Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут.
Опасная уязвимость (CVE-2024-10979), который присвоен уровень опасности 8.8 из 10, позволяет локальному пользователю СУБД, обладающему правами на создание функций PL/Perl, добиться выполнения кода с правами пользователя, под которым работает СУБД. Уязвимость вызвана тем, что в функциях PL/Perl можно изменить переменные окружения рабочего процесса, включая переменную PATH, определяющую пути к исполняемым файлам, и специфичные для PostgreSQL переменные окружения. Отмечается, что для совершения атаки достаточно доступа к СУБД и не требуется наличие учётной записи в системе.
CREATE OR REPLACE FUNCTION plperl_set_env_var()
RETURNS void AS
$$
$ENV{'ENV_VAR'} = 'testval';
$$ LANGUAGE plperl;
SELECT plperl_set_env_var();
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21, в которых исправлены 35 ошибок и устранены 3 уязвимости - одна опасная и две неопасных. Также объявлено о прекращении поддержки ветки PostgreSQL 12, обновления для которой больше формироваться не будут.
Харальд Вельте (Harald Welte), известный разработчик ядра Linux, лауреат премии за значительный вклад в развитие свободного ПО, основатель организации gpl-violations.org и один из создателей netfilter/iptables, опубликовал своё мнение относительно удаления участников из списка мэйнтейнеров ядра Linux на основании их предполагаемой работы в подсанкционных компаниях. По словам Харальда, он гордился вовлечённостью в работу сообщества разработчиков ядра, но нынешнее сообщество не похоже на то, которое он помнит, и ему больно видеть, что сейчас там происходит. По его мнению нет ничего хуже дискриминации людей только из-за их паспорта, места жительства или места работы.
Как житель Германии он сравнивает подобную дискриминацию с действовавшим в чёрные времена его страны законом о родственной ответственности, который позволял привлечь человека к ответственности за преступления, совершённые членом его семьи. Конечно, исключение из процесса разработки ядра не сравнится с тюремным заключением, но принцип похожий - наказание следует не за конкретные поступки, а лишь за общение с тем, кто совершил осуждаемые поступки.
Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).
Вельте полагал, что при разработке ядра значение имеет совместная работа отдельных разработчиков, независимо от того, кто их работодатели, а вклад в разработку оценивается по заслугам, а не по личности участника и не на основании работы в какой-то компании. Удаление из списка сопровождающих, по мнению Вельте, можно было понять, если бы конкретные разработчики были добавлены в санкционный список, но в рассматриваемом случае удалены люди, которые лишь предположительно могли быть связаны с подсанкционными компаниями.
Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.
Харальд Вельте (Harald Welte), известный разработчик ядра Linux, лауреат премии за значительный вклад в развитие свободного ПО, основатель организации gpl-violations.org и один из создателей netfilter/iptables, опубликовал
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, внёсизменение в список мэйнейнеров подсистем ядра Linux, в результате которого были удалены 11 сопровождающих, предположительно работающих в российских компаниях. В качестве причины удаления упомянуто лишь "выполнение различных требований комплаенса" (various compliance requirements). Так же отмечено, что разработчики могут быть возвращены в список мэйнтейнеров в случае предоставления определённой документации.
Герт Уйттерховен (Geert Uytterhoeven), мэйнтейнер порта Linux для архитектуры m68k, указал, что формулировки слишком размыты и так как ядро является открытым проектом, неплохо бы уточнить, что подразумевается под "различными требованиями комплаенса" и какую именно документацию нужно предоставить для восстановления. Он также выразил опасение, что подобное удаление без изложения правил открывает двери для дальнейших злоупотреблений. Вопрос пока остался без ответа.
Удалены следующие мэйнтейнеры:
- Abylay Ospan ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, HELENE, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
- Alexander Shiyan ‹*@mail.ru›, порт для ARM/CIRRUS LOGIC CLPS711X
- Dmitry Kozlov ‹*@mail.ru›, драйверы PPTP и GRE DEMULTIPLEXER
- Dmitry Rokosov ‹*@sberdevices.ru›, драйвер для EMSENSING MICROSYSTEMS MSA311
- Evgeniy Dushistov ‹*@mail.ru›, файловая система UFS
- Ivan Kokshaysky ‹*@jurassic.park.msu.ru›, порт для архитектуры Alpha
- Nikita Travkin ‹*@trvn.ru›, драйвер к контроллеру ACER ASPIRE 1
- Serge Semin ‹*@gmail.com›, платформа BAIKAL-T1, базовые драйверы для систем MIPS, драйверы для BAIKAL-T1 PVT, DESIGNWARE EDMA CORE IP, LIBATA SATA AHCI SYNOPSYS DWC CONTROLLER, NTB IDT, SYNOPSYS DESIGNWARE APB GPIO, SYNOPSYS DESIGNWARE APB SSI
- Sergey Kozlov ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
- Sergey Shtylyov ‹*@omp.ru›, драйверы к LIBATA PATA, RENESAS R-CAR SATA, RENESAS SUPERH ETHERNET и RENESAS ETHERNET AVB
- Vladimir Georgiev ‹*@metrotek.ru›, драйвер для MICROCHIP POLARFIRE FPGA
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, внёсизменение в список мэйнейнеров подсистем ядра Linux, в результате которого были удалены 11 сопровождающих, предположительно работающих в российских компаниях. В качестве причины удаления упомянуто лишь "выполнение различных требований
Компания Intel объявила о работе по добавлению поддержки платформ на базе процессоров Intel Xeon 6 ("Granite Rapids") в проект CoreBoot, развивающий свободную альтернативу проприетарным прошивкам и BIOS. Работа ведётся совместно с компанией 9elements, специализирующейся на адаптации CoreBoot для различного оборудования. Для CoreBoot планируется подготовить пакет FSP (Firmware Support Package), включающий реализацию процедур, необходимых для инициализации и настройки систем с процессорами Intel Xeon 6.
Предполагается, что проведённая работа сделает решения на базе CoreBoot более привлекательными для корпоративных систем и доведёт их до уровня проектов Open Platform Firmware (OPF) от сообщества Open Compute. Отмечается, что использование CoreBoot даёт возможность компаниям упростить процесс инициализации оборудования, снизить издержки на сопровождение и адаптировать компоненты начальной загрузки под свои потребности, что особенно актуально при внедрении программно определяемых инфраструктур (SDI, Software-Defined Infrastructure) в датацентрах. Из достоинств применения CoreBoot также отмечается возможность добиться высокой производительности, эффективности и безопасности рабочих нагрузок, и способствование развитию инноваций и более активной совместной работе в отрасли.
