования о попытках перехвата HTTPS
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  5. OpenNews: Проект Mozilla заявил о намерении отказаться от незашифрованного HTTP
Обсуждение (95 –8) | Тип: К сведению |
16.01.2018 Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код (37 +7)
  В BitTorrent-клиенте Transmission выявлена уязвимость (CVE-2018-5702), затрагивающая RPC-интерфейс, используемый для организации связи между бэкендом (рабочий процесс) и фронтэндом (интерфейс). Уязвимость позволяет организовать атаку, которая, если в системе запущен демон Transmission, может привести к выполнению произвольного кода, при открытии на той же системе в браузере сайта атакующего. Исправление доступно в виде патча и обновления для Arch Linux, Debian и FreeBSD (пока недоступно для Fedora, SUSE, openSUSE, Ubuntu, RHEL/EPEL).

По умолчанию бэкенд принимает запросы на сетевом порту 9091, привязываясь к интерфейсу localhost (127.0.0.1). Запросы фронтэндов отправляются с использованием формата JSON, а для успешного подключения обязательно заполнение HTTP-заголовка "X-Transmission-Session-Id". Злоумышленник может создать страницу, при открытии которой при помощи вызова XMLHttpRequest() можно отправить произвольный запрос на localhost, но в этом случае невозможно подставить свой заголовок "X-Transmission-Session-Id", так как сработает защита от выхода за пределы области текущего домена (cross-origin).

Для обхода данного ограничения предлагается интересный трюк. Для хоста, с которого предлагается страница для атаки, в DNS настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для данной DNS-записи выставляется в минимальное значение. При открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, ожидающий истечения TTL и после этого при помощи XMLHttpRequest() отправляет второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin, что позволяет передать произвольный HTTP-заголовок.

Для демонстрации атаки подготовлен специальный минималистичный DNS-сервер rbndr, циклично меняющий IP для хоста. Также доступен пример JavaScript-кода для совершения атаки. Для организации выполнения кода после успешной отправки запроса к бэкенду используется возможность Transmission по привязке выполнения скрипта к загрузке торрента. В частности, можно передать бэкенду команду по включению режима script-torrent-done-enabled и запустить любой скрипт или установить параметр download-dir в /home/user/ и загрузить фиктивный торрент с именем ".bashrc".

Информация об уязвимости и патч для её устранения были переданы разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему, поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость независимо от основного проекта. По мнению разработчиков Transmission уязвимость не представляет практическую опасность, так как затрагивает только конфигурации, в которых запускается отдельный демон (например, в случае применения web-фронтэнда) и он настроен на подключение без пароля.

  1. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
  2. OpenNews: Уязвимость в Guile, затрагивающая программы, привязанные к localhost
  3. OpenNews: Новая версия BitTorrent-клиента Transmission 2.90
  4. OpenNews: В BitTorrent-клиенте Transmission 2.90 выявлено вредоносное ПО для OS X (дополнено)
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
Обсуждение (37 +7) | Тип: Проблемы безопасности |
15.01.2018 Выпуск Coreboot 4.7 (50 +17)
  После десяти месяцев разработки подготовлен релиз проекта CoreBoot 4.7, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 150 разработчиков, которые подготовили 2573 изменения.

Основные новшества:

  • В состав интегрирован инструментарий me_cleaner, предназначенный для очистки содержимого прошивки Intel ME. Me_cleaner оставляет только компоненты для начальной инициализации CPU, все остальные модули удаляются (прошивка сокращается с 5 Мб до 300 Кб);
  • Добавлена поддержка чипсетов AMD Stoney Ridge, Intel i82801jx Southbridge (ICH10), Intel Denverton, Intel Denverton-NS, а также начальная поддержка Intel Cannon Lake;
  • Добавлена поддержка встраиваемого контроллера KBC1126, используемого в ноутбуках HP EliteBooks;
  • Добавлена команда flashconsole с реализацией консоли для отладки SPI Flash;
  • Обеспечена поддержка сборки реализации UEFI от проекта Tianocore;
  • Добавлен типовой драйвер mrc_cache для сохранения настроек romstage в SPI Flash;
  • В сборочном сценарии buildgcc обеспечена верификация загружаемых файлов по хэшам;
  • Добавлена поддержка 47 материнских плат:
    • Acer Chromebook 14 CB3-431, 15 CB3-532, N7 C731;
    • ASRock B75 Pro3-M, G41C-GS R2.0;
    • Asus AM1I-A, Asus Chromebook C202SA/C300SA/C301SA;
    • Biostar A68N-5200;
    • Compulab Intense-PC;
    • Dell Chromebook 11 3180/3189;
    • Foxconn G41S-K;
    • Google Coral, Grunt, Kahlee, Meowth, Nami, Nautilus, Nefario, Soraka, Zoombini; * HP Chromebook 11 G5, HP EliteBook 2570p, 2760p, 8460p, 8470p, Revolve 810 G1;
    • Intel Cannnlake RVPU, Cannnlake RVPY, D410PT, DG43GT, GLKRVP, Harcuvar, NUC DCP847SKE, Saddle Brook;
    • Lenovo N22/N42 Chromebook, Lenovo T430, Thinkpad 11e/Yoga Chromebook G3, ThinkPad X131e, Z61T;
    • PC Engines APU3, APU4, APU5;
    • Purism Librem 13 v2, 15 v3;
    • Samsung Chromebook 3;
    • White label Chromebook;
    • WinNET G170;
  • Удалена поддержка плат Biferos Bifferboard и Google Cosmos;
  • Для многих плат устройств на базе Google ChromeOS добавлены определения портов ACPI USB;
  • Для Lenovo Thinkpad унифицирована поддержка гибридной графики, добавлена поддержка пассивной системы охлаждения, управления кулером через ACPI и средств определения BDC;
  • Добавлена поддержка всех плат на базе чипов Intel Braswell, испозуемых в устройствах с ChromeOS;
  • Для плат на базе Ivy Bridge обеспечено корректное определение частоты работы DRAM;
  • Для плат Intel Sandy Bridge улучшены средства выбора частоты;
  • Для Intel I440BX и AMD binaryPI реализована начальная поддержка CBMEM;
  • В libgfxinit добавлена поддержка чипсетов Broxton/APL (DP и HDMI) и Skylake;
  • В intelmetool добавлена поддержка Sunrise Point LP.

