В беспроводных маршрутизаторах Netgear выявлена очередная критическая уязвимость (CVE-2017-5521), позволяющая без аутентификации узнать пароль входа с правами администратора, отправив специальный запрос к скрипту passwordrecovered.cgi. Проблема вызвана тем, что при определённых условиях скрипт выдаёт информацию о пароле, независимо от прохождения аутентификации и заданных в запросе параметров. Компания Netgear подтвердила наличие уязвимости в более 30 моделей своих устройств и уже выпустила обновление прошивки для 18 моделей. Уязвимость может быть атакована из локальной сети, а при включении интерфейса удалённого управления и через интернет. Компания Netgear заявляет о том, что web-интерфейс по умолчанию отключен для внешней сети, но выявивший уязвимость исследователь утверждает, что по его данным в глобальной сети имеется доступ к сотням тысяч уязвимых устройств (вероятно, web-интерфейс включают провайдеры, предустанавливающие оборудование клиентам). Проблема проявляется только при в ... Читать дальше »

Проект KDE объявил о доступности первого ультрабука, выпускаемого под брендом KDE - KDE Slimbook. Устройство поставляется с предустановленным рабочим столом Plasma и приложениями из набора KDE Applications. Системное окружение основано на пакетной базе Ubuntu 16.04 в сборке от проекта KDE neon. Отмечается, что продукт разработан совместно с испанским поставщиком оборудования Slimbook при участии сообщества KDE и для сообщества KDE. Если обычно разработчики KDE лишены возможности в процессе разработки контролировать сочетаемость и работоспособность создаваемого программного обеспечения на конкретном потребительском оборудовании, то в случае с KDE Slimbook все предлагаемые приложения и обновления досконально тестируются разработчиками KDE для обеспечения высокого уровня стабильности окружения и совместимости с оборудованием. Подобный подход позволяет решать возникающие проблемы не на основе жалоб пользователей, а на стадии до получения обновлений пользователем. Стоимость устройства сос ... Читать дальше »

В systemd 228 выявлена опасная локальная уязвимость, которая позволяет непривилегированному пользователю выполнить свой код с правами root. Выпуск systemd 228 лежит в основе дистрибутива SUSE Linux Enterprise 12 SP2 и также применялся в Ubuntu Touch 15.04. Debian и RHEL проблеме не подвержены, но не исключено, что проблема перенесена в некоторые дистрибутивы, явно не использующие версию 228, в процессе бэкпортирвоания новых возможностей в старые пакеты с systemd. Уязвимость вызвана тем, что при использовании таймеров systemd выполнение функции touch() приводит к созданию файлов в директории /run, /var/run и /var/lib/systemd/timers/ с правами 07777 (по ошибке передаётся значение "-1"). Проблема присутствует в кодовой базе systemd только в выпуске 228 и была около года назад без лишней огласки устранена в выпуске 229. В примечании к исправлению указано, что исправленная ошибка может привести к DoS-атаке через исчерпание дискового пространства в разделе через заполнение файла /run/system ... Читать дальше »

Проект CoreOS, развивающий основанное на идеях контейнерной изоляции серверное окружение, представил релиз etcd 3.1, высоконадёжного распределённого хранилища параметров конфигурации, задаваемых в форме ключ/значение. Основным назначением etcd является предоставление унифицированного механизма хранения конфигурации и информации о работающих сервисах для изолированных контейнеров с типовой начинкой. Код etcd написан на языке Go и распространяется под лицензией Apache 2.0. Etcd позволяет организовать единое хранилище конфигурации для группы серверов, которое реплицируются на все узлы и поддерживается в синхронизированном состоянии с использованием протокола Raft. Наличие копии данных на всех хостах позволяет исключить потерю конфигурации при выходе из строя отдельного узла. В etcd также могут сохраняться временные данные, для которых предусмотрена возможность определения времени жизни записи. Для доступа к конфигурации предоставляется простой API, основанный на использовании gRPC. Имее ... Читать дальше »

После шести месяцев разработки подготовлен релиз инструментария для управления изолированными Linux-контейнерами Docker 1.13, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0. Основные изменения: Расширены возможности режима Swarm, начиная с прошлой версии интегрированного в состав движка Docker и предоставляющего средства кластеризации для упакованных в контейнеры приложений. Swarm даёт возможность управл ... Читать дальше »

