· | 16.05 | Выпуск Grml 2025.05, Live-дистрибутива для системных администраторов (7 +1) |
Представлен выпуск Live-дистрибутива grml 2025.05, предлагающего подборку программ для выполнения работ, возникающих в практике системных администраторов, таких как восстановление данных после сбоя и разбор инцидентов. Дистрибутив основан на пакетной базе Debian GNU/Linux и в прошлом году отметил своё двадцатилетие. Графическое окружение построено с использованием оконного менеджера Fluxbox. По умолчанию предлагается командная оболочка Zsh. Размер полного iso-образа 960 МБ, сокращённого - 536 МБ.
![]()
| ||
Обсуждение (7 +1) |
Тип: Программы |
| ||
· | 16.05 | Google добавит в Android режим расширенной защиты (77 +1) |
Компания Google объявила о включении в состав будущего выпуска Android 16 дополнительных возможностей для обеспечения защиты устройства. В настройках платформы появится режим
"Advanced Protection", позволяющий включить набор опциональных механизмов защиты, усиливающих безопасность при наличии рисков компрометации устройства или совершения целевых атак на пользователя. Режим охватывает как ранее доступные опции, так и новые возможности, такие как автоматическая перезагрузка смартфона после 3 дней неактивности, защита от проведения атак через USB и резервное копирование логов для аудита в случае взлома.
![]() Режим Advanced Protection охватывает следующие механизмы защиты:
| ||
Обсуждение (77 +1) |
Тип: К сведению |
| ||
· | 15.05 | Выпуск Rust 1.87 (175 +7) |
В день празднования десятилетия с момента выпуска языка программирования Rust 1.0 (проект Rust был основан в 2006 году, выпуск 0.1 был сформирован в 2012 году, а первая стабильная версия предложена в 2015 году) опубликован релиз Rust 1.87. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).
Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io. Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок. Основные новшества:
| ||
Обсуждение (175 +7) |
Тип: Программы |
| ||
· | 15.05 | В кодовую базу Ruby принят новый JIT-компилятор ZJIT (105 +11) |
В кодовую базу эталонной реализации языка Ruby добавлен новый JIT-компилятор ZJIT, позиционируемый как следующее поколение Ruby JIT. ZJIT войдёт в состав следующего значительного выпуска Ruby 3.5, в котором будет доступен в качестве опции параллельно с JIT-компилятором YJIT, а в версии Ruby 3.6 возможно заменит его. Как и YJIT новый JIT-компилятор написан на языке Rust. Оба JIT-компилятора созданы командой разработчиков из компании Shopify в рамках инициативы по увеличению производительности Ruby-программ, использующих фреймворк Rails и вызывающих очень много методов.
В отличие от YJIT новый JIT-компилятор не транслирует байткод виртуальной машины YARV в низкоуровневое промежуточное представление (по сути почти напрямую в машинный код), а преобразует байткод в высокоуровневое промежуточное представление SSA (Static Single Assignment), над которым можно реализовать дополнительные фазы оптимизации и проводить оптимизацию с оглядкой на крупные блоки кода, а не отталкиваясь только от текущих операций. ZJIT выполняет компиляцию за раз целого метода, в то время как YJIT мог манипулировать компиляцией только базовых блоков. Для профилирования типов ZJIT реализует классическую архитектуру JIT, использующую накопленные интерпретатором исторические данные о типах, вместо применённой в YJIT техники версионирования базовых блоков (LBBV - Lazy Basic Block Versioning). Использование высокоуровневого промежуточного представления решит проблемы с расширением, возникшие в YJIT, заложит основу для реализации в будущем многоуровневой JIT-компиляции, позволит реализовать расширенные оптимизации (например, более агрессивное inlinе-развёртывание) и упростит адаптацию JIT для различных платформ. Возвращение к традиционной модели профилирования типов избавит код от усложнений и даст возможность привлечь к работе новых участников (использование LBBV в YJIT привело к тому, что проект был непонятен другим участникам и развивался только сотрудниками Shopify).
| ||
Обсуждение (105 +11) |
Тип: К сведению |
| ||
· | 15.05 | Выпуск Whonix 17.3, дистрибутива для анонимных коммуникаций (38 +11) |
Доступен выпуск дистрибутива Whonix 17.3, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.3 ГБ c Xfce и 1.5 ГБ консольный), которые могут быть сконвертирован для использования с гипервизором KVM.
Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Компоненты представляют собой отдельные системные окружения, поставляемые внутри одного загрузочного образа и запускаемые в разных виртуальных машинах. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера или эксплуатации уязвимости, дающей атакующему root-доступ к системе. Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway. В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что позволяет обеспечить анонимный выход для уже находящихся в обиходе рабочих станций. ![]() Основные изменения:
| ||
Обсуждение (38 +11) |
Тип: Программы |
| ||
· | 15.05 | Проект Tor представил Oniux, утилиту для сетевой изоляции приложений (91 +26) |
Разработчики проекта Tor представили утилиту Oniux, предназначенную для принудительного направления трафика отдельных приложений через сеть Tor. По своему назначению Oniux напоминает ранее доступную программу torsocks и отличается использованием для изоляции пространств имён (network namespace), предоставляемых ядром Linux, вместо подмены функций стандартной библиотеки через механизм LD_PRELOAD. Код утилиты написан на языке Rust и распространяется под лицензиями Apache 2.0 и MIT.
Oniux позволяет создать для любого приложения изолированный контейнер, трафик из которого принудительно перенаправляется только через сеть Tor. Для отправки трафика создаётся туннель на базе onionmasq, внутри контейнера выглядящий как виртуальный сетевой интерфейс (TUN). Доступ к доступным в основном окружении сетевым интерфейсам блокируется на уровне изоляции сетевого стека в отдельном пространстве имён. По сравнению с torsocks новая утилита не ограничивается подменой библиотечных функций и блокирует возможные каналы утечки (например, перенаправление через torsocks можно обойти через прямое обращение к системным вызовам ядра). Программа также защищает от утечек, вызванных ошибками при настройке SOCKS-прокси, направляющего трафик в сеть Tor. Ценой более жёсткой изоляции является потеря многоплатформенности - Oniux может работать только в Linux. Утилита Oniux самодостаточна и не требует для работы запуска отдельного фонового процесса Tor. Взаимодействие с сетью Tor в Oniux построено с использованием библиотеки, развиваемой проектом Arti, в то время как torsocks базируется на CTor и использует SOCKS-прокси. Утилита Oniux может оказаться полезной для запуска приложений и сервисов, критических важных с точки зрения обеспечения конфиденциальности. Использование сводится к добавлению вызова утилиты "oniux" перед запуском желаемой программы. Например, для отправки запроса через curl поверх Tor можно выполнить команду "oniux curl URL", а для направления через Tor любых запросов внутри сеанса с командным интерпретатором - "oniux bash". Поддерживается изоляция графических приложений.
| ||
Обсуждение (91 +26) |
Тип: Программы |
| ||
· | 14.05 | Google ограничил полномочия Android-приложения Nextcloud (224 +13) |
Разработчики открытой платформы совместной работы Nextcloud пояснили причины урезания функциональности мобильного приложения и выразили недовольство политикой компании Google, которая под предлогом опасений возникновения проблем с безопасностью ограничила права приложения Nextcloud, насчитывающего более миллиона установок. По требованию Google, для распространения через каталог Google Play приложение Nextcloud не должно запрашивать полномочия для полного доступа ко всем файлам. В версии, размещённой в каталоге F-Droid, полномочия сохраняются, но подавляющее большинство пользователей Nextcloud используют Google Play.
Представители проекта Nextcloud отправляли в Google апелляции, поясняя, что функциональность для доступа ко всем файлам необходима для синхронизации файлов между системами и предоставления совместного доступа к файлам. Данные операции образуют ключевую функциональность Nextcloud и являются её конкурентными преимуществами. Приложение Nextcloud размещено в Google Play с 2016 года и до сих пор не вызывало претензий в плане обеспечения конфиденциальности. В ответ от службы поддержки Google Play возвращались только повторяющиеся типовые отписки с цитированием отрывка из руководства для разработчиков, советующего перейти на другие API, обеспечивающие конфиденциальную работу с данными. Рекомендуемые новые API неприменимы с учётом специфики Nextcloud, например, API SAF (Storage Access Framework) нацелен на обмен файлами между разными приложениями, а API MediaStore позволяет работать только с мультимедийными файлами. Добиться публикации новой версии в Google Play удалось только после выполнения требований и задействования API MediaStore для работы с фотографиями и видео, но для остальных типов файлов теперь невозможно включить загрузку с устройств Android в Nextcloud, если приложение установлено из Google Play. Для обхода данного ограничения рекомендуется использовать вариант приложения из каталога F-Droid.