    1. OpenNews: Проект CoreBoot перешел под покровительство организации Software Freedom Conservancy
    2. OpenNews: Фонд СПО представил Libreboot, полностью свободный дистрибутив Coreboot
    3. OpenNews: Выпуск CoreBoot 4.6
    4. OpenNews: Выпуск CoreBoot 4.5
    5. OpenNews: Разработчики CoreBoot пытаются создать минимальный VideoBIOS для чипов Intel
Обсуждение (50 +17) | Тип: Программы |
15.01.2018 Представлена LittleFS, компактная файловая система для встраиваемых устройств (44 +28)
  Проект Mbed OS, в рамках которого компания ARM развивает открытую ОС для устройств "Интернета вещей", представил новую файловую систему LittleFS, оптимизированную для встраиваемых систем. Код ФС написан на языке Си и распространяется под лицензией Apache 2.0. ФС LittleFS доступна в составе Mbed OS 5.7, как FUSE-модуль для монтирования из Linux, в форме Си-библиотеки для интеграции с приложениями и как обвязка для JavaScrpt (emscripten) для обращения к данным из браузера.

Реализация LittleFS включает около 2000 строк кода, система не требовательна к ресурсам и может работать в условиях ограниченного размера ОЗУ. В коде не используются рекурсивные вызовы и возможна работа без динамического выделения памяти с использованием статически определённых буферов. В отличие от других ФС для Flash-накопителей, построенных на основе структур данных в форме лога, в LittleFS размер потребляемой оперативной памяти и служебных структур на накопителе всегда остаётся постоянным, независимо от того, что записывается в ФС и какого размера хранилище.

LittleFS включает программные средства для выравнивания износа Flash-носителей (wear leveling), позволяющие минимизировать повторное использование блоков и равномерно распределить операции очистки блоков на Flash-памяти, контроллер которой не обеспечивает решение данной задачи.

Важной для встраиваемой техники особенностью LittleFS также является устойчивость к сбоям - ФС рассматривает случайное прекращение работы (завершение работы через отключение питания) в качестве штатной ситуации и спроектирована для гарантирования нахождения хранилища на диске в целостном состоянии в любой момент времени. Для исключения нарушения целости и потери данных применяется механизм copy-on-write (COW), при котором изменения не перезаписывают информацию, а сохраняются в новое место.

Структуру LittleFS составляет набор блоков директорий. Каждая директория имеет связанный список пар метаданных, которые могут обновляться атомарно через изменение указателя на активный блок метаданных. Блоки директорий включают ссылки на другие файлы или директории. Содержимое файлов представлено COW-списками CTZ, обеспечивающими уровень сложности O(1) при добавлении и O(nlogn) при чтении. Выделение блоков осуществляется через сканирование ФС на предмет использованных блоков в области фиксированного размера, хранимой в виде битового вектора. Для упрощения сканирования все директории являются частью связанного списка, охватывающего всю файловую систему. Если при записи блока определяется ошибка, то выделяется новый блок и данные переносятся в него.

Поддерживается полный набор POSIX-подобных функций для работы с файлами и каталогами. Обеспечивается атомарность совершения таких операций, как удаление и переименование, даже в случае пропадания питания во время их выполнения. Фактически изменения файла сбрасываются на диск только после вызова sync или close. Рассогласования, вызванные операциями, которые не могут быть выполнены атомарно, решаются специальным обработчиком deorphan, который проходит по всему дереву ФС при первом распределении после загрузки.

  1. OpenNews: Компания ARM открыла исходные тексты встраиваемой операционной системы mbed OS
  2. OpenNews: В состав ядра Linux 3.8 войдёт файловая система F2FS
  3. OpenNews: Новая ФС Bcachefs, сочетающая функциональность btrfs/zfs с производительностью ext4/xfs
  4. OpenNews: Для Linux предложена новая ФС NOVA, спроектированная для NVM-памяти
  5. OpenNews: Первый выпуск файловой системы Zbox
Обсуждение (44 +28) | Тип: Программы |
15.01.2018 Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript (27 +23)
  Jan Böhmer опубликовал прототип системы для организации отслеживания перемещения посетителей по сайтам, который ограничивается использованием только CSS и не требует выполнения кода на JavaScript. При размещении на сайте представленного кода организуется передача на внешний сервер базовой информации о посетителе, включая сведения о разрешении экрана, типе браузера и наличии заданных шрифтов. На основе различий в доступных шрифтах можно определить тип ОС.

Кроме того, определяется по каким ссылкам на странице переходил пользователь или к которым из ссылок подводил курсор мыши. Также могут быть выявлены общие особенности перемещения мыши по экрану (фоном выводится невидимая таблица полей, по которой определяется перемещение мыши). В текущем виде код может отслеживать только первые клики и наведения мыши, последующие клики по тем же ссылкам или повторные наведения мыши не учитываются. Проверить работу метода можно на специально подготовленной демонстрационной странице.