Более высокая производительность по сравнению с проприетарными прошивками UEFI достигается в CoreBoot благодаря минималистичной модульной архитектуре, позволяющей инициализировать только необходимые аппаратные компоненты. CoreBoot также позволяет сократить время, используя LinuxBoot для прямой передачи управления ядру Linux, без привлечения дополнительных загрузчиков и прошивок.
Эффективность сопровождения при использовании CoreBoot обеспечивается за счёт повторного использования кода и применения единого программного каркаса при обеспечении поддержки различного оборудования. Для поддержания безопасности для CoreBoot доступны компоненты, позволяющие организовать верифицированную загрузку системы и позволяющие использовать такие технологии, как TPM (Trusted Platform Module), Intel TXT (Trusted Execution Technology) и Intel CBnT (Converged Boot Guard and TXT). Открытый характер проекта позволяет добиться прозрачности при принятии решений и приёме изменений, а также, благодаря большому сообществу, добиться более быстрого исправления ошибок и уязвимостей.
Компания Intel объявила о работе по добавлению поддержки платформ на базе процессоров Intel Xeon 6 ("Granite Rapids") в проект CoreBoot, развивающий свободную альтернативу проприетарным прошивкам и BIOS. Работа ведётся совместно с компанией 9elements, специализирующейся на
В опубликованных на днях исходных текстах мультимедийного проигрывателя Winamp обнаружено заимствование кода, распространяемого под лицензиями GPL и LGPL. В частности, среди кода Winamp присутствовали файл fir_proc.cpp, кодировщик BladeMP3, плагин in_vorbis и компоненты генератора парсеров GNU Bison, распространяемые под лицензией GPL. Кроме того, в составе поставлялсяизменённый код библиотеки libdiscid 0.6.2, распространяемой под лицензией LGPLv2.1. В репозитории Winamp также найдены бинарные сборки открытых библиотек libogg и vorbis, добавленные без указания лицензии.
GPL относится к числу копилефт лицензий, предписывающих распространение производных работ под теми же условиями. В случае LGPL лицензия дополнительно разрешает связывание кода с проектами под несовместимыми лицензиями, но не даёт права вносить изменения и распространять изменённый код без смены лицензии результирующего продукта.
Исходные тексты Winamp распространяются под проприетарной лицензией WCL (Winamp Collaborative License), запрещающей создание форков и распространение модифицированных версий. Таким образом проект Winamp не может использовать в своём составе GPL-код и изменённый LGPL-код без перевода собственного кода на лицензию, совместимую с GPL. В настоящее время изменённая библиотека libdiscid и плагин in_vorbis уже удалены из репозитория, но файлы BladeMP3EncDLL.c и fir_proc.cpp ещё остаются в нём. При этом на сайте продолжают распространяться старые сборки Winamp, датированные 26 апреля 2023 года, которые, судя по всему, продолжают использовать компоненты GPL.
Интересно, что некоторые энтузиасты предложили воспользоваться сложившейся ситуацией и в силу вирусного характера лицензии GPL игнорировать заявленную проприетарную лицензию и считать код доступным под лицензией GPL, следуя логике, что если продукт включает код под GPL, то весь он должен распространяться под GPL.
Примечательно, что это не единственные проблемы, возникшие при публикации кода Winamp - в репозитории по недосмотрубыл размещёнкод сервера SHOUTcast, который уже не принадлежит Llama Group и был продан другой компании, а также чужой проприетарный код и сертификат для формирования цифровых подписей (упоминается, что сертификат был просроченный).
В опубликованных на днях исходных текстах мультимедийного проигрывателя Winamp обнаружено заимствование кода, распространяемого под лицензиями GPL и LGPL. В частности, среди кода Winamp присутствовали файл fir_proc.cpp, кодировщик BladeMP3, плагин in_vorbis
Разработчики дистрибутива Arch Linux объявили о переходе к прямому сотрудничеству с компанией Valve, развивающей операционную систему SteamOS, основанную на Arch Linux. Компания Valve поможет в сопровождении сборочной инфраструктуры и поддержании анклава для заверения компонентов дистрибутива цифровыми подписями. Valve предоставит дополнительные ресурсы, которые позволят развивать отмеченные области, не ограничиваясь свободным временем добровольцев.
Ожидается, что сотрудничество с Valve ускорит решение некоторых значительных проблем дистрибутива и позволит быстрее реализовать задуманные планы. Работа над реализуемыми при участии Valve проектами будет вестись в рамках штатных рабочих процессов, принятых в сообществе Arch Linux, и модели принятия решений на основе достижения консенсуса. Для всех инициируемых Valve значительных изменений будут создаваться RFC, проводиться публичное обсуждение в списке рассылки и заводиться заявка (issue) в GitLab, что позволит добиться прозрачности и даст возможность сообществу контролировать ход выполняемой Valve работы.
Разработчики дистрибутива Arch Linux объявили о переходе к прямому сотрудничеству с компанией Valve, развивающей операционную систему SteamOS, основанную на Arch Linux. Компания Valve поможет в сопровождении сборочной инфраструктуры и поддержании анклава для заверения компонентов дистрибутива цифровыми подписями. Valve предоставит дополнительные ресурсы, которые позволят развивать отмеченные области, не ограничиваясь свободным временем...
Разработчики проекта Samba объявили о получении инвестиций в размере 688 тысяч евро от фонда STF (Sovereign Tech Fund), учреждённого в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством подрывных инноваций SPRIND. Решение об инвестировании принято после отправки заявки компанией SerNet, которая управляет торговой маркой Samba на территории Германии от имени международного сообщества разработчиков и развивает продукт Samba+ для предприятий. Программа инвестирования предусматривает проведение работы в течение 18 месяцев (c 1 сентября 2024 года по 28 февраля 2026 года).
В течение 18 месяцев разработчики Samba, трудоустроенные в SerNet, выполнят 17 проектов, нацеленных на расширение в Samba возможностей, связанных с повышением безопасностью, улучшением масштабируемости и реализацией дополнительной функциональности. Вся работа будет производиться в открытой форме и с использованием процессов, применяемых при разработке Samba. Среди реализуемых проектов: обеспечение отказоустойчивости SMB3 через прозрачное переключение на запасной сервер; добавление Unix-расширений для SMB3; поддержка технологии SMB-Direct для ускорения передачи файлов; реализация протоколов для повышения производительности и безопасности, таких как "SMB over QUIC".