| ||
Обсуждение (224 +13) |
Тип: Тема для размышления |
| ||
· | 14.05 | Разработка Firefox перенесена с Mercurial на Git и GitHub. Обновление Firefox 138.0.3 (130 +13) |
Разработчики из компании Mozilla перевели основной репозиторий с исходным кодом Firefox с Mercurial на Git. Официальный Git-репозиторий Firefox размещён на GitHub. Через данный репозиторий пока нельзя передавать изменения в форме pull-запросов (необходимо использовать Phabricator).
Некоторые отдельные Mercurial-репозитории объединены в единое Git-пространство и доступны через Git-ветки: репозиторий mozilla-central теперь стал веткой main в Git-репозитории Firefox, mozilla-beta - веткой beta, mozilla-release - release, mozilla-esr115 - esr-115, mozilla-esr-128 - esr-128, autoland - autoland. Использование сервисов Bugzilla, moz-phab, Phabricator и Lando будет продолжено без изменений. Старые Mercurial-репозитории пока остаются доступны, но переведены в режим синхронизированных зеркал. Решение о миграции на Git было принято осенью 2023 года. Предполагалось, что миграция займёт около 6 месяцев, но в итоге она затянулась на полтора года. До миграции проект предоставлял возможность использования Mercurial или Git на выбор разработчиков, но в основном репозитории применялся Mercurial. Поддержка сразу двух систем создавала большую нагрузку на администраторов, а самостоятельное сопровождение хостинга кода приводило к проблемам с масштабированием и отнимало ресурсы на поддержания отказоустойчивой инфраструктуры. Поэтому было решено ограничиться применением для разработки только Git и разместить основной репозиторий на GitHub. Дополнительно можно отметить корректирующий выпуск Firefox 138.0.3, в котором решено несколько проблем:
| ||
Обсуждение (130 +13) |
Тип: К сведению |
| ||
· | 14.05 | Выпуск Nobara 42, редакции Fedora с патчами для игр и обработки контента (54 +10) |
Опубликован выпуск дистрибутива Nobara 42, основанного на пакетной базе Fedora Linux 42 и включающего дополнительные исправления для решения проблем с запуском компьютерных игр, потоковым вещанием и выполнением задач, связанных с созданием контента. Для загрузки подготовлены девять установочных образов: официальный со стилизованным KDE, дополнительные с чистыми окружениями GNOME и KDE, Steam-HTPC для Steam Deck на базе KDE и Steam-Handheld для носимых устройств, а также отдельные сборки первых четырёх образов с проприетарными драйверами NVIDIA.