Реализация использует возможности CSS по добавлению изображений из внешних источников при помощи свойства url("foo.bar") - так как ресурсы загружаются только при необходимости, можно указать вместо изображения ссылку на внешний скрипт-сборщик статистики и привязать к таким событиям, как переход на ссылку или подведение мыши к ссылке. Например для отслеживания кликов можно использовать код:


   #link2:active::after {
       content: url("track.php?action=link2_clicked");
   }

Для определения идентификатора бразуера можно использовать правила @supports для проверки наличия специфичных для каждого типа браузеров свойств CSS, например, только браузеры на движке Chromium поддерживают свойство "-webkit-appearance":


   @supports (-webkit-appearance:none) {
       #chrome_detect::after {
           content: url("track.php?action=browser_chrome");
       }
   }

Для определения наличия шрифтов в CSS создаётся новое фиктивное семейство шрифтов, в качестве источника для загрузки которого указывается внешний скрипт-сборщик данных. Далее формируются проверочные блоки текста в котором первым указывается проверяемый шрифт, а вторым фиктивный шрифт. Если проверяемый шрифт присутствует, то второй шрифт будет игнорирован, но если проверяемого шрифта нет, браузер попытается использовать фиктивный шрифт как запасной вариант и отправит запрос к внешнему скрипту:


   @font-face {
       font-family: Font1;
       src: url("track.php?action=font1");
   }
   #font_detection1 {
       font-family: Calibri, Font1;
   }

  1. OpenNews: В Firefox реализовано отложенное выполнение стороннего кода отслеживания перемещений
  2. OpenNews: Анализ средств отслеживания действий пользователей на сайтах
  3. OpenNews: В Firefox 57 появятся средства для блокирования отслеживания перемещений
  4. OpenNews: Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК
  5. OpenNews: Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей
Обсуждение (27 +23) | Тип: Обобщение |
13.01.2018 В коммутаторах Lenovo и IBM выявлен бэкдор (95 +30)
  Компания Lenovo сообщила о выявлении бэкдора (CVE-2017-3765) в операционной системе ENOS (Enterprise Network Operating System), которая поставляется в некоторых моделях коммутаторов Lenovo и IBM (Flex System Fabric, RackSwitch и BladeCenter). Проблема найдена в ходе аудита кодовой базы ENOS, проведённого Lenovo в рамках проверки безопасности продуктов, полученных в ходе поглощения других компаний. Получив управление злоумышленник мог изменить произвольные настройки, в том числе организовать зеркалирование и анализ трафика или нарушить нормальную работу инфраструктуры.

Найденный бэкдор позволял получить доступ к интерфейсу управления коммутатором с правами администратора, используя предопределённые учётные данные, уникальные для каждого коммутатора. Бэкдор действовал при входе через ssh, telnet, последовательный порт или web-интерфейс, в случае выполнения определённых условий в сочетании с комбинацией из локальной аутентификации и аутентификации через RADIUS или TACACS+. Подробности о методе активации бэкдора не приводятся.

Изучение истории изменения кодовой базы показало, что бэкдор был внедрён в 2004 году во время, когда разработкой ENOS занималась компания Nortel. Механизм был добавлен в ответ на запрос одного из OEM-клиентов. В 2006 году подразделение было выделено в отдельную компанию BLADE Network Technologies, которую в 2010 году поглотил IBM, а в 2014 году связанные c коммутаторами активы были куплены Lenovo. Для проблемных устройств подготовлено обновление прошивки.

  1. OpenNews: Обход искусственной привязки аккумуляторов в ноутбуках Lenovo
  2. OpenNews: Lenovo уличили в предустановке ПО, подменяющего сертификаты для HTTPS
  3. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
  4. OpenNews: В межсетевых экранах FortiGate выявлен бэкдор
  5. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
Обсуждение (95 +30) | Тип: Проблемы безопасности |
13.01.2018 Эксперимент по созданию файловой системы, хранящей данные в кэше DNS (29 +30)
  Под вдохновением от проекта PingFS, предпринята попытка создания более надёжной ФС - DNSFS. Как и PingFS проект DNSFS позиционируется как эксперимент, не рассчитанный на серьёзное использование.

В PingFS для хранения информации используется поле с данными в пакетах ICMP Echo - инициируется серия непрерывных операций ping, и каждый ответ синхронизирует примерно 1400 байт информации по аналогии с синхронизацией содержимого памяти (время жизни информации от отправки пакета до получения ответа). Но в случае остановки ping или потери пакета информация потеряется.

В DNSFS для хранения информации решено использовать кэш DNS. Для определения общедоступных резолверов было произведено сканирование всех IP-адресов сети при помощи пакета masscan, которое выявило почти 4 млн открытых DNS-резолверов, но повторная проверка показала, что 37.9% не пригодны для проекта, так как используют динамически выделяемые адреса. Дальнейшее изучение списка показало, что только 18% открытых резолверов могут хранить данные в кэше около суток. В итоге пригодными для проекта оказались 438 тысяч открытых резолверов.

Отслеживая время жизни записей и дублируя информацию можно добиться приемлемого уровня надёжности при достаточно редком цикле обновления информации (по сравнению с PingFS). В итоге можно получить полностью распределённое и независимое эфемерное хранилище. Для хранения было решено использовать TXT-записи в рассчёте 9 TXT-записей по 187 байт на каждый резолвер. Максимальный размер хранилища при такой разбивке составляет 250 Мб с учётом репликации данных как минимум на три разных резолвера. В текущем виде DNSFS оформлен в виде простого HTTP-интерфейса для загрузки и скачивания файла. Обновление состояния блоков пока не поддерживается, т.е. данные могут храниться не более суток.