Разработчики проекта Samba объявили о получении инвестиций в размере 688 тысяч евро от фонда STF (Sovereign Tech Fund), учреждённого в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством подрывных инноваций SPRIND. Решение об инвестировании
Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации.
Исследователи потратили 20 долларов и купили этот домен, после чего на своём сервере запустили собственный фиктивный WHOIS-сервис whois.dotmobiregistry.net. Удивление вызвало то, что многие системы не переключились новый хост whois.nic.mobi на продолжали использовать старое имя. C 30 августа по 4 сентября этого года было зафиксировано 2.5 млн запросов по старому имени, отправленных с более чем 135 тысяч уникальных систем.
Среди отправителей запросов присутствовали почтовые серверы государственных и военных организаций, проверявшие фигурирующие в email домены через WHOIS, специализирующиеся на безопасности компании и платформы обеспечения безопасности (VirusTotal, Group-IB), а также удостоверяющие центры, сервисы проверки доменов, SEO-сервисы и регистраторы доменов (например, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io и webchart.org).
Возможность отправлять любые данные в ответ на обращение к старому WHOIS-сервису доменной зоны ".MOBI" была использована для разработки нескольких видов атак на отправителей запросов. Первый вариант атаки основывался на предположении, что если кто-то продолжает отправлять запросы к давно заменённому сервису, то вероятно он делает это с использованием устаревшего инструментария, содержащего уязвимости.
Например, в phpWHOIS в 2015 году была выявлена уязвимость CVE-2015-5243, позволяющая добиться выполнения кода атакующего при разборе специально оформленных данных, возвращаемых сервером WHOIS. Другим примером является выявленная в 2021 году уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код при возвращении некорректных данных WHOIS-сервисом, используемым в процессе формирования предупреждения о блокировке (Fail2Ban определял через WHOIS email администратора хоста и указывал его при запуске команды mail без должного экранирования спецсимволов).
Вторая атака основана на том, что некоторые удостоверяющие центры предоставляют возможность верификации владения доменом через email, указанный в базе регистратора домена, доступной через протокол WHOIS. Оказалось, что несколько удостоверяющих центров с поддержкой такого метода проверки продолжают использовать старый WHOIS-сервер для доменной зоны ".MOBI".
Таким образом, получив контроль над именем whois.dotmobiregistry.net атакующие могут вернуть свои данные, выполнить подтверждение и получить TLS-сертификат для любого домена в зоне ".MOBI". Например, в ходе эксперимента исследователи запросили у регистратора GlobalSign TLS-сертификат для домена microsoft.mobi и возвращённый фиктивным WHOIS-сервисом email "whois@watchTowr.com" был показан в интерфейсе как доступный для отправки кода подтверждения владения доменом.
Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года...
Во FreeBSD устранено несколько уязвимостей, позволяющих локальному пользователю поднять свои привилегии, выполнить код в контексте ядра или выйти из изолированного окружения:
- CVE-2024-43102 - состояние гонки в реализации системного вызова _umtx_op может использоваться для организации обращения к уже освобождённой области памяти (Use-After-Free) через одновременную отправку нескольких подзапросов UMTX_SHM_DESTROY. Потенциально уязвимость позволяет обойти ограничения механизма изоляции Capsicum или добиться выполнения кода на уровне ядра. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлениях 14.1-RELEASE-p4, 14.0-RELEASE-p10 и 13.3-RELEASE-p6.
- CVE-2024-45287, CVE-2024-45288 - уязвимости в библиотеке libnv, используемой в ядре и в пространстве пользователя для обработки списков в формате ключ/значение. Первая проблема связана с целочисленным переполнением, приводящим к выделению буфера, размером меньше, чем записываемый в буфер блок данных. Вторая проблема вызвана невыставлением завершающего нулевого символа в последнем элементе массива, что приводит к возможности записи за границу выделенного буфера. Уязвимость потенциально может использоваться для повышения своих привилегий путем перезаписи областей памяти в системных процессах или ядре.
- CVE-2024-32668, CVE-2024-41928, CVE-2024-8178, CVE-2024-42416, CVE-2024-43110, CVE-2024-45063 - уязвимости в гипервизоре bhyve, позволяющие добиться выполнения кода в процессе, выполняемом на стороне хост-системы (обычно с правами root), при манипуляциях внутри гостевой системы с драйверами виртуального USB-контроллера (XHCI), TPM или ctl (эмуляция SCSI через CAM Target Layer).
- CVE-2024-6119 - уязвимость в OpenSSL, приводящая к аварийному завершению приложений при проверке специально оформленных имён сертфикатов X.509, заданных в поле otherName.
Во FreeBSD устранено несколько уязвимостей, позволяющих локальному пользователю поднять свои привилегии, выполнить код в контексте ядра или выйти из изолированного окружения:
- CVE-2024-43102 - состояние гонки в реализации системного вызова _umtx_op может использоваться для организации обращения к уже освобождённой области памяти (Use-After-Free) через одновременную отправку нескольких подзапросов UMTX_SHM_DESTROY....
- Предоставлена возможность машинного перевода на разные языки фрагментов текста, выделенных на странице после выполнения операции перевода страницы целиком (т.е. можно применить перевод на другой язык к фрагментам из уже переведённой страницы). Функция перевода страницы вызывается через индикатор в адресной строке, а перевода фрагмента через контекстное меню, показываемое при нажатии правой кнопки мыши на выделенном блоке. Для перевода задействована встроенная в Firefox система, которая выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам. Система основана на открытом движке Bergamot, который представляет собой обвязку над фреймворком машинного перевода Marian, применяющим рекуррентную нейронную сеть (RNN) и языковые модели на основе трансформеров. https://honk.any-key.press/d/lnzzkQyL7r6m3xzR8Y.png
- Во встроенном движке машинного перевода добавлена поддержка латышского, литовского, каталанского, хорватского, чешского, датского, индонезийского, румынского, сербского, cловацкого и вьетнамского языков.
- В конфигуратор добавлен новый раздел "Firefox Labs", в котором предложены для тестирования экспериментальные функции. https://honk.any-key.press/d/9x2YyB6V61b3TS54my.png
В настоящее время доступны три экспериментальные возможности:
- Автоматическое продолжение просмотра видео в плавающем окне (режим "картинка в картинке") в случае переключения с вкладки, на которой показывается видео (если во время просмотра видео переключиться на другую вкладку, то видео останется видимым поверх новой вкладки, благодаря автоматическому включению режима "картинка в картинке"). После возврата на исходную вкладку с видео, режим "картинка в картинке" автоматически отключается.