Целью проекта является предоставление готового к работе пользовательского окружения, не требующего выполнения дополнительных действий после установки и решающего основные проблемы, с которыми сталкиваются пользователи Fedora. Дистрибутив поставляется с проприетарными компонентами, обычно используемыми на рабочих станциях, такими как мультимедийные кодеки и драйверы, а также пакетами, отсутствующими в штатном репозитории Fedora, например, OBS Studio, Steam, Lutris и дополнительными зависимостями к Wine. Среди предлагаемых дистрибутивом расширенных исправлений отмечается поставка патчей к ядру Linux для снижения задержек в играх (Zenify), решения проблем с OpenRGB, использования драйвера amdgpu со старыми GPU, поддержки приставки Steam Deck и устройства Microsoft Surface, улучшения совместимости с ноутбуками ASUS, устранения несовместимости SimpleDRM с драйверами NVIDIA, поддержки ноутбуков Lenovo Legion, включения ashmem и binder для Waydroid, устранения проблем при использовании Wayland с драйвером Nouveau. В состав включены наиболее свежие выпуски Mesa и Wine, собранные из репозиториев основных проектов. SELinux заменён на AppArmor. Добавлены патчи к Glibc, Flatpak, SDL2, Mutter и xwayland. В пакет с Blender включена поддержка FFmpeg и библиотеки трассировки лучей HIP. Установлены дополнительные зависимости для Davinci Resolve. Включена большая подборка патчей для OBS Studio, среди которых патчи для решения проблем с захватом экрана игр, использующих OpenGL и Vulkan, а также патчи для аппаратного кодирования H.264 и H.265/HEVC на системах AMD, NVIDIA и Intel. По умолчанию активирован репозиторий RPMFusion. В новой версии:
![]()
| ||
Обсуждение (54 +10) |
Тип: Программы |
| ||
· | 14.05 | Выпуск дистрибутива Альт Рабочая станция К 11.0 (174 +13) |
Доступно обновление дистрибутива Linux «Альт Рабочая станция К 11.0», предлагающего среду рабочего стола KDE и ориентированного для работы в офисе и дома. Сборка подготовлена для архитектуры x86_64 и построена на 11 платформе ALT. Для загрузки сформированы установочный iso-образ (8 ГБ) и отдельная Live-сборка (5 ГБ).
Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме. Основные изменения:
Также можно отметить релиз дистрибутива "Альт Рабочая станция» 11.0", доступного в сборках x86_64 и AArch64. Из специфичных для данной сборки изменений можно отметить переход с MATE на GNOME 47.4 c Wayland по умолчанию. На выбор предложено два режима оформления: панельный - для пользователей, привыкших к классическому оформлению MATE, и GNOME - штатный для новых версий GNOME. Для переключения между режимами с сохранением пользовательских профилей добавлен сервис alt-panelmoded. Выбрать режим можно в интерфейсе первого запуска ALT Tour.
| ||
Обсуждение (174 +13) |
Тип: Программы |
| ||
· | 14.05 | Oracle опубликовал новую бесплатную редакцию Solaris 11.4 CBE (122 +11) |
Компания Oracle представила Solaris 11.4.81 CBE (Common Build Environment), вариант операционной системы Solaris 11.4, нацеленный на использование разработчиками открытого ПО и применение в персональных целях. CBE упрощает доступ к актуальным версиям программ и обновлениям для тех, кто желает использовать Solaris бесплатно. Это второй выпуск серии CBE - первый был опубликован в 2022 году. В отличие от основных сборок Solaris 11.4, лицензия на которые допускает бесплатное использование для тестирования, разработки и применения в персональных проектах, редакция CBE отличается задействованием непрерывной модели публикации новых версий и близка к редакции Solaris 11.4 SRU (Support Repository Update).
Сборка включает новые версии программ, расширенную функциональность и исправления ошибок, доступные на момент формирования выпуска. Для загрузки подготовлен отдельный iso-образ, а также предоставлена возможность перехода на использование CBE после установки обычных сборок Oracle Solaris 11.4. Для переключения на CBE достаточно подключить репозиторий pkg.oracle.com/solaris/release в пакетном менеджере IPS и выполнить команду "pkg update". Код открытых компонентов Solaris доступен в репозитории на GitHub, а отдельные пакеты можно загрузить с сайта pkg.oracle.com. Основные изменения по сравнению с прошлым выпуском CBE:
| ||
Обсуждение (122 +11) |
Тип: Программы |
| ||
· | 13.05 | Training Solo - новые варианты атаки Spectre-v2, затрагивающие CPU Intel (165 +23) |
Группа исследователей из Амстердамского свободного университета выявила несколько новых уязвимостей класса Spectre-v2, опубликованных под кодовым именем Training Solo и позволяющих обойти механизмы изоляции памяти. В контексте систем виртуализации уязвимости дают возможность определить содержимое памяти хост-окружения из гостевых систем, а в контексте серверов - определить содержимое памяти ядра при выполнении эксплоита в пространстве пользователя. Примеры эксплоитов для совершения подобных атак опубликованы на GitHub. Представленные эксплоиты позволяют извлекать произвольные данные из памяти ядра со скоростью 17 KB/сек, а из памяти гипервизора - 8.5 KB/сек.