  1. OpenNews: Организация Linux Foundation представила DNS-сервер CoreDNS 1.0.0
  2. OpenNews: Выпуск DNS-сервера Knot DNS 2.2
  3. OpenNews: Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего
  4. OpenNews: Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS
  5. OpenNews: DNS как канал передачи данных от вредоносного ПО
Обсуждение (29 +30) | Тип: Программы |
12.01.2018 Уязвимость в Glibc, позволяющая поднять привилегии в системе (60 +17)
  В стандартной библиотеке Glibc выявлена уязвимость (CVE-2018-1000001), вызванная переполнением через нижнюю границу буфера в функции realpath(), проявляющимся при возврате относительного пути системным вызовом getcwd(). Изначально ядро Linux возвращало в getcwd() только абсолютные пути, но затем в ядре 2.6.36 поведение было изменено, но функции Glibc не были адаптированы на обработку относительных путей.

Относительные пути возвращаются при достаточно редкой ситуации, когда процесс не меняет текущую директорию после выполнения вызова chroot и путь к корню оказывается вне области текущего дерева каталогов. Начиная с ядра Linux 2.6.36 начальная часть такого пути заменяется на строку "(unreachable)". Непривилегированный пользователь может добиться аналогичного эффекта сменив текущую директорию процесса на путь в другом пространстве имён. Атакующий может создать каталог "(unreachable)" и использовать его как начало относительного пути.

При обработке символической ссылки с относительными путями (/../) realpath() использует getcwd() для получения информации о текущем каталоге для нормализации ссылки. Так как вызов getcwd() может вернуть не полный путь, а обрезанный с заменой части на "(unreachable)", а realpath() на подобную замену не рассчитан и пытается найти "/" корня пути, при разборе подобного пути он не остановится на начале "(unreachable)", а продолжит разбор памяти. Суть нормализации в удалении лишних элементов ("/./", "/../" и "//") в пути, поэтому буфер для записи итогового пути выделяется на основе размера имеющегося пути, без расчёта, что разбор продолжится за пределами "(unreachable)". Так как заполнение осуществляется в обратном порядке, то при обработке символической ссылки с комбинацией переходов "/../" можно добиться выхода указателя в нужную область памяти до начала выделенного буфера и содержимое части пути будет записано в область перед буфером.

Выявившие уязвимость исследователи подготовили рабочий прототип эксплоита, позволяющий поднять свои привилегии до прав root через манипуляцию с исполняемыми файлами с флагом suid root, в которых вызывается функция realpath(). В эксплоите используется утилита /bin/umount, которая вызывает realpath() в коде инициализации локали, выполняемом до сброса привилегий. Для инициирования появления относительного пути в эксплоите используется пространство имён идентификаторов пользователя, т.е. атака возможна только при активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1). Работа эксплоита продемонстрирована в Debian Stretch на системе с архитектурой amd64.

Обновление пакетов с устранением уязвимости уже выпущено для SUSE и openSUSE. Исправление пока недоступно для Ubuntu, Debian, Fedora и RHEL.

  1. OpenNews: Уязвимость в Glibc ld.so, позволяющая поднять свои привилегии в системе
  2. OpenNews: Удалённо эксплуатируемая уязвимость в Glibc, охватывающая большинство сетевых приложений в Linux
  3. OpenNews: Уязвимость GHOST в Glibc может проявляться в web-приложениях на языке PHP
  4. OpenNews: Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux
  5. OpenNews: В Glibc обнаружена серьезная уязвимость
Обсуждение (60 +17) | Тип: Проблемы безопасности |
12.01.2018 Доступна коммуникационная система Nextcloud Talk с поддержкой видеовызовов (80 +22)
  После полутора лет разработки создатели облачной платформы Nextcloud (форк ownCloud) представили первый выпуск проекта Nextcloud Talk, в рамках которого подготовлено решение для развёртывания сервиса для обмена текстовыми сообщениями, совершения голосовых звонков и видеовызовов с возможность организации видеоконференций и проведения вебинаров.

Как и облачное хранилище Nextcloud новая система может быть развёрнута на собственном сервере без привязки к внешним облачным сервисам, что позволяет запустить полностью подконтрольное и самодостаточное решение, не зависящее от третьих лиц. Взаимодействие возможно как через браузер, так и при помощи специального мобильного приложения (Android, iOS). Серверная часть реализована в форме модуля для платформы Nextcloud. Код написан на PHP и поставляется под лицензией GNU AGPLv3.

Для обеспечения безопасности коммуникаций применяется оконечное шифрование (end-to-end, данные шифруются на стороне клиента и недоступны для анализа в случае компрометации сервера). Канал связи между участниками переговоров организуется при помощи WebRTC, звук и видео кодируются с использованием H.265. Поддерживаются прямые вызовы между пользователями, групповые аудио/видео конференции, публичные и закрытые трансляции, показ презентаций, демонстрация материалов и предоставление доступа к содержимому экрана.

Система подходит как для построения систем коммуникаций частных лиц, так и для применения на предприятиях, для которых дополнительно предлагается высокопроизводительный платный бэкенд, поддержка MCU/STUN/TURN для обхода межсетевых экранов и SIP-шлюз для подключения к конференции по телефону. Nextcloud Talk в один клик может быть установлен на любом сервере с Nextcloud (для установки требуется Nextcloud 13, который пока находится на стадии бета-тестирования). Для координации встреч и переговоров, а также для отправки приглашений может использоваться Nextcloud Calendar.

  1. OpenNews: Доступен сервер web-конференций Apache OpenMeetings 3.2.0
  2. OpenNews: Открыт код сервиса мгновенного обмена сообщениями Gitter
  3. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
  4. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
  5. OpenNews: Представлен (n+1)sec, протокол для создания защищённых децентрализованных чатов
Обсуждение (80 +22) | Тип: Программы |
12.01.2018 Сбой антиспам-системы привёл к коллапсу в репозитории NPM (85 +30)
  В репозитории NPM произошёл инцидент, напоминающий произошедшую в 2016 году историю с модулем left-pad, удаление которого привело к неработоспособности многих проектов из-за потери зависимости. На этот раз причиной проблем стала система автоматизированной борьбы со спамом, из-за которой по ошибке были удалены пользователь floatdrop и 102 разработанных им модуля.