Компания Google опубликовала обзор мер, предпринимаемых для обеспечения безопасности серверной инфраструктуры. Некоторые интересные особенности: Во всех серверах используются собственные материнские платы и сетевые компоненты, разработанные инженерами Google и произведённые под контролем представителей компании. Оборудование, включая периферийные устройства, оснащены специальным чипом, отвечающим за безопасную идентификацию и аутентификацию устройства на аппаратном уровне. Программные компоненты, включая прошивки, загрузчики, ядро и базовые образы систем проверяются по цифровой подписи. Таким образом в инфраструктуре могут применяться только проверенные аппаратные и программные элементы, содержащие корректную цифровую подпись. В ситуациях, когда серверное оборудование приходится размещать в чужих датацентрах, оборудование Google отгораживается в собственный периметр физической безопасности, в котором для доступа применяются независимые биометрические датчики, камеры наблюдения и мет ... Читать дальше »

Фонд свободного ПО сообщил о значительном пересмотре списка приоритетных свободных проектов. Список приведён к современным реалиям и отражает наиболее важные области для которых не созданы достойные открытые альтернативы проприетарным решениям. Новый вариант подготовлен специальным комитетом, в который вошли известные деятели свободного ПО, такие как Стефано Закироли (Stefano Zacchiroli), ранее занимавший пост лидера проекта Debian, Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, Карен Сендлер (Karen Sandler), исполнительный директор GNOME Foundation. Среди критериев, на основании которых были выбраны приоритетные свободные проекты, отмечаются: Положительное влияние на большое число свободных программ, процесс разработки, работу сообществ или продвижение СПО. Увеличение доступности СПО для большего числа людей. Воплощение возможностей, востребованных почти каждым пользователем, но пока не имеющих полноценных свободных реализаций. Способность не только функционально з ... Читать дальше »

Разработчики проекта Raspberry Pi объявили о поступлении в продажу новой платы Raspberry Pi 3 Compute Module, которая представляет собой портативный вариант модели Raspberry Pi 3, оформленный в форм-факторе планки памяти для ноутбука (DDR2 SODIMM, размер 67.6 x 30 мм) и совместимый с ранее выпускаемыми платами ввода/вывода (Compute Module IO Board). В отличие от первого варианта плат Compute Module, разработанного в 2014 году, редакция на базе Raspberry Pi 3 отличается удвоением размера оперативной памяти и увеличением вычислительной мощности в 10 раз. Новый модуль включает 64-разрядный SoC BCM2837 (ARMv8, четыре ядра, 1.2 Ghz), идентичный SoC из Raspberry Pi 3, 1 Гб ОЗУ и 4 Гб eMMC Flash. Разьём для подключения идентичен слотам оперативной памяти в ноутбуках. Дополнительно предлагается Lite-версия платы со слотом для SD-карты вместо чипа Flash-памяти. Стоимость Compute Module 3 составляет 30 долларов, Lite-версии - 25 долларов. Схемы и распайки платы доступны под свободной лицензией. ... Читать дальше »

В рамках проекта rpi-open-firmware развивается полностью открытый вариант прошивки для плат Raspberry Pi, способный загружать Linux без использования блобов. Несмотря на наличие открытых драйверов, работа видеоускорителя VideoCore IV обеспечивается загружаемой в GPU проприетарной прошивкой, в которую вынесена достаточно обширная функциональность, например, на стороне прошивки реализована поддержка OpenGL ES. По сути на стороне GPU выполняется подобие операционной системы, а работа открытых драйверов сводится к трансляции вызовов к закрытой прошивке. Задачей проекта rpi-open-firmware является создание простейшего свободного варианта подобной прошивки, позволяющей обойтись без загрузки каких-либо блобов. Rpi-open-firmware заменяет штатную прошивку, поставляемую в файле bootcode.bin, и состоит из двух частей: компонентов для выполнения на стороне GPU VC4 и компонентов, исполняемых на центральном процессоре. Прошивка совместима с Raspberry Pi 1 Model B, Raspberry Pi 2 Model B и Raspberry ... Читать дальше »

Компания Google опубликовала исходные тексты рабочего прототипа новой технологии для безопасного хранения и обнаружения открытых ключей - Key Transparency. При создании проекта была поставлена задача создания сервиса, позволяющего просто и безопасно определить открытые ключи и другие учётные данные для любого адресата. Код написан на языке Go и распространяется под лицензией Apache 2.0. Основными требованиями к новому сервису было существенное упрощение манипуляций с ключами, масштабирование на весь интернет и предоставление защищённого канала связи, позволяющего обращаться к сервису даже через сети, не заслуживающие доверия. Существующие методы организации шифрования с использованием открытых ключей существенно усложнены и требуют ручной верификации параметров получателя. Именно поэтому PGP не получил должного распространения для шифрования электронной почты и остался уделом специалистов. Аналогичная ситуация наблюдается и для программ обмена сообщениями, совместного доступа к файлам ... Читать дальше »