В атаках класса Spectre-v2 для организации утечки данных используется подстановка значений в буфер адреса ветвления (Branch Target Buffer) или буфер с историей переходов (Branch History Buffer), применяемые для предсказания следующей операции ветвления. Через манипуляции с историей переходов создаются условия неверного предсказания перехода при спекулятивном выполнении инструкций. Задача атакующего в том, чтобы при выполнении спекулятивной операции ветвления адрес для перехода был взят из желаемой области памяти. После выполнения спекулятивного перехода, в процессорном кэше остаётся считанный из памяти адрес перехода (под видом адреса считываются необходимые атакующему данные из памяти). Для извлечения информации из кэша может применяться один из способов определения содержимого кэша на основе анализа изменения времени доступа к прокэшированным и не прокэшированным данным. Методы атаки Training Solo нацелены на обход механизмов изоляции областей исполнения (domain isolation), таких как IBPB, eIBRS и BHI_NO, применяемых для блокирования атак класса Spectre-v2. Например, инструкция IBPB (Indirect Branch Prediction Barriers) обеспечивает сброс состояния блока предсказания переходов при каждом переключении контекста - при передаче управления между пространством пользователя и ядром или между гостевой системой и хост окружением. Сброс состояния блокирует возможность использования собственного кода для влияния на поведение блока предсказания косвенных переходов. Отличия методов Training Solo в том, что для влияния на блок предсказания переходов предлагается не запускать подконтрольный атакующему код, а использовать код, уже имеющийся на стороне привилегированной области исполнения (ядро или гипервизор), утечки из которой добивается атакующий. В остальном методы напоминают классическую атаку Spectre-v2. Помимо этого исследователи выявили две аппаратные проблемы (CVE-2024-28956 и CVE-2025-24495), позволяющие полностью обойти изоляцию областей исполнения и реализовать утечки из процессов других пользователей, других гостевых систем или хост-окружения. ![]() Предложены три вида атак Training Solo:
![]() Атаке, искажающей буфер с историей переходов, подвержены все CPU Intel, имеющие поддержку механизма eIBRS, включая CPU Intel Coffee Lake и Lion Cove. Для блокировки уязвимости компания Intel выпустила обновление микрокода с реализацией новой инструкции IBHF (Indirect Branch History Fence), которую предлагается указывать после кода, влияющего на буфер истории переходов. Для старых CPU Intel предложено использовать программный метод очистки истории переходов. В ядро Linux принято изменение, добавляющее программную и аппаратную защиту от атак, осуществляемых с использованием cBPF. Компания AMD заявила, что на её CPU метод атаки не действует. Компания ARM сообщила, что проблема затрагивает только старые процессоры ARM, уязвимые для атак Spectre-v2 и не поддерживающие расширения FEAT_CSV2_3 и FEAT_CLRBHB. Уязвимость Indirect Target Selection (ITS, CVE-2024-28956) затрагивает CPU Intel Core 9-11 поколений (Cascade Lake, Cooper Lake, Whiskey Lake V, Coffee Lake R, Comet Lake, Ice Lake, Tiger Lake и Rocket Lake) и Intel Xeon 2-3 поколений. Уязвимость CVE-2025-24495 проявляется в CPU на базе микроархитектур Lunar Lake и Arrow Lake. Проблемы устранены во вчерашнем обновлении микрокода. В ядро Linux принято изменение, блокирующее проблему через вынос косвенных переходов в верхнюю часть строки кэша.
| ||
Обсуждение (165 +23) |
Тип: Проблемы безопасности |
Интересно
| ||
· | 12.05 | Уязвимость в GNU screen, позволяющая выполнить код с правами root (193 +33) |
В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено 5 уязвимостей. Наиболее опасная проблема (CVE-2025-23395) позволяет получить права root в системе. Исправление включено в состав сегодняшнего выпуска screen 5.0.1 (уже доступен в Arch Linux и FreeBSD).
Уязвимость CVE-2025-23395 проявляется только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux, NetBSD, OpenBSD и Alpine. В Debian, Ubuntu, RHEL (EPEL 9), Gentoo, FreeBSD, SUSE/openSUSE и OpenWrt продолжает поставляться ветка screen 4.x. Эксплуатация уязвимости возможна в системах, устанавливающих исполняемый файл screen с флагом setuid root, например, в Arch Linux и NetBSD. В Fedora утилита ставится с флагом setgid для получения прав группы screen, позволяющих размещать сокеты в системном каталоге /run/screen, что ограничивает возможности атаки отказом в обслуживании. Уязвимость вызвана тем, что при запуске с правами root функция logfile_reopen() выполняется до сброса привилегий, но обрабатывает данные в контексте каталогов текущего непривилегированного пользователя, запустившего screen. Примечательно, что начальное открытие лога производится с корректным сбросом привилегий, но при повторном открытии файла с логом сброс привилегий не производится. Через манипуляции с включением режима журналирования содержимого сеанса пользователь может добиться записи данных в файл с правами root, при том, что сам файл может быть сохранён в домашнем каталоге пользователя. Атака сводится к удалению созданного файла с логом и его замене на символическую ссылку, указывающую на любой файл в системе. Если файл уже существует, в него без изменения владельца будут добавлены данные с содержимым экрана в сеансе screen. Если файл не существует, он будет создан с правами 0644, владельцем root и группой как у текущего пользователя. Алгоритм атаки, создающей файл /etc/profile.d/exploit.sh с командой "chown $USER /root":
Менее опасные уязвимости в screen:
Уязвимости выявлены в ходе аудита кодовой базы GNU screen, проведённого командой, отвечающей за безопасность дистрибутива SUSE Linux. Разработчикам screen сведения об уязвимости были отправлены 7 февраля, но за отведённые 90 дней они так и не смогли подготовить исправления для всех уязвимостей и сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности.
| ||
Обсуждение (193 +33) |
Тип: Проблемы безопасности |
| ||
· | 12.05 | Проект Guix переходит на Git-хостинг Codeberg (125 +21) |
Проект Guix, развивающий одноимённый пакетный менеджер и дистрибутив GNU/Linux на его основе, объявил о переносе Git-репозиториев с GNU Savannah на Git-хостинг Codeberg, использующий платформу совместной разработки Forgejo (форк Gitea). На Codeberg также будут переведены системы рецензирования патчей и отслеживания сообщений об ошибках, которые до сих пор основывались на отправке email.
Все git-репозитории проекта будут переведены на использование Codeberg до 7 июня. Основной репозиторий Guix будет перенесён 25 мая, после чего в течение года старый репозиторий git.savannah.gnu.org/git/guix.git останется доступен в форме зеркала. Пользователям Guix потребуется заменить в файлах конфигурации channels.scm упоминание "git.savannah.gnu.org" на "https://codeberg.org/guix/guix.git", о чём будет выведена соответствующая подсказка при выполнении команды "guix pull". После завершения миграции появится возможность отправки сообщений об ошибках через web-интерфейс Codeberg Issues и использования для передачи патчей механизма pull-запросов. Поддержка старого метода приёма отчётов об ошибках и патчей, основанного на email, будет сохранена до 31 декабря 2025 года. В качестве причины миграции упоминается желание упростить участие в работе над проектом и избавиться от проблем, свойственных устаревшей инфраструктуре, которая излишне усложнена, требует высокого порога вхождения, ненаглядна, ненадёжна, трудозатратна и затрудняет автоматизацию проверок контроля качества.
| ||
Обсуждение (125 +21) |
Тип: К сведению |
| ||
· | 12.05 | Уязвимость в Dropbear SSH, допускающая подстановку команд в dbclient (55 +11) |
Опубликован выпуск проекта Dropbear 2025.88, развивающего сервер и клиент SSH, получивший распространение в беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. В новой версии устранена уязвимость (CVE-2025-47203) в реализации SSH-клиента (программа dbclient), позволяющая выполнить shell-команды при обработке специально оформленного имени хоста (например, "localhost,|id"). Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста и использованием командного интерпретатора при запуске команд в режиме multihop (несколько хостов, разделённых запятой). Уязвимость представляет опасность для систем, запускающих dbclient с непроверенным именем хоста.
| ||
Обсуждение (55 +11) |
Тип: Проблемы безопасности |
| ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |