Monthly Archives: Август 2018

Выпуск дистрибутива Linux Mint Debian Edition 3

Автор   31.08.2018

После более трёх лет разработки опубликован выпуск альтернативной сборки дистрибутива Linux Mint — Linux Mint Debian Edition 3, выполненной на основе пакетной базы Debian Testing (классический Linux Mint базируется на пакетной базе Ubuntu). Кроме использования пакетной базы Debian, важным отличием LMDE от Linux Mint является постоянный цикл обновления пакетной базы (модель непрерывных обновлений: частичный роллинг-релиз, (далее…)


Просмотры: 86
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Грег Кроа-Хартман раскритиковал поведение Intel при исправлении уязвимостей Meltdown и Spectre

Автор   31.08.2018

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, в своём выступлении на конференции Open Source Summit North America раскритиковал действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.

Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на раскрытии информации и для разработчиков ядра.

Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды Linux kernel security team и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre всё было перевёрнуто с ног на голову и Intel в индивидуальном порядке информировал только SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления.

В конце (далее…)


Просмотры: 46
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Выпуск GnuPG 2.2.10

Автор   31.08.2018

Доступен релиз инструментария GnuPG 2.2.10 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся (далее…)


Просмотры: 67
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Выпуск модуля LKRG 0.4 для защиты от эксплуатации уязвимостей в ядре Linux

Автор   31.08.2018

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.4 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских (далее…)


Просмотры: 81
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Google представил криптографическую библиотеку Tink

Автор   31.08.2018

Компания Google представила открытую криптографическую библиотеку Tink, нацеленную на предоставление простого для корректного применения криптографического API, при использовании которого трудно допустить ошибки, способные привести к снижению с безопасности. Предоставляется полноценная поддержка языков Java (в том числе для Android), C++ и Obj-C, а также экспериментальная поддержка Go и JavaScript. Код поставляется под лицензией Apache 2.0.

Библиотека подготовлена командой, занимавшейся разработкой инструментария Wycheproof и выявившей более 40 уязвимостей и слабых мест в различных популярных криптографических библиотеках и реализациях алгоритмов шифрования. В результате данной работы родилась идея создания предельно простого API, который не позволял бы совершать ошибки, вызванные недопониманием работы алгоритмов шифрования, и который без риска для безопасности смогли бы использовать разработчики не имеющие опыта в криптографии.

В итоге появился проект Tink, сконцентрированный на сокращении числа потенциальных ошибок, которые могут появиться в результате ненадлежащего применения API, спроектированный с учётом опыта анализа слабых мест в различных реализациях алгоритмов шифрования, написанный с оглядкой на безопасность, прошедший жесткое рецензирование кода и досконально протестированный. В Google Tink уже применяется во многих внутренних проектах, таких как AdMob, Google Pay, Google Assistant, Firebase и Android Search (далее…)


Просмотры: 76
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами

Автор   30.08.2018

Компания Mozilla объявила о кардинальном изменении политики в отношении отслеживания перемещений пользователей между сайтами. Представители Mozilla признают, что недооценивали вред от неконтролируемого сбора данных о пользователях. Некоторые негативные последствия неконтролируемого отслеживания сразу заметны, например, таргетированная реклама и снижение производительности из-за загрузки лишнего кода, но после инцидентов, подобных утечке в результате деятельности Cambridge Analytica, становится ясно, что видимое проявление отслеживания пользователей лишь вершина айсберга.

В одном из ближайших выпусков Firefox функции блокирования кода для отслеживания поведения пользователя и перемещений между сайтами будет активирована по умолчанию. Раньше пользователю предоставлялась опциональная возможность активировать в режиме приватного просмотра блокировку внешних JavaScript-скриптов, изображений и iframe-страниц, используемых для отслеживания пользователей вопреки установке заголовка Do Not Track (блокировка по чёрному списку disconnect.me). В одном из следующих выпусков Firefox привязка к режиму приватного просмотра будет убрана, а блокирование (далее…)


Просмотры: 71
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Система обнаружения атак Snort 3 перешла на стадию бета-тестирования

Автор   30.08.2018

После почти четырёх лет нахождения на стадии альфа-разработки представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.

Кроме переосмысления концепции и переработки архитектуры в Snort 3 реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). (далее…)

Просмотры: 46
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Система обнаружения атак Snort 3 перешла на стадию бета-тестирвоания

Автор   30.08.2018

После почти четырёх лет нахождения на стадии альфа-разработки представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.

Кроме переосмысления концепции и переработки архитектуры в Snort 3 реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). (далее…)

Просмотры: 59
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Для Firefox развивается система контекстной рекомендации дополнений

Автор   30.08.2018

Разработчики Firefox опубликовали макет интерфейса, рекомендующего дополнения в зависимости от активности пользователя. Предложение по установке дополнений вырабатывается на основе анализа текущего содержимого адресной строки, например, при обращении к сайту Amazon пользователю будет предложено дополнение для более тесной интеграции с данным сервисом. (далее…)


Просмотры: 50
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...

Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist

Автор   30.08.2018

В Packagist, крупнейшем репозитории пакетов на языке PHP, ежемесячно обслуживающем более 400 млн загрузок и по умолчанию применяемом в пакетной менеджере Composer, выявлена критическая уязвимость, позволяющая выполнить код на сервере проекта через передачу специально оформленных значений в форму добавления нового пакета.

Уязвимость вызвана отсутствием должной проверки передаваемых значений перед их обработкой в shell-скриптах. В частности, для выполнения произвольных shell-команд в текстовое поле с URL репозитория добавляемого проекта достаточно было ввести строку вида «$(код)». На стороне сервера данный URL передаётся в качестве аргумента при вызове команд (далее…)


Просмотры: 97
1 Звезда2 Звезды3 Звезды4 Звезды5 Звёзд
Loading...