Многие из заблокированных модулей пользовались популярностью и использовались в качестве зависимостей в других модулях и приложениях. Недоступность данных модулей привела к каскадному обрушению зависимостей и невозможности установить или обновить тысячи пакетов в NPM. Например, модуль require-from-string, содержащий всего 25 строк кода, насчитывает более 4.5 млн загрузок в месяц, а модуль timed-out (46 строк кода) более 7 млн загрузок в месяц.

Разбор причин ложного срабатывания антиспам-системы показал, что незадолго до инцидента один из спамеров разместил вредоносный модуль, в который для прикрытия скопировал файл README из легитимного пакета timed-out, принадлежащего пользователю floatdrop. Система распознала вредоносный модуль, но из-за совпадения файлов README посчитала пользователя floatdrop причастным к спаму. Отвечающий за разбор спама персонал халатно отнёсся к своим обязанностям и не разобравшись в сути предупреждения от антиспам-системы подтвердил блокировку учётной записи floatdrop и удалил все его модули из репозитория.

Проблема сразу дала о себе знать и персонал оперативно приступил к устранению неполадок. В течение трёх часов удалось полностью восстановить состояние репозитория. Примечательно, что быстрому восстановлению помешало то, что некоторые предприимчивые пользователи сразу зарегистрировали новые модули с теми же именами, что и удалённые (всего было размещено 11 дубликатов). Появление данных модулей потребовало дополнительного разбора и создало предпосылки для подозрений в попытках распространения вредоносного кода.

Для предотвращения подобных ситуаций в будущем была введена 24-часовая задержка републикации удалённых пакетов (для защиты от незаметного размещения вредоносных пакетов вместо удалённых), выработаны новые рекомендации и правила по реагированию на проблемы, улучшен инструментарий для борьбы со спамом и добавлены средства для оперативного восстановления ошибочно удалённых пакетов.

  1. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
  2. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
  3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
Обсуждение (85 +30) | Тип: Проблемы безопасности | Интересно
11.01.2018 Представлен метод атаки на групповой чат WhatsApp и Signal (54 +14)
  Группа исследователей безопасности из Рурского университета опубликовала сведения о недоработках протокола в системе групповых чатов WhatsApp, позволяющих при получении доступа к серверу организовать прослушивание закрытого чата, несмотря на применение оконечного (end-to-end) шифрования на стороне участников чата. Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки в случае компрометации инфраструктуры, диверсии персонала или предоставления доступа спецслужбам.

Принцип работы группового чата WhatsApp и Signal сводится к тому, что каждый участник чата шифрует все отправляемые сообщения на своей стороне и рассылает всем участникам чата, используя групповой ключ. Каждый участник имеет подобный ключ, позволяющий остальным читать его сообщения (т.е. вместо создания ключей для всех связей в группе, создаются групповые ключи для каждого участника). При подключении нового участника, члены группы обмениваются новыми групповыми ключами.

Слабой стороной WhatsApp является то, что участие в чате координируется сервером и каждый новый пользователь, который получил от сервера полномочия участия в чате, обретает возможность получения и отправки сообщений каждому участнику чата. В случае контроля за сервером можно обходным путём без получения пригласительного кода от члена группы добавить в группу фиктивного участника, который сможет установить end-to-end соединения со всеми остальными участниками и получать отправляемые в чат сообщения.

В мессенджере Signal недоработка связана с отсутствием проверки факта участия в группе пользователя отправившего управляющее сообщение c включением нового участника в группу. Данная особенность позволяет любому пользователю Signal отправить служебное сообщение с включением участника в группу, но для этого участник должен определить секретный идентификатор группы (128-разрядное случайное значение), узнать который нереально, даже имея доступ к серверу (идентификатор передаётся между участниками только в зашифрованном виде).

В WhatsApp сервер принимает большее участие в организации работы группы и не использует end-to-end шифрование для служебных сообщений управления группой, что позволяет на сервере перехватить идентификатор группы. Таким образом при наличии контроля за сервером WhatsApp можно определить идентификатор группы и инициировать подключение нового участника в чат, без ведома текущих членов группы.

Moxie Marlinspike, один из авторов протокола Signal, скептически отнёсся к практической пользе от атаки на групповой чат, так как все участники группы получат уведомление о подключении нового участника и скрыть данное уведомление не получится, так как связь с каждым новым участником устанавливается на стороне клиента, а сервер лишь обслуживает метаданные и не имеет доступа непосредственно к переписке. Кроме того, атакующий сможет перехватить только новые сообщения, отправленные после его подключения к чату, все ранее отправленные в группу сообщения останутся зашифрованы ключами, недоступными атакующему.

Данный подход оценивается как разумный компромисс между безопасностью и удобством работы. Например, в Telegram в групповых чатах к сообщениям вообще не применяется end-to-end шифрование и шифруются лишь потоки трафика между клиентом и сервером. В такой ситуации при наличии доступа к серверу можно полностью контролировать всю переписку, включая возможность просмотра ранее отправленных в чат сообщений, и делать это незаметно для участников чата.