- Отображение рекомендаций и результатов поиска в адресной строке во время набора сложных символов при помощи интерфейса IME (Input Method Editor).
- Встроенный чатбот, использующий большие языковые модели для взаимодействия с пользователем на естественном языке. Взаимодействие с ботом осуществляется в боковой панели. На выбор пользователя доступны сервисы Anthropic Claude, ChatGPT, Google Gemini, HuggingChat и Le Chat Mistral (в сети Ростелекома заработал только HuggingChat). Пользователь может отправлять текстовые вопросы к AI-боту или передавать отрывки текста, выделенного на просматриваемой странице. В контекстное меню, показываемое при нажатии правой кнопки мыши на выделенной области, добавлен раздел "Ask chatbot", через который можно запросить составление краткого изложения или пояснения сути выделенного содержимого. https://honk.any-key.press/d/TP7lg16MwM6f27vDvw.png
- На платформе Linux по умолчанию включён анимированный эффект при достижении границы прокручиваемой области.
- Решена проблема с отображением в контекстном меню кнопок для помещения и извлечения из буфера обмена.
- В сборки для настольных систем добавлен API Web Codecs, позволяющий манипулировать мультимедийными потоками на низком уровне (например, отдельные кадры в видео) и предоставляющий доступ к встроенным в браузер декодировщикам и кодировщикам изображений, звука и видео. Данный API может оказаться востребован в таких областях как стриминг, применение эффектов на стороне клиента, перекодирование звука и видео, разработка редакторов звука и видео.
- В реализацию API WebCrypto добавлена поддержка криптографических примитивов Curve25519 (цифровые подписи Ed25519 и схема согласования ключей X25519), которые могут использоваться через программный интерфейс SubtleCrypto (методы deriveKey(), deriveBits(), generateKey(), importKey() и exportKey()).
- В HTML-элемент ‹details› добавлен атрибут "name", позволяющий без использования JavaScript организовать группировку элементов таким образом, что в любой момент времени будет показываться только один элемент, а остальные будут скрываться (когда пользователь открывает новый раздел, остальные автоматически закрываются).
- В версии для Android ускорена загрузка страниц благодаря организации паралелльной загрузки связанных ресурсов. Добавлена функция генерации надёжных паролей для форм регистрации.
Кроме новшеств и исправления ошибок в Firefox 129 устранено 13 уязвимостей. 7 уязвимостей помечены как опасные, из которых 5 вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Две опасные проблемы вызваны неправильной обработкой типов (Type Confusion).
Дополнительно можно отметить рассмотрение возможности принятия в кодовую базу Firefox новой реализации декодировщика для формата изображений JPEG-XL, написанной сотрудниками Google на языке Rust. В случае одобрения инициативы, реализация на Rust заменит собой текущий декодировщик JPEG-XL на C++, насчитывающий более 100 тысяч строк кода. Инициатором перехода является Бобби Холли (Bobby Holley), технический директор компании Mozilla, входивший в совет директоров организации Rust Foundation.
- Предоставлена возможность машинного перевода на разные языки фрагментов текста, выделенных на странице после выполнения операции перевода страницы целиком (т.е. можно применить перевод на другой язык к фрагментам из уже...
Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.4. Программа поддерживает более тысячи сетевых протоколов и несколько десятков форматов захвата трафика. Предоставляется гибкий интерфейс для создания фильтров, захвата трафика, анализа сохранённых дампов и инспектирования пакетов. Поддерживаются такие расширенные возможности, как пересборка порядка следования пакетов, выделение и сохранение содержимого файлов, передаваемых с использованием разных протколов, воспроизведение VoIP и RTP-потоков, расшифровка IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2. Код проекта распространяется под лицензией GPLv2.
- Добавлена поддержка автоматического переключения профилей с настройками. Пользователь может привязать фильтр отображения к профилю и в случае открытия файла с захваченным трафиком, подпадающего под фильтр, автоматически будет задействован связанный с ним профиль.
- Добавлена поддержка Lua 5.3 и 5.4. Прекращена поддержка Lua 5.1 и 5.2.
- В фильтрах отображения улучшена поддержка строковых значений (появилась возможность строкового представления числовых полей).
- Предоставлена возможность определения функции фильтра в виде плагинов, по аналогиями с парсерами файлов и модулями разбора протоколов.
- Добавлена операция "Edit › Copy › Display filter as pcap filter" для преобразования фильтров отображения в pcap-фильтры с эквивалентными полями.
- Улучшены многие графические диалоги, модернизированы графики ввода/вывода, потоков трафика, VoIP-вызовов и TCP-потоков.
- Разрешено определение собственных столбцов, для формирования которых могут использоваться любые операции над полями (функции фильтров, арифметические вычисления, логические операции, модификаторы протоколов и т.п.).
- Разрешено определение собственных полей вывода для "tshark -e", используя операции над имеющимися полями.
- Добавлена поддержка сборки с библиотекой zlib-ng вместо zlib для работы со сжатыми файлами.
- Добавлена поддержка протоколов и форматов:
- Allied Telesis Resiliency Link (AT RL),
- ATN Security Label,
- Bit Index Explicit Replication (BIER),
- Bus Mirroring Protocol,
- EGNOS Message Server (EMS),
- Galileo E1-B I/NAV,
- IBM i RDMA Endpoint (iRDMA-EDP),
- IWBEMSERVICES, MAC NR Framed (mac-nr-framed),
- Matter Bluetooth Transport Protocol (MatterBTP),
- MiWi P2P Star,
- Monero,
- NMEA 0183,
- PLDM,
- RDP authentication redirection virtual channel protocol (rdpear),
- RF4CE Network Layer (RF4CE),
- RF4CE Profile (RF4CE Profile),
- RK512, SAP Remote Function Call (SAPRFC),
- SBAS L1 Navigation Message,
- Scanner Access Now Easy (SANE),
- TREL,
- WMIO,
- ZeroMQ Message Transport Protocol (ZMTP).
- Устранена уязвимость (CVE-2024-8250), приводящая к аварийному завершению при обработке специального оформленных пакетов.
Дополнительно можно отметить релиз системы анализа трафика и выявления сетевых вторжений Zeek 7.0.0 , ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Платформой Zeek предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени. Код системы написан на языке С++ и распространяется под лицензией BSD.
- Переработан фреймворк Telemetry, используемый для накопления и экспорта статистики (например, число открытых соединений и интенсивность запросов). Вместо агрегирования метрик на конечных узлах с их направлением на отдельный управляющий узел, в новой версии для сбора метрик с узлов задействован механизм определения сервисов на базе Prometheus.
- Генератор парсеров для разбора протоколов и файлов обновлён до версии Spicy 1.11, в которой изменено представление кода в памяти, повышена надёжность работы, улучшена обработка потери пакетов, расширена поддержка битовых полей и ускорена работа (для некоторых протоколов прирост производительности достигает 30%).
- Добавлена поддержка движка оптимизации скриптов ZAM (Zeek Abstract Machine), позволяющего повысить производительность Zeek-скриптов благодаря компиляции узлов синтаксического дерева в более эффективно исполняемую низкоуровневую форму.
- Предложены новые анализаторы протоколов QUIC и LDAP, построенные с использованием генератора парсеров Spicy.
- Обеспечена корректная обработка проброса на более новые версии протокола HTTP.
- Улучшен анализ WebSocket.
- Добавлена поддержка отложенной записи в лог.
Опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.4. Программа поддерживает более тысячи сетевых протоколов и несколько десятков форматов захвата трафика. Предоставляется гибкий интерфейс для создания фильтров, захвата трафика, анализа сохранённых дампов и инспектирования пакетов. Поддерживаются такие расширенные возможности, как пересборка порядка следования пакетов, выделение и сохранение содержимого файлов, передаваемых...
25 августа 1991 года после пяти месяцев разработки 21-летний студент Линус Торвальдс объявил в телеконференции comp.os.minix о создании рабочего прототипа новой операционной системы Linux, для которой было отмечено завершение портирования bash 1.08 и gcc 1.40. Первый публичный выпуск ядра Linux был представлен 17 сентября. Ядро 0.0.1 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. Современное ядро Linux насчитывает более 35 млн строк кода. По данным исследования, проведённого в 2010 году по заказу Евросоюза, приблизительная стоимость разработки с нуля проекта, аналогичного современному ядру Linux, составила бы более миллиарда долларов США (расчёт производился, когда в ядре было 13 млн строк кода), по другим оценкам - более 3 миллиардов.
Ядро Linux было создано под впечатлением от операционной системы MINIX, которая не устраивала Линуса своей ограниченной лицензией. Впоследствии, когда Linux стал известным проектом, недоброжелатели пытались обвинить Линуса в прямом копировании кода некоторых подсистем MINIX. Нападение отразил Эндрю Таненбаум, автор MINIX, который поручил одному из студентов провести детальное сравнение кода Minix и первых публичных версий Linux. Результаты исследования показали наличие только четырёх несущественных совпадений блоков кода, обусловленных требованиями POSIX и ANSI C.
Первоначально Линус задумал назвать ядро Freax, от слов «free», «freak» и X (Unix). Но имя «Linux» ядро получило с лёгкой руки Ари Лемке (Ari Lemmke), который по просьбе Линуса разместил ядро на FTP-сервере университета, назвав директорию с архивом не «freax», как просил Торвальдс, а «linux». Примечательно, что предприимчивый делец Вильям Делло Крок (William Della Croce) сумел зарегистрировать торговую марку Linux и хотел со временем собирать отчисления, но позднее передумал и передал все права на торговую марку Линусу. Официальный талисман Linux-ядра, пингвин Tux, был выбран в результате соревнования, состоявшегося в 1996 году. Имя Tux расшифровывается как Torvalds UniX.
Динамика роста кодовой базы (количество строк исходного кода) ядра:
- 0.0.1 - сентябрь 1991, 10 тыс. строк кода;
- 1.0.0 - март 1994, 176 тыс. строк кода;
- 1.2.0 - март 1995, 311 тыс. строк кода;
- 2.0.0 - июнь 1996, 778 тыс. строк кода;
- 2.2.0 - январь 1999, 1.8 млн. строк кода;
- 2.4.0 - январь 2001, 3.4 млн. строк кода;
- 2.6.0 - декабрь 2003, 5.9 млн. строк кода;
- 2.6.28 - декабрь 2008, 10.2 млн. строк кода;
- 2.6.35 - август 2010, 13.4 млн. строк кода;
- 3.0 - август 2011, 14.6 млн. строк кода;
- 3.5 - июль 2012, 15.5 млн. строк кода;
- 3.10 - июль 2013, 15.8 млн. строк кода;
- 3.16 - август 2014, 17.5 млн. строк кода;
- 4.1 - июнь 2015, 19.5 млн. строк кода;
- 4.7 - июль 2016, 21.7 млн. строк кода;
- 4.12 - июль 2017, 24.1 млн. строк кода;
- 4.18 - август 2018, 25.3 млн. строк кода;
- 5.2 - июль 2019, 26.55 млн. строк кода;
- 5.8 - август 2020, 28.4 млн. строк кода;
- 5.13 - июнь 2021, 29.2 млн. строк кода;
- 5.19 - август 2022, 30.5 млн. строк кода;
- 6.4 - июнь 2023, 32.9 млн. строк кода.
- 6.10 - июль 2024, 35.1 млн. строк кода.
Прогресс развития ядра:
- Linux 0.0.1 - сентябрь 1991, первый публичный выпуск, поддерживающий только CPU i386 и загружающийся с дискеты;
- Linux 0.12 - январь 1992, код начал распространяться под лицензией GPLv2;
- Linux 0.95 - март 1992, обеспечена возможность запуска X Window System, реализована поддержка виртуальной памяти и раздела подкачки.
- Linux 0.96-0.99 - 1992-1993, началась работа над сетевым стеком. Представлена файловая система Ext2, добавлена поддержка формата файлов ELF, представлены драйверы для звуковых карт и контроллеров SCSI, реализована загрузка модулей ядра и файловой системы /proc.
- В 1992 году появились первые дистрибутивы SLS и Yggdrasil. Летом 1993 года были основаны проекты Slackware и Debian.
- Linux 1.0 - март 1994, первый официально стабильный релиз;
- Linux 1.2 - март 1995, существенное увеличение числа драйверов, поддержка платформ Alpha, MIPS и SPARC, расширение возможностей сетевого стека, появление пакетного фильтра, поддержка NFS;
- Linux 2.0 - июнь 1996 года, поддержка многопроцессорных систем;
- Март 1997: основан LKML, список рассылки разработчиков ядра Linux;
- 1998 год: запущен первый попавший в список Top500 кластер на базе Linux, состоящий из 68 узлов с CPU Alpha;
- Linux 2.2 - январь 1999, увеличена эффективность системы управления памятью, добавлена поддержка IPv6, реализован новый межсетевой экран, представлена новая звуковая подсистема;
- Linux 2.4 - февраль 2001, обеспечена поддержка 8-процессорных систем и 64 Гб ОЗУ, файловая система Ext3, поддержка USB, ACPI;
- Linux 2.6 - декабрь 2003, поддержка SELinux, средства автоматического тюнинга параметров ядра, sysfs, переработанная система управления памятью;
- В 2005 году представлен гипервизор Xen, который открыл эру виртуализации;
- В сентябре 2008 года сформирован первый релиз платформы Android, основанной на ядре Linux;
- В июле 2011 года после 10 лет развития ветки 2.6.x осуществлён переход к нумерации 3.x. Число объектов в Git-репозитории достигло 2 млн;
- В 2015 году состоялся выпуск ядра Linux 4.0. Число git-объектов в репозитории достигло 4 млн;
- В апреле 2018 года преодолён рубеж в 6 млн git-объектов в репозитории ядра.
- В январе 2019 года сформирована ветка ядра Linux 5.0. Репозиторий достиг уровня 6.5 млн git-объектов.
- Опубликованное в августе 2020 года ядро 5.8 стало самым крупным по числу изменений из всех ядер за всё время существования проекта.
- В ядре 5.13 был поставлен рекорд по числу разработчиков (2150), изменения от которых вошли в состав ядра.
- В августе 2022 года сформирована ветка ядра Linux 6.0, так как в ветке 5.x накопилось достаточного выпусков для смены первого числа в номере версии.
- В ядро 6.1, выпущенное в декабре 2022 года, добавлена возможность использования языка Rust в качестве второго языка для разработки драйверов и модулей ядра.
Около 65% всех изменений в ядро внесены 20 наиболее активными компаниями. Например, при разработке ядра 6.10 из всех изменений 15.3% (в ядре 6.9 было 12.9%) подготовлено компанией Intel, 7.4% (7.1%) - Google, 6.9% (5.6%) - Red Hat, 6.3% (6.4%) - Linaro, 4.6% (5.7%) - AMD, 3.3% (2.2%) - Oracle, 3.2% (2.9%) - Meta, 2.5% (3.2%) - SUSE, 2.4% (2.1%) - IBM, 2.3% (2.4%) - Huawei, 1.9% (2.1%) - Qualcomm, 1.5% (1.7%) - NVIDIA, 1.2% (1.2%) - ARM. 11.9% (в ядре 6.9 - 14.2%) изменений подготовлены независимым участниками или разработчиками, явно не заявившим о своей работе на определённые компании. По числу добавленных в ядро 6.10 строк кода лидируют компании Intel, Linaro и Red Hat, доля которых составила 13.6%, 13.3% и 7.2% (в ядре 6.9 лидировали AMD, Red Hat и Intel с долями 21.7%, 11.5% и 8.9%).
25 августа 1991 года после пяти месяцев разработки 21-летний студент Линус Торвальдс объявил в телеконференции comp.os.minix о создании рабочего прототипа новой операционной системы Linux, для которой было отмечено завершение портирования bash 1.08 и gcc 1.40. Первый публичный выпуск ядра Linux был представлен 17 сентября. Ядро
Открыт исходный код проекта Outertale, развивающего фанатскую интерпретацию игры Undertale, поместившую прежнюю историю на просторы космоса. Игра является кроссплатформенной и распространяется в сборках под Linux, Windows, macOS и Android, а также в виде web-приложения для браузеров. Данные сцены хранятся в JSON-файлах. Движок игры написан на TypeScript и распространяется под лицензией ISC. В обособленных сборках используется фреймворк Electron. https://honk.any-key.press/d/3g7245R2PN7NBVY613.png
Открыт исходный код проекта Outertale, развивающего фанатскую интерпретацию игры Undertale, поместившую прежнюю историю на просторы космоса. Игра является кроссплатформенной и распространяется в сборках под Linux, Windows, macOS и Android, а также в виде web-приложения для браузеров. Данные сцены хранятся в JSON-файлах. Движок игры написан на TypeScript и
Национальный институт стандартов и технологий США (NIST) представил первые три стандарта, определяющие криптоалгоритмы, стойкие к подбору на квантовом компьютере. Первый стандартизированный алгоритм (CRYSTALS-Kyber) определяет способ инкапсуляции ключей и предназначен для шифрования обмена данными, а два других (CRYSTALS-Dilithium и Sphincs+) реализуют варианты формирования цифровых подписей, которые могут использоваться для решения задач, связанных с аутентификацией. Для того, чтобы избежать путаницы стандартизированные варианты алгоритмов переименованы: CRYSTALS-Kyber в ML-KEM, CRYSTALS-Dilithium в ML-DSA, а Sphincs+ в SLH-DSA. Выбранные алгоритмы разрабатываются с 2016 года и являются победителями ранее объявленного NIST конкурса по разработке алгоритмов постквантовой криптографии.
Активно развивающиеся последнее время квантовые компьютеры кардинально быстрее решают задачи разложения натурального числа на простые множители (RSA) и дискретного логарифмирования точек эллиптической кривой (ECDSA), которые лежат в основе современных асимметричных алгоритмов шифрования по открытым ключам, эффективно не решаемых на классических процессорах. На текущем этапе развития возможностей квантовых компьютеров пока недостаточно для взлома актуальных классических алгоритмов шифрования и цифровых подписей на базе открытых ключей, таких как ECDSA, но предполагается, что ситуация может измениться уже в этом десятилетии.
Принятые стандарты:
- FIPS 203 - рассматривается как основной стандарт для шифрования данных, использующий алгоритм CRYSTALS-Kyber (ML-KEM - Module-Lattice Key-Encapsulation Mechanism) для организации обмена ключами между сторонами, выполняющими шифрование и расшифровку данных. Алгоритм CRYSTALS-Kyber использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Достоинствами выбранного алгоритма являются относительно небольшой размер ключей и высокая скорость работы.
- FIPS 204 - первичный стандарт для формирования цифровых подписей, основанный на алгоритме CRYSTALS-Dilithium (ML-DSA - Module-Lattice Digital Signature Algorithm), который как и CRYSTALS-Kyber базируется на теории решёток.
- FIPS 205 - альтернативный стандарт для формирования цифровых подписей, использующий алгоритм Sphincs+ (SLH-DSA - Stateless Hash-Based Digital Signature Algorithm), который применяет методы криптографии на основе хеш-функций. Sphincs+ отстаёт от CRYSTALS-Dilithium по размеру подписей и скорости работы, но базируется на совершенно иных математических принципах, т.е. останется эффективен в случае компрометации алгоритмов на основе теории решёток.
Кроме того, до конца года планируется утвердить четвёртый стандарт - FIPS 206, предназначенный для работы с цифровыми подписями и основанный на алгоритме FALCON, который как и алгоритмы CRYSTALS-Kyber и CRYSTALS-Dilithium основан на решении задач теории решёток, но в отличие от них ориентирован на применения, в которых требуется минимальный размер подписи. Стандартизированный вариант алгоритма FALCON будет поставляться под именем FN-DSA (FFT (быстрое преобразование Фурье) over NTRU-Lattice Digital Signature Algorithm). До конца года также планируется выбрать алгоритмы для создания альтернативных стандартов общего шифрования, которые будут основаны на иных принципах работы, чем задействованные в стандарте FIPS 203 на базе алгоритма CRYSTALS-Kyber.
Национальный институт стандартов и технологий США (NIST) представил первые три стандарта, определяющие криптоалгоритмы, стойкие к подбору на квантовом компьютере. Первый стандартизированный алгоритм (CRYSTALS-Kyber) определяет способ инкапсуляции ключей и предназначен для шифрования обмена данными, а два других (CRYSTALS-Dilithium и Sphincs+) реализуют варианты формирования цифровых подписей, которые могут использоваться для решения задач,...
В поставляемом в составе FreeBSD сервере OpenSSH выявлена уязвимость (CVE-2024-7589), позволяющая добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость является вариантом выявленной в начале июля проблемы в OpenSSH (CVE-2024-6387) и также вызвана состоянием гонки, возникающем из-за выполнения в обработчике сигналов функций, не рассчитанных на вызов в асинхронном режиме.
Разработчики FreeBSD устранили исходную июльскую уязвимость сразу после анонса, но исправление не охватывало всех возможных векторов атаки. Исправление сводилось к отключению вызова функции sshlogv, выделяющей память динамически, что при асинхронном выполнении могло привести к повреждению внутренних структур malloc при срабатывании обработчика сигнала SIGALRM во время выполнения определённого кода. Как оказалось, похожая проблема возникала в специфичном для FreeBSD вызове функции blacklist_notify, обеспечивающем интеграцию с фоновым процессом blacklistd.
Помимо применения патча, уязвимость можно блокировать через выставление в /etc/ssh/sshd_config параметра "LoginGraceTime=0", но при этом отключение таймаута упростит инициирование отказа в обслуживании при установке большого числа соединений, превышающих лимиты, заданные через параметр MaxStartups.
Кроме того, устранены ещё три уязвимости во FreeBSD:
- CVE-2024-6760 - возможность обхода защиты от применения ktrace для трассировки suid-процессов, что позволяет непривилегированному пользователю получить доступ к содержимому файлов, для чтения которых у него нет прав, например, можно прочитать содержимое файла с хэшами паролей пользователей.
- CVE-2024-6759 - в NFS-клиенте выявлена возможность использования в именах файлов символов разделения путей ".." и "/";
- CVE-2024-6640 - уязвимость в пакетном фильтре PF, из-за которой пакеты ICMPv6 с нулевым идентификатором не подпадали под правила межсетевого экрана, рассчитанные на то, что входящие пакеты отражаются в таблице состояния (state table).
В поставляемом в составе FreeBSD сервере OpenSSH выявлена уязвимость (CVE-2024-7589), позволяющая добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость является вариантом
Тим Петерс (Tim Peters), автор гибридного алгоритма сортировки Timsort, член Python Core Team и один из старожил проекта, участвующий в разработке с первых версий CPython, отстранён управляющим советом (Steering Council) на три месяца из-за жалобы на нарушение кодекса поведения.
Среди примеров нарушений, ставших причиной временного отстранения, упоминается участие в обсуждении изменений правил, позволяющих совету директоров удалять заслуженных членов организации Python Software Foundation (Fellows) в случае нарушения кодекса поведения, путём внутреннего голосования, без привлечения к голосованию других членов фонда.
Тим поставил под сомнение данное изменение и предложил проводить более детальное разбирательство, если среди голосующих есть несогласные. Упоминается также то, что удаление участников за закрытыми дверями без раскрытия перед сообществом сути нарушения может привести к злоупотреблениям. Противники публичных обсуждений нарушений кодекса поведения считают, что раскрытие информации может причинить дополнительные страдания членам общества и людям, пострадавшим от поведения нарушителя.
В списке претензий Тиму: нагнетание атмосферы страха, неуверенности и сомнений (FUD), что способствовало возникновению эмоциональных реакций участников обсуждения; упоминание концепций обратного сексизма и обратного расизма; признание смешным старого потенциально оскорбительного в современных реалиях скетча SNL 1970-годов; упоминаниеситуаций, связанных с сексуальными домогательствами и насилием (данные темы некоторые люди считают неприемлемыми); обсуждение блокировок и удалений участников (воспринимается как раскрытие личной информации); расхождение взглядов с современными веяниями в области нейроразнообразия; обсуждение спорных тем или прошлых конфликтов; высказывание предположений о мотивах и психическом здоровье участников.
Тим Петерс (Tim Peters), автор гибридного алгоритма сортировки Timsort, член Python Core Team и один из старожил проекта, участвующий в разработке с первых версий CPython, отстранён управляющим советом (Steering Council
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, в которых исправлено 56 ошибок, выявленных за последние три месяца. Среди прочего в новых версиях устранена уязвимость (CVE-2024-7348), помеченная как опасная (уровень опасности 8.8 из 10). Уязвимость вызвана состоянием гонки в утилите pg_dump, позволяющем атакующему, имеющему возможность создания и удаления постоянных объектов в СУБД, добиться выполнения произвольного SQL-кода с правами пользователя, под которым запускается утилита pg_dump (обычно pg_dump запускается с правами суперпользователя для резервного копирования СУБД).
Для успешной атаки требуется отследить момент запуска утилиты pg_dump, что легко реализуется через манипуляции с открытой транзакцией. Атака сводится к замене последовательности (sequence) на представление или внешнюю таблицу, определяющих запускаемый SQL-код, в момент запуска pg_dump, когда информация о наличии последовательности уже получена, но данные ещё не выведены. Для блокирования уязвимости добавлена настройка "restrict_nonsystem_relation_kind", запрещающая раскрытие не системных представлений и доступ к внешним таблицам в pg_dump.
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 16.4, 15.8, 14.13, 13.16, 12.20, в которых исправлено 56 ошибок, выявленных за последние три месяца. Среди прочего в новых версиях устранена
Исследователи Центра Гельмгольца по информационной безопасности (CISPA) опубликовали результаты исследования защищённости процессоров на базе архитектуры RISC-V и раскрыли сведения об уязвимости, получившей кодовое имя GhostWrite. Уязвимость затрагивает RISC-V-процессоры XuanTie C910, производимые китайской компанией T-Head (подразделение Alibaba) и развиваемые в форме открытых проектов. Уязвимость даёт возможность атакующему, имеющему непривилегированный ограниченный доступ к системе, добиться чтения и записи в любые области физической памяти, а также получить доступ к управлению периферийными устройствами, такими как сетевые карты, использующими MMIO (Memory-Mapped Input/Output).
Уязвимость вызвана недоработками в архитектуре процессора, связанными с изоляцией добавленных производителем процессорных инструкций, расширяющих архитектуру набора команд RISC-V и позволяющих получить прямой доступ к DRAM, в обход механизмов виртуальной памяти. Работа некоторых расширенных инструкций напрямую с физической памятью вместо виртуальной памяти даёт возможность обойти изоляцию памяти между процессами.
Подготовленная техника проведения атаки на 100% воспроизводима и требует выполнения своего кода в течение всего нескольких микросекунд. Программные методы изоляции, такие как контейнеры и sandbox-окружения, не мешают эксплуатации уязвимости. Для блокирования уязвимости помогает только полное отключение поддержки векторных расширений, что приводит к снижению производительности в тестах rvv-bench на 33% (в аннотации к отчёту указано 77%, а на сводной странице - 33%, при этом в деталях упоминается снижение производительности memcpy на 33%, а memset на 8%), а также примерно в два раза сокращает доступный для приложений набор процессорных инструкций.
CPU XuanTie C910 являются одними из наиболее высокопроизводительных чипов RISC-V, имеющихся на рынке и уже активно используемых в серверах для облачных систем и ноутбуках. Например, проблема проявляется в серверах Scaleway Elastic Metal RV1, кластерах Lichee Cluster 4A, ноутбуке Lichee Book 4A, игровой консоли Lichee Console 4A, портативном компьютере Lichee Pocket 4A, одноплатных ПК Sipeed Lichee Pi 4A, Milk-V Meles и BeagleV-Ahead.
В качестве примера исследователями подготовлен эксплоит, позволяющий непривилегированному пользователю получить root-права в Linux. Эксплоит меняет содержимое таблицы страниц в памяти, используемой для трансляции виртуальных адресов в физические, для получения виртуальных адресов, связанных с любыми физическими адресами. Также подготовлен пример эксплоита для чтения содержимого памяти ядра и других процессов, что позволяет извлечь хранящиеся в памяти ключи шифрования и пароли.
Дополнительно исследователями выявлены ещё две менее опасные архитектурные уязвимости - одна затрагивает процессоры T-Head XuanTie C906, а другая T-Head XuanTie C908. Обе уязвимости ограничиваются вызовом отказа в обслуживании из-за остановки работы CPU. Уязвимости могут представлять опасность для облачных платформ, построенных на чипах T-Head XuanTie, так при наличии доступа к выполнению кода в облачном окружении имеется возможность остановить работу и других пользователей, обслуживаемых на том же сервере.
Проблемы были выявлены при помощи фреймворка RISCVuzz, созданного для fuzzing-тестирования CPU. Фреймворк выявляет отличия в реализации одинаковых расширенных инструкций на разных CPU, в соответствии с предположением, что из-за отсутствия единого реестра расширений набора команд RISC-V, одинаково кодируемые инструкции на чипах разных производителей могут приводить к выполнению разных действий. Проверка сводилась к сравнению поведения при обработке процессорных инструкций на разных CPU RISC-V и анализа возможных уязвимостей в ситуациях, в которых наблюдалось расхождение поведения.
Исследователи Центра Гельмгольца по информационной безопасности (CISPA) опубликовали результаты исследования защищённости процессоров на базе архитектуры RISC-V и раскрыли сведения об уязвимости, получившей кодовое имя GhostWrite. Уязвимость затрагивает RISC-V-процессоры XuanTie C910, производимые китайской компанией T-Head (подразделение Alibaba) и развиваемые в форме
Компания Postgres Professional выпустила обновлённый базовый курс DBA-1 по администрированию свободно распространяемой СУБД PostgreSQL. Материал доступен для самостоятельного изучения на сайте, а также в авторизованных учебных центрах.
Основные изменения:
- Добавлена информация про версии PostgreSQL 14, 15 и 16.
- Заменены четыре темы раздела «Управление доступом», по которым в дальнейшем появится отдельный подробный курс;
- Частично изменена структура: изложение стало более логичным и последовательным;
- Физическая и логическая репликации теперь рассматриваются в отдельных темах.
- Исправлены недочёты в изложении, ошибки в скриптах демонстраций и практических заданий.
Компания Postgres Professional выпустила обновлённый базовый курс DBA-1 по администрированию свободно распространяемой СУБД PostgreSQL. Материал доступен для самостоятельного изучения на сайте, а также в авторизованных учебных центрах.
Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом. https://honk.any-key.press/d/s2f47322qsCS133G76.png
По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa. Проблемный Docker-образ с токеном был опубликован в каталоге Docker Hub третьего марта 2023 года, а удалён 11 июня 2024 года т.е. 16 месяцев находится в открытом доступе. 28 июня токен был отозван.
Примечательно, что в доступных исходных текстах, на базе которых был сгенерирован проблемный файл с байткодом, упоминание токена отсутствует. Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ.
Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа с использованием раскрытого токена. С учётом того, что с 2017 года GitHub является первичной площадкой для разработки CPython, попадание токена в руки злоумышленника могло бы привести к полной компрометации инфраструктуры, используемой для разработки Python и репозитория PyPI, и возможности совершения попыток интеграции бэкдоров в CPython и пакетный менеджер PyPI.
Инцидент показывает важность анализа утечек не только в исходном коде, файлах конфигурации и переменных окружения, но и в бинарных файлах. В контексте Python пользователям также рекомендуется обращать внимание на наличие в загружаемых проектах pyc-файлов со скомпилированным байткодом, так как данные файлы могут содержать скрытые модификации, отсутствующие в исходном коде.
Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.
Gregory's Server