Тем временем, Facebook, который владеет сервисом WhatsApp, опубликовал на GitHub реализацию нового протокола ART (Asynchronous Ratcheting Tree) для создания защищённых групповых чатов. В протоколе используется end-to-end шифрование и гарантируется конфиденциальность передаваемых сообщений. Прототип реализации написан на языке Java и поставляется под лицензией CC-BY-NC. В отличие от систем групповых чатов, подобных Signal, WhatsApp и Facebook Messenger, в ART предоставляется защита от подслушивания в случае компрометации одного из участников. Например, если кто-то получил контроль за одним из участников чата, в Signal он cможет прослушивать все дальнейшие разговоры группы.

Для решения этой проблемы в ART предложено использовать асимметричные предварительные ключи в сочетании с асимметричным одноразовым установочным ключом, которые позволяют в любой момент выполнить обмен новыми ключами для неполного набора участников и сохранить безопасность даже если некоторые участники не находятся в online или скомпрометированы. Установочный ключ генерируется создателем чата и используется только в процессе создания сеанса, давая возможность лидеру группы создать секретные ключи для участников, находящихся в offline.

  1. OpenNews: Поддельное приложение WhatsApp в Google Play установили более миллиона пользователей
  2. OpenNews: Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения
  3. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
  4. OpenNews: Выпуск платформы обмена сообщениями Zulip 1.7
  5. OpenNews: Опубликован Signal Desktop, вариант мессенджера для настольных систем
Обсуждение (54 +14) | Тип: Проблемы безопасности |
11.01.2018 Компания Apple присоединилась к альянсу, развивающему свободный видеокодек (77 +52)
  Компания Apple присоединилась к альянсу Open Media, который развивает видеокодек нового поколения AV1, который изначально позиционируется как общедоступный и не требующий оплаты отчислений. Присоединение к проекту Apple является важным шагом на пути к намеченной цели, так как в Open Media теперь представлено большинство влиятельных технологических компаний, включая Google, Microsoft, Mozilla, Facebook, Amazon, Intel, AMD, ARM и NVIDIA, а также такие крупные провайдеры контента, как Netflix и Hulu.

Участие Apple имеет большое значение, так как данная компания обладает большим портфелем патентов, охватывающих технологии кодирования видео, а также входит в число участников, формирующих патентный пул, связанный с форматом HEVC/H.265. Несмотря на то, что нет гарантий, что Apple воспользуется кодеком AV1 в своих продуктах, участие в Open Media требует предоставления лицензии на безвозмездное использование патентов, пересекающихся с AV1, всем пользователям реализаций данного кодека.

Кроме того, условия лицензионного соглашения на AV1 предусматривают отзыв прав на использование AV1 в случае предъявления патентных исков против других пользователей AV1. Т.е. компании не могут использовать AV1, если участвуют в судебных разбирательствах против пользователей AV1. Предполагается, что при широком распространении AV1 данное условие позволит защитить свободный кодек от давления со стороны компаний, заинтересованных в продвижении требующих выплаты отчислений кодеков, таких как HEVC. Возможность атаковать AV1 останется у патентных троллей, который не выпускают своих продуктов и обладают только интеллектуальной собственностью, но у участников альянса имеются и средства, и стимул для подавления подобных троллей.

Напомним, что кодек AV1 превосходит по своим характеристикам HEVC и VP9 и рассматривается как кодек следующего поколения. В основе AV1 лежит лучшая комбинация имеющихся открытых технологий, заимствованных из экспериментального проекта VP10, развиваемого Google после VP9, а также из свободных кодеков Daala от Xiph/Mozilla и Thor от Cisco. AV1 может масштабироваться для любых типов современных устройств и любой пропускной способности каналов связи, и при этом обладает низким потреблением вычислительных ресурсов при декодировании, поддерживает распараллеливание операций кодирования, применяет расширенные методы предсказания межкадровых изменений, оптимизирован для создания аппаратных реализаций и пригоден для доставки видео в режиме реального времени.

  1. OpenNews: Google, Cisco, Mozilla и Microsoft объединили усилия в создании нового свободного видеокодека
  2. OpenNews: Сообщество Xiph.Org представило видеокодек Daala с технологиями, опережающими VP9 и H.265/HEVC
  3. OpenNews: Компания Cisco опубликовала исходные тексты видеокодека OpenH264
  4. OpenNews: Компания Cisco представила свободный видеокодек Thor, конкурирующий с VP9 и H.265
  5. OpenNews: GoPro перевёл видеокодек CineForm в разряд открытых проектов
Обсуждение (77 +52) | Тип: К сведению |
11.01.2018 Релиз почтового клиента Notmuch 0.26 (20 +19)
  Доступен релиз почтового клиента Notmuch, сосредоточенного на индексации, организации поиска и классификации по тегам большого архива электронной корреспонденции, включающего миллионы писем. Код Notmuch написан на языке Си и распространяется под лицензией GPLv3. Для индексации используется поисковый движок Xapian.

Архитектура Notmuch подразумевает разделение на фронтэнд и бэкенд. В качестве бэкенда выступает библиотека libnotmuch и построенная на ее основе утилита для работы в режиме командной строки, реализующая базовый костяк всех функций программы и API для построения пользовательского интерфейса или использования в скриптах. В качестве фронтэндов c реализацией пользовательского интерфейса предложены плагины к Emacs и Vim, скрипт для интеграции с Mutt, а также ряд самодостаточных интерфейсов (консольный клиент alot, GUI на GTK+ astroid, web-интерфейс noservice).

Notmuch предоставляет единый поисковый индекс в котором отражены все почтовые сообщение. Сообщения не размещаются в каких-то фиксированных папках, а привязаны к определённому набору тэгов. Тэги могут выставляться как вручную, так и на основании заданных пользователем фильтров. Отображение переписки производится в нитевидном представлении, что удобно для чтения разнообразных почтовых рассылок.

Изменения в новом выпуске:

  • Добавлена команда "notmuch reindex", позволяющая выполнить переиндексацию всех существующих сообщений, удовлетворяющих заданному условию;
  • Улучшена детализация сообщений об ошибках;
  • В new.tags добавлена поддержка тегов draft, flagged, passed и replied, синхронизированных из maildir;
  • Реализована возможность использования регулярных выражений в правилах игнорирования новых сообщений (new.ignore);
  • Добавлена поддержка индексации текста зашифрованных сообщений, что позволяет упростить поиск зашифрованных сообщений. Для индексации зашифрованных сообщений следует указать опцию "--decrypt=true" при выполнении команд new, insert и reindex, или активировать настройку "notmuch config set index.decrypt true". При использовании указанной функции следует иметь в виду, что отрывочные данные из зашифрованных сообщений попадут в незашифрованный индекс;
  • Добавлена поддержка индексации разных сообщений с повторяющимся идентификатором message-id.

  1. OpenNews: Представлен Calypso, новый открытый сервер календарей CalDAV/CardDAV/WebDAV
  2. OpenNews: В рамках проекта Kube развивается новый почтовый клиент для KDE
  3. OpenNews: Выпуск почтового клиента Mutt 1.9.0
  4. OpenNews: Выпуск почтового клиента Geary 0.12
  5. OpenNews: Выпуск почтового клиента Mailspring 1.0.12
Обсуждение (20 +19) | Тип: Программы |
10.01.2018 Let's Encrypt опубликовал описание атаки и план по устранению проблемы (37 +11)
  Сервис Let's Encrypt опубликовал описание уязвимости, из-за которой сегодня утром был отключен метод проверки владения доменом TLS-SNI-01. Проблема была не на стороне Let's Encrypt и была вызвана предоставлением излишних полномочий на некоторых хостингах.

Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом.

Если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайный токен, сгенерировать проверочный сертификат и загрузить его для домена "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки сервер ACME определит IP-адрес домена example.com и отправит на него HTTPS-запрос проверочного домена "токен.acme.invalid" с использованием расширения SNI. Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует домен example.com.

Разработчики Let's Encrypt намерены вернуть поддержку TLS-SNI-01 как только будут абсолютно уверены в безопасности предпринятых мер защиты. Пока в качестве пути для решения проблемы называется работа с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля за доменами пользователей. Представители Let's Encrypt уже связались с провайдерами, у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В течение 48 часов будет представлен список проблемных провайдеров и связанных с ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена для всех адресов, за исключением чёрного списка.

Напомним, что метод TLS-SNI-01 позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS). При использовании TLS-SNI-01 ACME-сервер генерирует случайный токен и возвращает его клиенту. Клиент ACME использует токен для создания самоподписанного сертификата, который генерируется для несуществующего домена (например, 773c7d.13445a.acme.invalid). Далее клиент настраивает http-сервер для использования этого сертификата для данного фиктивного проверочного домена. ACME-сервер определяет IP-адрес реального проверяемого домена, инициирует TLS-соединение и обращается к фиктивному домену (773c7d.13445a.acme.invalid), используя TLS-расширение SNI. Если web-сервер вернул сертификат, содержащий данное имя хоста, то считается, что клиент подтвердил контроль над доменом и ему может быть выдан сертификат для реального проверяемого домена.

  1. OpenNews: Инцидент с уязвимостью в сервисе Let's Encrypt
  2. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
  3. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  4. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
  5. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
Обсуждение (37 +11) | Тип: Проблемы безопасности |
10.01.2018 Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre (213 +45)
  Исследователи безопасности, выявившие уязвимости в системе спекулятивного выполнения команд современных процессоров, открыли доступ к рабочим протипам эксплоитов, созданным для демонстрации возможности совершения атак Meltdown и Spectre. В том числе открыт код библиотеки libkdump, которая использовалась в демонстрациях возможности перехвата ввода паролей, обхода KASLR, доступа к памяти хост-системы из гостевой системы KVM и определения содержимого произвольных областей физической памяти (physical_reader и memdump). Наилучшие результаты работы эксплоитов отмечаются на процессорах с поддержкой Intel TSX (Intel Core i7-5xxx, i7-6xxx или i7-7xxx). Ранее доступ к репозиторию на GitHub был ограничен.

Кроме того, накопилась большая подборка заметок с оценкой изменения производительности систем, после применения к ядру Linux патчей KPTI и retpoline для блокирования атак Meltdown и Spectre. Общий вывод указывает на то, что накладные расходы вполне терпимы на системах, поддерживающих PCID (Processor-Context ID). На системах без поддержки PCID замедление работы существенно и необходимо отдельно оценивать, что важнее, провал производительности, который может составлять до 30%, или риск эксплуатации уязвимости Meltdown (например, атака маловероятна на однопользовательских системах и рабочих станциях с обновлёнными версиями браузеров).

В обычных условиях при использовании патча KPTI переключение контекста во время системного вызова приводит к сбросу кэша с данными трансляции физических адресов в виртуальные, что значительно снижает производительность. PCID позволяет обойтись без сброса кэша трансляции адресов (TLB, Translation Lookaside Buffer), давая возможность привязать содержимое прокэшированных страниц памяти TLB к идентификатору контекста и ограничить операции сопоставления только для разрешённого в данный момент контекста (элементы кэша TLB с другим PCID не затрагиваются при переключении контекста).

PCID поддерживается в большинстве моделей процессоров, выпускаемых с 2010 года (проверить можно по наличию флага "pcid" в /proc/cpuinfo). В гостевых системах KVM и VMWare, а также в половине окружений AWS, PCID не доступен. Кроме того, поддержка PCID появилась только в ядре Linux 4.14, поэтому снижение накладных расходов будет заметно только на системах с ядром 4.14+ или в дистрибутивах, портировавших поддержку PCID в более старые ядра. Для систем x86 исправления включены в обновление 4.15-rc7 и 4.14.12 (рекомендовано подождать 4.14.13 с дополнительными правками) и также подготовлены для веток 4.9 и 4.4. Исправления для ARM64 включены в состав вариантов ядра для платформы Android 3.18, 4.4 и 4.9, но в основном ядре появятся только в выпуске 4.16.

Некоторые другие события, связанные с уязвимостями Meltdown и Spectre:

  • Компания Intel вчера выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux (микрокод необходим для полноценного закрытия уязвимости Spectre);
  • Компания Intel также опубликовала результаты собственной оценки влияния исправлений на производительность. В тестах SYSmark 2014 SE на системах с восьмым поколением CPU Intel Core наблюдается снижение производительности на 2-14% (в среднем 6%);
  • По информации от компании Red Hat использование патчей для устранения уязвимостей в Red Hat Enterprise Linux 7 приводит к замедлению выполнения задач на 1-20%:
    • Наибольшее проседание производительности (8-20%) наблюдается в работе СУБД на нагрузках OLTP, при случайном доступе к прокэшированной памяти, при активном буферизированном вводе/выводе, при большой интенсивности переключения контекста между ядром и пользовательским уровнем (выполнение системных вызовов). Большие потери наблюдаются в тестах tpc, sysbench, pgbench, netperf (до 256 байт) и fio (случайный доступ к памяти NvME).
    • Падение производительности на 3-7% отмечается при выполнении аналитических запросов в СУБД, в системах поддержки принятия решений (DSS) и в Java VM, в моменты интенсивного обмена информацией по сети или при обращениях к диску.
    • Снижение производительности на 2-5% наблюдается в решениях HPC (High Performance Computing) при большой вычислительной нагрузке на CPU, если большинство работ выполняется в пространстве пользователя с применением привязки к ядрам CPU или использованием numa-control (например, тесты Linpack NxN и SPECcpu2006);
    • Минимальное влияние на производительность (менее 2%) проявляется в системах, в которых применяются методы прямого доступа к ресурсам в обход функций ядра и различные техники offload-ускорения. Например, тесты DPDK (VsPERF 64 байт) и OpenOnload (STAC-N).
  • Доступно обновление ядра c устранением уязвиомости Meltdown для Ubuntu 12.04 (ядро 3.2), 14.04 (ядро 3.13), 16.04 (4.4) и 17.10 (4.13). Внимание, в обновлении ядра для Ubuntu 16.04 выявлена критическая ошибка, приводящая к невозможности загрузки.
  • Phoronix изучил падение производительности при использовании в Ubuntu ванильного ядра 4.14 и патчей KPTI+Retpoline, падение производительности довольно ощутимо: от 9% до 4 раз в тесте Flexible IO Tester, 18-23% в тесте FS-Mark, 16-22% в тесте Compile Bench, 22-27% в тесте NGINX Benchmark и 26-32% в тесте Apache Benchmark;
  • Проект Debian GNU/Linux выпустил обновление 64-разрядных сборок ядра (3.2, 3.16, 4.9 и 4.14) с патчами KPTI для wheezy, jessie, jessie-backports, stretch и unstable/sid. Для 32-разрядных систем, а также для веток stretch-backports, testing/buster и experimental обновления пока недоступны. Патчи для блокирования Spectre находятся в процессе рассмотрения, из приложений Spectre пока устранён в пакете с Firefox в Debian unstable, обновление Chromium пока не добавлено;
  • Для SUSE/openSUSE выпущено обновление ядра с патчами для противостояния Meltdown и Spectre;
  • Для ALT доступно обновление ядра до версий 4.9.75 (LTS) и 4.14.12 (дополнительное), включающих патчи KPTI;
  • Разработчики OpenBSD и FreeBSD готовят патчи для своих систем. Theo de Raadt, основатель OpenBSD, высказал возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сорта. Для DragonFly BSD опубликован начальный вариант патча, который приводит к снижению производительности на 5-12% на процессорах серии Skylake и 12-53% на CPU Haswell;
  • IBM выпустил обновление микрокода для устранения уязвимости Meltdown в процессорах POWER7+ и POWER8. Также опубликованы специфичные для CPU POWER патчи для устранения проблемы в дистрибутивах Linux (RHEL, SUSE, Ubuntu). Для POWER9 обновление запланировано на 15 января. Исправление для AIX и IBM i ожидается 12 февраля;
  • Доступно обновление проприетарных драйверов NVIDIA (390.12, 384.111) с блокированием применения атаки Spectre к драйверам;
  • Для распределённой ФС Lustre отмечена потеря производительности при применении KPTI патчей от 10% до 45% в зависимости от конфигурации и нагрузки. Наибольшие потери наблюдаются при связке "zfs+compression+lustre" и выполнения rsync для большого числа мелких файлов;
  • Инженеры из компании Branch Metrics отметили увеличение нагрузки на CPU примерно на 20% после применения патчей против Meltdown к окружению на базе AWS EC2. Другие пользователи отмечают падение производительности AWS EC2 на 5-30%;
  • Отмечено падение производительности Python на 37% после применения обновления c защитой от Meltdown на платформе Windows 7. Microsoft подтверждает потерю производительности, но не приводит конкретных цифр. Также наблюдаются серьёзные проблемы с совместимостью обновления от Microsoft с антивирусным ПО и надстройками для защиты Windows.

  1. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  2. OpenNews: Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорах
  3. OpenNews: Уязвимость в процессорах AMD, позволяющая получить контроль над TPM-окружением
  4. OpenNews: Google считает незначительным влияние на производительность патчей для блокирования атак Meltdown и Spectre
Обсуждение (213 +45) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor